BSI-Lagedossier

Ransomware-Angriffe: Bedrohung für die deutsche Wirtschaft

03.08.2016
Markus Auer ist seit März 2014 bei ForeScout als Regionals Sales Director DACH tätig. In dieser Position ist er für die Entwicklung und Durchsetzung neuer Security-Strategien im Corporate Umfeld zuständig. Er blickt auf eine 20-jährige Erfahrung im IT-Bereich zurück. Er war zuvor bei Q1 Labs (jetzt IBM) als Sales Director Central Europe tätig. Zuvor hatte Markus Auer weitere Positionen bei SourceFire (jetzt Cisco), netForensics und MessageLabs (jetzt Symantec) inne.
Die deutsche Wirtschaft hat durch erpresserische Ransomware-Attacken beträchtliche Schäden davongetragen. Ein Dossier des BSI erfasst die aktuelle Bedrohungslage.

Ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichtes Themenpapier zum Thema Ransomware zeigte bereits Mitte März 2016 auf, dass Hacker-Angriffe mit Ransomware immer zahlreicher auftreten. Laut der Untersuchung des BSI hat die deutsche Wirtschaft stark unter solchen Trojanern zu leiden: Ein Drittel aller Unternehmen war demnach in den letzten sechs Monaten von Ransomware betroffen. Jetzt hat das BSI ein ausführliches Lagedossier veröffentlicht, das die aktuelle Situation im Hinblick auf diese Bedrohung darstellt.

Eine Analyse der Daten aus Deutschland zeigt, dass sich die Bedrohungslage im Vergleich zum vergangenen Herbst verschlimmert hat: Zwischen Januar und Mai 2016 stieg der Anteil der Erpresser-Malware um gut 70 Prozent - alleine beim Angriffsvektor E-Mail. Eine weitere Bedrohung stellen Exploit Kits dar, mit denen sogenannte Drive-by-Angriffe ausgeführt werden. Diese versuchen, Schwachstellen auf einem Client-System zu finden, um dann Schadprogramme zu installieren. Die Exploit-Kits, von denen laut BSI-Dossier in Deutschland die größte Gefahr ausgeht, heißen unter anderem "Angler", "Neutrino" und "Nuclear". All diese Kits werden von Hackern auch dazu genutzt, Ransomware zu verbreiten.

Neue Ansätze für die IT-Sicherheit

Die herkömmlichen Sicherheitsmechanismen werden vielfach von moderner Malware umgangen. Diesem Umstand müssen sich Unternehmen anpassen. Als Basismaßnahmen der IT-Sicherheit empfiehlt das BSI in diesem Zusammenhang regelmäßige und kontinuierliche Updates der Anwendungen in einem Unternehmen, sowie die Etablierung eines Patch-Management-Prozesses. Solche Vorkehrungen helfen dabei, Sicherheitslücken in Software zu schließen, die im Rahmen von Drive-by-Attacken auch zur Installation von Ransomware ausgenutzt werden können.

Laut dem BSI-Dossier müssen Sicherheitsupdates unverzüglich nach deren Bereitstellung durch den jeweiligen Software-Hersteller angewandt werden. Im Unternehmensumfeld sollten sie idealerweise über eine zentrale Software-Verteilung eingespielt werden. Andere Infektionen mit Ransomware können Security-Schwachstellen in Webservern oder Anwendungsservern zugeschrieben werden, die über das Internet erreichbar sind. Auch hier sollten Patch-Management-Prozesse etabliert werden, um Sicherheitslücken schnell zu schließen.

Produkte von Drittanbietern die als Insellösungen in Silos ohne Informationsaustausch laufen, sind ein enormes Hindernis für die effektive IT-Sicherheit von Unternehmen. Die vorhandenen Tools arbeiten in vielen Fällen immer noch isoliert. Aktionen müssen manuell angestoßen werden und die Unternehmen sind weiter auf individuelle, separate Komponenten angewiesen. Die vom BSI empfohlenen Vorkehrungen wie Virenschutzmechanismen, Patch-Management oder Installation von Firewalls werden für die IT-Security-Spezialisten zur Belastung, wenn sie bei der Implementierung solcher Lösungen nicht genügend Unterstützung erhalten.

Zentralisierte Incident-Response- und Security-Orchestration als Best Practice

Die jüngsten Ransomware-Angriffe zeigen, dass kein Netzwerk mehr sicher ist. Früher oder später werden Malware und Angreifer immer Wege finden, um Systeme zu kompromittieren. Es ist daher unerlässlich, jeden Endpunkt im Netzwerk zu sehen sobald er sich anmeldet und ihn auf Regelkonformität zu überprüfen. Die Koordinierungsaufgabe lässt sich mit einer Lösung für Next-Generation Network Access Control (NAC) bewältigen. Eine solche Lösung sollte sich idealerweise auch in heterogene und architekturübergreifende Netzwerke integrieren lassen. Dadurch ist sie in der Lage, sofort Sicherheitsinformationen über verschiedene Systeme hinweg auszutauschen, um einheitliche Sicherheitsrichtlinien durchzusetzen. Durch systemübergreifende, automatisierte Reaktionen auf Bedrohungen kann die Lösung die Zahl der Schwachstellen dann verringern.

Solche Methoden können auch private Geräte von Angestellten und Dienstleistern einbeziehen, ebenso wie unkonventionelle Geräte aus dem Internet of Things (IoT). Diese Geräte haben für gewöhnlich keine funktionsfähigen Sicherheitsmanagement-Agenten beziehungsweise können keine unterstützen. Außerdem sollte eine effektive Netzwerksicherheitslösung in der Lage sein, automatisch Geräte, Nutzer, Anwendungen, den aktuellen Patch-Status und die Betriebssysteme zu klassifizieren. Wenn eine Software überholt ist, sollte ein automatisierter Korrekturprozess ausgelöst werden können. In den heutigen komplexen und dynamischen Netzwerken muss eine adäquate Cyber-Sicherheitslösung die Geräte identifizieren, die sich mit dem Netz verbinden, sie klassifizieren, richtlinienbasierte Zugriffskontrollen anwenden und Geräte laufend monitoren - und das, ohne Software-Agenten zu erfordern.

Die Technologie hat sich weiterentwickelt und bietet einen Best-Practice-Ansatz, um die Empfehlungen des BSI umzusetzen. Dank ihrer einzigartigen Fähigkeiten zur Security Orchestration sind die fortschrittlichsten NAC-Lösungen in der Lage, ihre Erkenntnisse mit Drittanbieter-Tools auszutauschen. Durch Evaluierung und Erkennung unautorisierter und potenziell bösartiger Endpunkte kann das NAC-System das Risiko von Datenmissbrauch und Malware-Angriffen enorm reduzieren und ist dabei nicht allein auf seine eigenen Erkenntnisse angewiesen, sondern kann automatisch auch andere Tools einschalten.

Unternehmen müssen auch bedenken, dass in Zukunft noch mehr Geräte auf ihre Netzwerke zugreifen werden. Das ist besonders für die künftigen Sicherheitsbudgets wichtig, wie Gartner bereits in seinem diesjährigen Bericht zur Sicherheit für das Internet der Dinge (IoT) erläutert hat. Das Marktforschungsunternehmen rechnet damit, dass "bis 2020 mehr als 25 Prozent der ermittelten Angriffe in Unternehmen mit IoT-Geräten in Zusammenhang stehen werden, auf das IoT jedoch weniger als 10 Prozent der IT-Sicherheitsbudgets entfallen werden. "

Fazit: Prävention und Best Practice

Das Dossier des BSI zeigt, dass Unternehmen mit fortschrittlichen, hartnäckigen und stetig zunehmenden Cyber-Bedrohungen Schritt halten müssen, wie beispielsweise Ransomware. Um das zu erreichen, müssen sie Präventivmaßnahmen ergreifen, wie etwa die regelmäßige und laufende Aktualisierung kritischer Anwendungen und die Etablierung von Patch-Management-Prozessen. Zudem sollten sie eine ganzheitliche Best-Practice-Lösung einsetzen, die ihre Netzwerke überwacht und die einzelnen Sicherheitslösungen koordiniert, damit relevante Informationen ausgetauscht und Datensilos mit Sicherheitsinformationen ausgeräumt werden können. Dies wird den IT-Sicherheitsfachleuten mehr Zeit geben, sich auf die kritischen Probleme zu konzentrieren, ohne von Fehlalarmen überschwemmt zu werden. (fm)