Das Geschäft mit der Datenerpressung boomt. Ransomware-Angriffe, die mit relativ geringem Risiko viel potenziellen Schaden anrichten können, sind ein beliebter Geschäftszweig für Cybercrime-Gangs geworden. Viele Unternehmen neigen im Ernstfall dazu, zu zahlen - und machen das Problem damit häufig noch schlimmer.
Was passiert, wenn die eigenen Daten in Geiselhaft genommen werden, wieso viele Unternehmen das Problem nach wie vor nicht ernst genug nehmen und wie sie sich schützen können, war Thema des COMPUTERWOCHE-Experten-Roundtable zum Thema "Ransomware".
Foto: AngelaAllen - shutterstock.com
Dass die Bedrohungslage durch Ransomware in den letzten Jahren zugenommen hat, ist für die Experten unstrittig. Das liegt zum einen daran, dass sich mittlerweile ein richtiger Markt gebildet hat: Waren es früher primär Einzelpersonen, die für Angriffe zuständig waren, gibt es heute ganze Firmen, die sich darauf spezialisiert und mit "Ransomware-as-a-service" ein eigenes perfides Geschäftsmodell entwickelt haben. Zum anderen hat die zunehmende Verbreitung des mobilen Arbeitens dazu geführt, dass es viel mehr exponierte Fläche im Feld gibt, die Hacker ins Visier nehmen können.
Ein viel größeres Problem hingegen ist laut Experten die mangelnde Awareness in den Unternehmen. Erschreckend viele seien der Meinung, das Thema betreffe sie nicht, da sie zu klein, zu unwichtig, zu unattraktiv seien. Diese Lesart ist jedoch falsch. "Die Frage ist nicht, ob ein Angriff kommt, sondern wann", warnt Adrian Pusch, Professional Security Services bei der Enginsight GmbH. "Und wenn es passiert ist, dann: 'wann noch einmal?' Denn sobald die Angreifer es erst einmal geschafft haben, dann probieren sie es noch einmal."
Informationen zu den Partner-Paketen der Studie 'Ransomware 2023'
Ein Notfallplan ist ein guter Anfang
Doch was bedeutet das für MEIN Unternehmen? Brauche ich einen Notfallplan? Diese Frage beantworten die Experten mit einem klaren und eindeutigen "Ja". Nicht immer muss dieser Notfallplan sonderlich detailliert sein, auch ein Grundgerüst kann im Ernstfall bereits eine große Hilfe sein.
Laut Malte Vollandt, CISO bei Logicalics, geht es beispielsweise auch darum, einen Vorfall auch einmal mental durchzuspielen. Oft werde in so einem Fall auf die IT gezeigt, als ob das Thema vor allem die Infrastruktur betreffe. "Dabei ist es mindestens genauso die Aufgabe des Managements, vorbereitet zu sein, was die Kommunikation nach außen und mit den Behörden angeht."
Da stimmt auch Jesper Schulz, Business Development Manager - Security bei Cancom, zu: "Das LKA wird nicht zuerst mit dem IT-Verantwortlichen sprechen - da ist die Geschäftsführung gefragt." Nicht nur im Bereich der kritischen Infrastruktur gehe es um persönliche Daten der Mitarbeiter und andere sensible Informationen. Ein erfolgreicher Angriff koste nicht nur Geld, sondern verursache nicht selten auch einen massiven Imageschaden. Im schlimmsten Fall könnten Unternehmen von heute auf morgen Insolvenz anmelden - und es seien schon längst nicht mehr nur große Unternehmen betroffen.
Auch Pusch betont, wie entscheidend klassische Business-Fragen bei einem Angriff sein können - besonders jene, an die man im ersten Moment zunächst nicht denkt. "Sobald ein Vorfall bekannt wird, können Sie sich sicher sein, dass im nächsten Schritt die Headhunter loslegen und versuchen, die Leute aus den Unternehmen abzuwerben", erklärt der Security-Spezialist. Es gelte also in jedem Fall, die Liquidität zu sichern, damit Gehälter weiter gezahlt werden können, damit das Unternehmen handlungsfähig bleibt. Dazu müsse der Ernstfall ausreichend durchdacht werden, damit die Handlungsschritte klar bleiben.
Awareness und granulare Segmentierung sind wichtig
Doch im besten Fall sollten sich Unternehmen mit diesen Fragen gar nicht auseinandersetzen müssen. Und tatsächlich gibt es eine Menge Schutzmaßnahmen, die Unternehmen ergreifen können, um einen erfolgreichen Angriff so unwahrscheinlich wie möglich zu machen.
Beispielsweise hilft eine saubere und konsequente Netzwerksegmentierung dabei, eventuelle Einfälle einzuhegen und zu verhindern, dass Angreifer mit nur wenig Aufwand Zugriff auf das gesamte System erlangen können. Sämtliche Sicherheitsmaßnahmen, die über das bloße Minimum hinausgehen, können dabei den Unterschied ausmachen, wie Jesper Schulz pointiert beschreibt: "Der Kopfschmerz des Hackers muss schon beim ersten Versuch so groß sein, dass er keine Lust mehr hat - weil er wesentlich einfachere Alternativen hat."
Dabei müssen Unternehmen zunächst nicht einmal auf besonders komplexe Sicherheitssysteme und Lösungen zurückgreifen. Jochen Füllgraf, Product Manager bei Macmon secure, erklärt: "Es sind oft einfache Maßnahmen, die Unternehmen bereits deutlich resistenter und handlungsfähiger machen können, als das aktuell der Fall ist." Eine saubere IT-Grundhygiene sei mit einer Handvoll Lösungen umsetzbar und könne im Angriffsfall bereits entscheidend sein.
Studie "Ransomware 2024": Sie können sich noch beteiligen! |
Zum Thema Ransomware führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Verantwortlichen durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (regina.hermann@foundryco.com, Telefon: 089 36086 161) und Manuela Rädler (manuela.raedler@foundryco.com, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF). |
Zwar sind sich die Experten einig, dass Konzepte wie Zero Trust in Zukunft eine wichtige Rolle in Security-Ansätzen sein können. Martin Dombrowski, Senior Sales Engineer von Akamai / Guardicore gibt jedoch zu bedenken, dass Unternehmen häufig schon mit den Möglichkeiten überfordert sind, die sie jetzt schon haben. “Viele sind blind für alles, was hinter ihrer Firewall passiert und denken gar nicht daran, wie sie effizient einen Ausbruch von Ransomware erfolgreich eindämmen könnten. Die Konzepte von Zero Trust erschlagen in ihrer Komplexität noch viele”, erklärt Dombrowski. Die Reise sei dahingehend noch lang. Umso wichtiger ist es für Dombrowski, schrittweise und pragmatisch vorzugehen, um die interne Sicherheit zu verbessern.
Bernd Forstner, Security Architect von A1 Digital, ergänzt zudem, dass die Sensibilisierung aller Mitarbeiter eine wesentliche Rolle spiele. Besonders auf höheren Hierarchieebenen stoße man häufiger auf Widerstand, wenn es darum geht, Entscheidern nicht benötigte Administratorrechte zu entziehen. Hier helfe Aufklärung. Auch hinsichtlich Phishing könnten einfache Awareness-Methoden schon ausreichen, um das Risiko deutlich zu senken: "Es reicht häufig schon, wenn in externen Mails eine große, rote Warnung aufleuchtet 'Achtung, diese E-Mail kommt von außerhalb des Unternehmens' und die Mitarbeiter dahingehend sensibilisiert, dass sie bei dieser Warnung besondere Vorsicht walten lassen", erklärt Forstner.
IT-Sicherheit als fortlaufendes Projekt betrachten
Als die Expertendiskussion zu Best Practices schwenkt, wird schnell klar: Ein solider Schutz vor und ausreichend Handlungsspielraum bei Ransomware-Attacken ist keine Raketenwissenschaft, sofern dem Thema ausreichend Aufmerksamkeit, Konsequenz und Ressourcen eingeräumt werden.
Michael Skiba, Information Security Consultant von Getronics, hebt drei Punkte hervor, die zu einer grundlegenden Sicherheitsstrategie gehören: Als wichtigsten Punkt benennt er verifizierte und auch off-site verfügbare Backups. Darüber hinaus empfiehlt er ein rigides Patch-Management innerhalb der IT-Landschaft und hebt hervor: "Dafür gehört für mich auch die Sichtbarkeit, wann und wo überhaupt gepatcht werden muss." Als letzten Punkt nennt Skiba die Absicherung sämtlicher Zugänge, sowohl intern als auch extern, und ergänzt, dass der Einsatz von Multi-Faktor-Authentifizierung (MFA) aus seiner Sicht heute quasi verpflichtend sei.
Einen weiteren Aspekt nennt Jesper Schulz: Für ihn ist ein durchdachtes Rechtevergabekonzept essentiell. "Das Schlimmste, was passieren kann, ist, wenn Mitarbeiterdaten länger im System verbleiben als nötig", erklärt Schulz. Es komme viel zu häufig vor, dass Mitarbeiter Unternehmen im Streit verlassen und sich auch im Nachgang noch Zugang zum System verschaffen können.
Pusch plädiert zum Schluss der Diskussion noch dafür, das Sicherheitskonzept von Anfang an als fortlaufendes und regelmäßiges Vorhaben zu betrachten. Für Unternehmen, die den Prozess gerade erst starten wollen, hat er einen Rat: Nicht mit dem Penetrationstest anfangen. Hilfreicher sei es, zunächst Sichtbarkeit über den Status Quo zu schaffen. Eine Übersicht über bestehende Systeme, vorhandene Geräte und bereits getroffene Maßnahmen helfe dabei, bestehende Schwachstellen zu identifizieren. Von da an gelte es, diese konsequent und Schritt für Schritt anzugehen.
Informationen zu den Partner-Paketen der Studie 'Ransomware 2023'