Tobias Harmes
17. Januar 2023

Ransomware

11 | #Informationssicherheit

Die Erpressung per Ransomware stellt für Unternehmen heute eine der größten Bedrohungen dar. Es handelt sich um eine Form des Cyber-Angriffs, der Computersysteme lahmlegen und Daten entwenden oder unbrauchbar machen kann. Mittlerweile existieren verschiedene Ansätze für den Umgang mit dieser Art von Schadsoftware.

Was ist Ransomware?

Bei Ransomware handelt es sich um eine Bedrohung in Form von Erpressungsversuchen, ausgelöst durch einen Trojaner. “Ransom” ist das englische Wort für “Lösegeld”. Die Bedrohung ist dabei zu unterscheiden in sogenannte Screenlocker und File-Encrypter. Erstere sperren den Bildschirm und hindern den Mitarbeiter daran, sein Computergerät weiterzuverwenden. Die File-Encrypter hingegen verschlüsseln die auf dem Computer gespeicherten Daten und machen diese damit unzugänglich. Der Angreifer nimmt dabei die verschlüsselten Dateien und Ordner als Geisel. In beiden Fällen ist die Fortsetzung der Arbeit nicht mehr möglich.

Die Angreifer geben das gesperrte System oder die verschlüsselten Daten erst wieder frei, wenn das Opfer ein Lösegeld zahlt. Eine entsprechende Aufforderung dazu taucht auf dem Bildschirm auf oder der Nutzer erhält einen Erpresserbrief per E-Mail. Die Cyberkriminellen lassen sich dabei auch in Kryptowährungen auszahlen.

E-Book Fachartikel IT-Security

Zum Schmökern und zum Nachschlagen haben wir zahlreiche Fachbeiträge zum Thema Informationssicherheit und IT Security in diesem E-Book zusammengefasst.

Die Ransomware tritt in verschiedenen Varianten auf. Dazu gehört auch Schadsoftware mit Inkubationszeit. Diese aktiviert sich erst nach einer gewissen Wartedauer, damit der Nutzer nicht mehr nachvollziehen kann, auf welchem Weg der Erpressungstrojaner auf sein System gelangt sein könnte.

Herausforderungen im Zusammenhang mit Ransomware

Das Bundesamt für Sicherheit in der Informationstechnik hat für die IT-Sicherheit in Deutschland im Jahr 2022 einen Lagebericht vorgelegt, der die Gefahren durch Ransomware gerade für Unternehmen verdeutlicht. Der Bericht bezeichnet die Cyber-Erpressung als größte Bedrohung für Unternehmen. Die Angriffe konzentrieren sich auf umsatzstarke Firmen, die Erpressungsversuche nehmen gerade in diesem Bereich weiter zu. Dabei steigen die Zahl der Opfer und auch die Höhe der erpressten Lösegelder.

Der Bericht sieht auch eine Zunahme bei der Zahl der Schwachstellen in Softwareprodukten. Im Jahr 2021 soll dieser Wert gegenüber dem Vorjahr um zehn Prozent gestiegen sein. Solche Schwachstellen in der Software stellen Einfallstore für Cyber-Angriffe dar und sind daher besonders gefährlich.

Entdecken die kriminellen Gruppierungen Schwachstellen in der IT-Sicherheit, versuchen sie Verschlüsselungssoftware einzuschleusen und Daten auf den Zielsystemen für das betroffene Unternehmen unbrauchbar zu machen. Besonders groß ist die Gefahr, wenn es sich dabei um sensible Daten handelt. Die Täter drohen zusätzlich mit einer Veröffentlichung dieser Daten und können damit erhebliche Imageschäden hervorrufen. Mit “DoppelPaymer Ransomware” haben die Experten für diese Art der doppelten Bedrohung bereits einen eigenen Begriff geprägt.

Neben dem finanziellen Aspekt und dem Schaden, der durch Lösegeldforderungen häufig im Millionenbereich entsteht, kommt das Problem der Betriebsunterbrechung hinzu. Es fällt schwer, während eines laufenden Angriffs und kurz danach den Geschäftsbetrieb aufrechtzuerhalten. Die Unternehmen sind mit der IT-Wiederherstellung belastet und müssen hohe Kosten für die Forensik stemmen. Die Zahlung eines Lösegelds ist damit bei Weitem nicht das einzige Problem.

Fehlende Sicht auf die IT-Umgebung

Im Umgang mit dieser Art von Risiken stellt häufig die unzureichende Visibilität in Bezug auf die eigene IT-Infrastruktur eine Herausforderung dar. Wer keine durchgehende Sicht auf seine IT-Umgebung hat, kann Erpressungstrojaner nicht rechtzeitig erkennen. Häufig ist daher nicht die Ransomware an sich das größte Problem, sondern die langsame Reaktionsgeschwindigkeit der Unternehmen darauf. Ließen sich die schädlichen Aktivitäten frühzeitiger identifizieren, könnten die Betroffenen mit dieser Art von Bedrohung souveräner umgehen.

In diesem Webinar erfahren Sie, wie Sie als IT-Security-Verantwortliche die Security-Awareness in Ihrem Unternehmen erhöhen können. Sie erhalten von uns konkrete Best Practices und Maßnahmen.

Mittlerweile stellen gerade die Versicherer in dieser Hinsicht stärkere Anforderungen an ihre Kunden. Ihre Policen für Cyber-Sicherheit sind zunehmend an die Bedingung geknüpft, Cybersicherheitskontrollen einzurichten und das auch nachweisen zu können. Sie verlangen eine Aufzeichnung der Bildschirme und eine Protokollierung von Tastatureingaben. Zudem muss sichergestellt sein, dass die Mitarbeiter bei verdächtigen Aktivitäten ihre Sitzungen von sich aus unterbrechen.

Meldepflicht erzeugt zusätzlichen Aufwand

Mit der Beseitigung des Schadensfalls und der Wiederherstellung der betroffenen IT-Systeme ist es bei einem Angriff noch nicht getan. Es wartet zusätzlicher Aufwand in Form der Meldepflicht. Sind von einer Verschlüsselung personenbezogene Daten der Kunden betroffen, kann es schnell zu einem Verstoß gegen die DSGVO kommen. Der Europäische Datenschutzausschuss (EDSA) unterscheidet dabei in seinen Richtlinien verschiedene Arten von Ransomware-Attacken. Wichtig ist bei der Betrachtung, ob das Unternehmen mit Backups arbeitet, ob es zu einer Entwendung von Daten kam und ob die Angreifer mit einem Verkauf oder einer Veröffentlichung der Daten drohen. Auch die Art der Daten spielt eine Rolle bei der Bewertung, ob eine Meldung an die Behörden empfehlenswert ist. Weiterhin ist zu berücksichtigen, ob das Unternehmen die Daten bereits vorher selbst verschlüsselt hat. Auch wenn keine Meldung erforderlich sein sollte, bedeutet die Durchführung der Bewertung immer zusätzlichen Aufwand für die Betroffenen.

Wie kann ein Risikomanagement aussehen?

Unternehmen stehen vor der Aufgabe, Risiken durch Ransomware-Angriffe zu begrenzen und ein wirksames Risikomanagement für den Umgang mit diesem Problem zu etablieren. In der Praxis existieren in diesem Zusammenhang verschiedene Konzepte.

Netzwerksegmentierung

Eine Möglichkeit für die Begrenzung der Risiken durch Ransomware-Attacken besteht in der Segmentierung der im Unternehmen genutzten Netzwerke. Die größte Gefahr ist darin zu sehen, dass die Angreifer nach dem erfolgreichen Umgehen der Sicherheitssysteme sofort Zugriff auf alle Daten erhalten. Um das zu vermeiden, kann eine Teilung der Computernetzwerke sinnvoll sein. Statt mit einem großen Netzwerk zu arbeiten, verwenden die Unternehmen viele kleine Subnetzwerke. Dringen die Angreifer in eines dieser Subnetzwerke ein, erhalten sie keinen Zugang zu Daten, die sich in den nicht betroffenen Subnetzwerken befinden. Damit das funktioniert, dürfen die Teilnetzwerke nicht miteinander verbunden sein. Die Umsetzung einer solchen IT-Infrastruktur ist jedoch aufwendiger.

Diversifikation des Cloud-Outsourcings

Viele Unternehmen verlassen sich auf einen oder wenige Anbieter für die Auslagerung ihrer Services und Datenspeicher in die Cloud und nehmen damit den Nachteil der Risikokonzentration in Kauf. Im Sinne der Risikominimierung könnte es vorteilhaft sein, stattdessen auf eine stärkere Diversifikation zu setzen. Wer verschiedene Cloud-Anbieter nutzt, kann mit Ausfällen besser umgehen und es ist nur ein Teil der eigenen Dienste und Daten betroffen. Außerdem ist nicht sicher, dass bei einem Ransomware- oder sonstigen Cyber-Angriff tatsächlich der Cloud-Anbieter die Verantwortung für den entstandenen Schaden übernimmt.

Zero-Trust-Ansatz

Zero Trust ist ein Ansatz im IT-Risikomanagement, bei dem grundsätzlich keinem Dienst, keinem Gerät und keinem Nutzer zu trauen ist und das unabhängig davon, von welchem Netzwerk aus die Anfrage stattfindet. Er unterscheidet sich damit deutlich vom Prinzip der Trusted Networks, bei dem eine Festlegung vertrauenswürdiger Netzwerke erfolgt, die keiner Überwachung mehr bedürfen.

Bei Zero Trust hingegen ist ausnahmslos jede Aktivität zu überwachen. Das macht die Prüfung des gesamten Datenverkehrs im Netzwerk oder in den Netzwerken erforderlich. Eine Authentifizierung ist für alle Dienste, Geräte und Nutzer notwendig. Damit entfällt auch die Unterscheidung in einen internen und externen Datenverkehr. Der Vorteil besteht darin, dass ein Angreifer keine Daten mehr so einfach manipulieren kann, nur weil er erfolgreich in das Firmennetz eingedrungen ist. Denn auch bei Anfragen über das Firmennetz sind weiterhin jedes Mal Authentifizierungen erforderlich.

Fazit

Ransomware-Attacken stellen für Unternehmen in Hinblick auf Cyber-Bedrohungen heute die größte Gefahr dar. Entsprechend ist eine Neuausrichtung des IT-Risikomanagements erforderlich, die genau diese Form der Angriffe in den Vordergrund rückt. Es existieren mittlerweile mehrere vielversprechende Methoden für den Umgang mit diesem Risiko wie die Netzwerksegmentierung oder Zero Trust. Unternehmen erhalten damit die Möglichkeit, sich auf die neue Bedrohungslage einzustellen.

Weiterführende Informationen

FAQ´s

Was ist Ransomware?

Bei Ransomware handelt es sich um ein Schadprogramm, welches durch einen Trojaner ausgelöst wird. Die Ransomware sperrt den Zugriff auf vereinzelte Daten oder ganze Systeme. “Ransom” ist das englische Wort für “Lösegeld”. Hiermit wird auch schon das Ziel einer Ransomware beschrieben. Um erneuten Zugriff auf die gesperrten Daten zu erhalten, muss Lösegeld gezahlt werden.

Wie sieht ein Risikomanagement für Ransomware aus?

Unternehmen stehen vor der Aufgabe, Risiken durch Ransomware-Angriffe zu begrenzen und ein wirksames Risikomanagement für den Umgang mit diesem Problem zu etablieren. In der Praxis existieren in diesem Zusammenhang verschiedene Konzepte: Netzwerksegmentierung, Diversifikation des Cloud-Outsourcings und Zero-Trust-Ansatz.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice