Ransomware – die immer neue Bedrohung

Ransomware bleibt eine der grössten Gefährdungen für die IT-Sicherheit. Diese Tatsache ist inzwischen auch bei Führungskräften angekommen, wie die neue Studie «Cyber Security: The 2022 Board Perspective» von Proofpoint und Cybersecurity at MIT Sloan belegt. Demnach zählen Mitglieder der Unternehmensleitungen Ransomware zu den drei schwerwiegendsten IT-Sicherheitsbedenken.

Während Ransomware in Unternehmen sowohl von der Führungsriege als auch von den Verantwortlichen für die Daten- und IT-Sicherheit als ernsthafte Gefahr erkannt wird, besteht weit weniger Einigkeit über die geeigneten Schutzmassnahmen. Dabei sind die Grundsätze einer IT-Sicherheitsstrategie, die auch den modernen Ransomware-Attacken die Stirn bieten kann, nicht sonderlich komplex.

Alles beginnt mit einem Cyber-Security-Framework, das Tools und Methoden festlegt, wie mit bestimmten Bedrohungen umzugehen ist. In der Praxis gibt es bewährte Cyber-Security-Frameworks, beispielsweise ISO 27001 oder das NIST Framework, die als Grundlage verwendet werden können. Gerade wenn es um Cyber Security geht, ist wenig Raum für Experimente, deshalb stellen die genannten Frameworks einen guten Ausgangspunkt dar.

Man könnte dabei versucht sein, sich aus mehreren Frameworks das Beste für sein Unternehmen herauszupicken. Das kann allerdings nicht gutgehen, weil diese Frameworks «holistisch» strukturiert sind: Die einzelnen Bestandteile können ihre Rolle optimal nur in diesem spezifischen Kontext erfüllen. Verpflanzt man sie in einen anderen Kontext, werden sie nicht die gewünschten Resultate erzielen. Eine gute Verteidigung gegen Ransomware beginnt also mit der Wahl eines geeigneten Frameworks, dessen Parameter – soweit nötig – an die Erfordernisse der eigenen Organisation angepasst werden.

Im Rahmen des gewählten Frameworks muss eine Strategie zur Verteidigung gegen Ransomware der veränderten Herangehensweise der Cyberkriminellen gerecht werden. Cyberkriminelle dringen nur noch selten auf Basis technischer Schwachstellen in eine IT-Infrastruktur ein. Vielmehr zielen sie auf Benutzer ab, um deren Anmeldedaten zu kompromittieren, sie zu einem Fehler zu verleiten oder sie zu Komplizen im Angriff gegen ihren Arbeitgeber zu machen. Um sich dagegen zu wehren, müssen IT-Sicherheitsverantwortliche in der Angriffskette einen Schritt zur Seite machen. Sie müssen sich von der Erkennung und Wiederherstellung nach einer Attacke weiter nach vorne bewegen und sich auf den Schutz der Daten und den Faktor Mensch konzentrieren.

Der reaktive Ansatz gegen Ransomware war verständlich, als es nur darum ging, Informationen im Fall der Fälle wiederherstellen zu können. Moderne Ransomware-Attacken verfolgen jedoch neben der Lösegelderpressung zusätzliche Ziele, zum Beispiel Unternehmensspionage oder Datendiebstahl. Verteidigung gegen Ransomware wird damit zu einem Thema der Data Loss Prevention (DLP) und muss Daten in den Mittelpunkt stellen.

Das beginnt mit der Klassifizierung der Daten. IT-Sicherheitsteams müssen verstehen, welche Daten gefährdet sind, wer Zugang zu ihnen benötigt, wer Zugang zu ihnen hat und wie wertvoll sie für Cyberkriminelle sein können. Eine moderne DLP-Strategie muss dem Benutzer folgen, wo immer er sich aufhält, denn es sind vor allem die Mitarbeitenden, die Daten gefährden.

Für Ransomware-Angriffe gilt dasselbe wie für alle Cyberattacken: Über 90 Prozent erfordern eine menschliche Aktion, um erfolgreich zu sein. Das macht Mitarbeitende zum Haupteinfallstor für die IT-Sicherheit. Je mehr eine Organisation über ihre Benutzerinnen und Benutzer, ihre Aktivitäten und ihr Verhalten weiss, desto besser kann sie die Frühwarnzeichen eines Angriffs erkennen.

Zudem gilt es, Mitarbeitende mit geeigneten Massnahmen zu sensibilisieren und zu schulen. Die IT-Sicherheitsschulungen sollten regelmässig, umfassend und anpassungsfähig sein und eine ganze Reihe von Themen abdecken – von den Motiven und Mechanismen von Cyberbedrohungen bis hin zur Frage, wie einfache Verhaltensfehler wie die Wiederverwendung von Passwörtern und unzureichende Datensicherheit die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöhen können.

Schulungen sind zwar ein gutes Mittel gegen Nachlässigkeit und mangelnde Kenntnisse. Gegen bösartige Insider vermögen sie aber nahezu nichts auszurichten. Deshalb bedarf es geeigneter technischer Tools, um die Strategie zur Abwehr von Ransomware abzurunden.

Zunächst können technische Mittel helfen, ein besseres organisatorisches Verständnis der Benutzerinnen und Benutzer zu erlangen, und zu identifizieren, welche Benutzer, Abteilungen oder Gruppen verwundbar sind beziehungsweise über privilegierte Zugänge verfügen. Dieses verbesserte organisatorische Verständnis hilft, faktenbasierte Entscheidungen zu treffen. Mit Tools, die herausfinden, wer in der Firma angegriffen wird und warum, können IT-Sicherheitsteams eine proaktive Strategie zur Abwehr dieser Angriffe verfolgen. Sie können zum Beispiel für besonders gefährdete User strengere Richtlinien bei der Isolierung von Webbrowsern definieren, um so das etwaige Nachladen von Malware-Komponenten bei komplexen, mehrstufigen Ransomware-Angriffen zu verhindern.

Unter den technischen Sicherheitsmassnahmen spielt eine effiziente E-Mail-Security-Lösung eine zentrale Rolle, weil die E-Mail das Mittel der Wahl für Cyberkriminelle ist, um Mitarbeitende zu kontaktieren und in die Falle zu locken. Mit einer robusten E-Mail-Security- und Data-Loss-Prevention-Lösung können Firmen bösartige Nachrichten analysieren, filtern und blockieren, bevor sie den Posteingang erreichen. Insgesamt lässt der Stand der Dinge auch bei diesen grundlegenden Schutzmechanismen zu wünschen übrig. So zeigt eine aktuelle Studie unter deutschen Unternehmen, dass nur 40 Prozent der Firmen Technologien für die Endpunktsicherheit einsetzen, und nur der gleiche Prozentsatz hat DLP-Lösungen im Einsatz.

Ransomware bleibt eine der bedrohlichsten Gefahren für die IT-Sicherheit. Um den neuesten Entwicklungen auf diesem Gebiet Rechnung zu tragen, benötigen Organisationen ein passendes Framework, in dem Daten und Menschen eine entscheidende Rolle spielen und das Schulungen der Mitarbeitenden mit geeigneten technischen Massnahmen kombiniert.