Ransomware bleibt auch 2022 die größte Bedrohung, insbesondere für KMUs

Zac Warren, Senior Director Cybersecurity Advisory, EMEA bei Tanium

Vor rund einem Monat erschien der jährliche Lagebericht des BSI zum Thema Cybersicherheit in Deutschland. Die Cybercrime-Spezialisten des Bundesamtes identifizierten Ransomware als größte Bedrohung für die deutsche Wirtschaft und betitelten den dazugehörigen Abschnitt in ihrem Bericht als „Big Game Hunting mit Ransomware“, also die Jagd auf große Unternehmen, die eine lukrative Beute in Aussicht stellen. Ein Kommentar von Zac Warren, Senior Director Cybersecurity Advisory, EMEA bei Tanium.

Zum einen ist es richtig, dass die großen Fische im Netz eine attraktive Beute für Cyberkriminelle darstellen. Doch kleine Unternehmen sollten sich von dieser Tatsache nicht in ein fatales, weil falsches, Sicherheitsgefühl wiegen lassen. Denn die Netze der Cyberkriminellen sind groß und der Beifang wird nur selten über Bord geworfen.

Von großer krimineller Energie angetrieben, nehmen die Angreifer in der Regel alles mit, was sich in irgendeiner Form zu Geld machen lässt. Die breit gestreuten Angriffswellen sind nämlich besonders gefährlich, wenn das Budget für die IT-Sicherheit schmal und die Mitarbeiter nicht in der Breite gegen die neuesten Angriffstechniken immunisiert worden sind.

 

Erpressung in drei Stufen – Eindringen, Ausspionieren, Erpressen

Ein üblicher Angriffsverlauf spielt sich folgendermaßen ab:

  • Das Opferunternehmen wird mit Emotet infiziert. Dies geschieht meist über einen unbedachten Klick, einen leichtfertigen Download oder manchmal ganz ohne eigenes Verschulden durch die Ausnutzung einer weit verbreiteten Sicherheitslücke (z.B. MS-Exchange).
  • Spionage durch Trickbot. Im zweiten Schritt wird die Spionagesoftware Trickbot nachgeladen. Diese kundschaftet das Netzwerk aus und sammelt alle möglichen Daten; Angefangen beim E-Mailverkehr der Mitarbeiter bis hin zu den Kronjuwelen des Unternehmens, wie beispielsweise Betriebsgeheimnisse oder sonstige Dokumente, die bewusst unter Verschluss gehalten werden.
  • Verschlüsselung und Erpressung durch Ryuk. Ist die IT-Infrastruktur zur Zufriedenheit der Kriminellen kartiert, werden die wichtigsten Datenbestände verschlüsselt. Hat das Opferunternehmen keine vom Netzwerk isolierten Datenbackups, ist man den Angreifern vollkommen ausgeliefert. Es bleibt nun die Wahl zwischen Pest und Cholera: Man zahlt das geforderte Lösegeld in der Hoffnung, dass die Erpresser die Daten-Schlüssel preisgeben – oder man schreibt die Verluste vollumfänglich ab. Ersteres bietet keine Garantie für eine Wiederherstellung der Daten; Weiterhin empfiehlt man sich bei den Angreifern als zahlungswilliges Opfer für zukünftige Angriffe. Die zweite Option – der Neustart von Null – kann sich kaum ein Unternehmen leisten.

 

In drei Schritten zur bestmöglichen IT-Sicherheit: Patches & Backups & Cyberversicherung

Gerade die kleinen Unternehmen fühlen sich durch die gefühlte Komplexität der Cyber-Bedrohungslage eingeschüchtert und nicht selten überfordert. Ihr finanzieller Spielraum ist nicht mit dem von global agierenden Großkonzernen vergleichbar. Die empfundene Hilfslosigkeit führt nicht selten dazu, dass die Entscheider kleinerer Betriebe von einer fatalistischen Lähmung überkommen werden und auf das Prinzip Hoffnung setzen: „Mich wird es schon nicht erwischen. Und wenn doch, hätte ich sowieso nichts dagegen tun können.“ Doch das ist falsch.

Die überwältigende Mehrheit aller Ransomwareangriffe – insbesondere auf die kleineren Fische im Beifang – können durch zwei verhältnismäßig einfache Schritte im Vorfeld gestoppt werden.

  1. Anlegen eines Datenbackups, welches vom Unternehmensnetz abgetrennt archiviert wird. Somit können Eindringlinge nicht auf das Backup zugreifen und das Unternehmen kann zum Datenstand vor dem Ransomwarebefall zurückkehren.
  2. Regelmäßige Aufspielung von Sicherheitsupdates auf allen Geräten im Firmennetz. Es reicht ein ungepatchtes Endgerät – Laptop, Tablet, Smartphone etc. – um die Schadsoftware hinter die Firewall des Unternehmens zu schleusen. Wenn eine bekannte Sicherheitslücke nicht sofort nach Bekanntwerden geschlossen wird, hilft auch ein makelloses Sicherheitsverhalten aller Angestellten nichts; Die Angreifer nehmen einfach die offenstehende und unbewachte Hintertür.
  3. Wenn ein Datenbackup angelegt und ein Patchmanagement-System installiert wurde, kann man sich zusätzlich noch mit einer Cyberversicherung gegen den worst case absichern. Viele Versicherer honorieren eine gut aufgestellte IT-Sicherheit ihrer Klienten mit Vergünstigungen und regulieren entstandene Schäden anstandslos, wenn der Versicherte sich im Vorfeld ausreichend geschützt hat.

Gerade für die kleinen und mittelständischen Betriebe wird es höchste Zeit, aus der Angststarre zu erwachen und sich an diesen zwei konkreten und hocheffektiven Grundsätzen der Cybersicherheit zu orientieren. Eine sichere IT-Infrastruktur ist kein Hexenwerk, wenn man weiß, wo man anpacken muss und der BSI Report leistet hier wertvolle Orientierungshilfe.

#Tanium