Ransomware-Attacke – und was nun?

Die einschlägigen Studien überschlagen sich mit ihren Einschätzungen hinsichtlich des Schadens, den Ransomware-Attacken jährlich verursachen. Die Rede ist von 20 oder 220 Milliarden Euro allein in Deutschland oder 10 Billionen Euro weltweit. Solange dies reine Statistik ist, hält sich die Betroffenheit angesichts dieser Zahlen bei den meisten Organisationen in Grenzen. Das ändert sich schnell, wenn das eigene Unternehmen attackiert wird. Und offensichtlich gehört man heute zu einer exklusiven Minderheit, wenn dies nicht der Fall ist. Was also tun, angesichts dieser sehr realen Bedrohung. „Zahlen oder nicht zahlen“ ist am Ende nicht die Frage, zumindest nach Auffassung der Experten. Deren Antwort lautet in erster Linie Prävention.

Gestern noch ging es schlichtweg um die persönliche Bereicherung, wenn Hacker versuchten, Unternehmen damit zu erpressen, ihre Daten unwiederbringlich zu verschlüsseln. Das hat sich seit einiger Zeit verändert, seit offensichtlich terroristische Organisationen oder gar Staaten auf den Zug aufgesprungen sind. Das legen zumindest die verfügbaren Analysen nahe. Jetzt stehen kompromittierte Unternehmen nicht nur vor Aufgabe, ihr Renommee zu schützen. „Die Zahlung von Lösegeldern an terroristische Organisationen könnte in manchen Fällen sogar strafbar sein,“ erläutert Markus Auer, Security Advisor bei Bluevoyant. „Natürlich hängt es von Fall zu Fall ab, weil die entsprechenden Angriffe keine Branche oder keine Unternehmensgröße mehr verschonen, aber eben deshalb ist jedes Unternehmen gut beraten, einen Notfallplan zu haben.“

Und darin liegt offensichtlich die Crux. Die Frage ist nicht mehr ob, sondern wann. „Es gibt nun genügend Beispiele dafür, wie Ransomware komplette Firmennetze verschlüsselt hat“, erklärt Siegfried Schauer, Associated Partner Security bei IBM. „Die betroffenen Unternehmen haben meist nicht genügend Maßnahmen im Vorfeld gesetzt. In Summe entscheidet das gesamte Security-Konzept, wie der Schaden am Ende ausfällt.“

 

Make your Systems harder

So viel ist klar: Die erste Maßnahme gegen Ransomware-Attacken ist simpel deren Vermeidung im Vorfeld. Und da gilt es einfach, die Hausaufgaben zu machen. „Die Wahrscheinlichkeit, angegriffen zu werden, wird immer größer“, so David Balzer, Channel Account Manager bei Sysob. Und so gilt es eben, grundlegende Maßnahmen zu treffen wie Software-Updates, Antiviren-Software, E-Mail-Security oder Sicherungskopien. Das Zauberwort heißt „Prävention“, aber die ist leichter gefordert, als in der Praxis getan.

 

„Es gibt dafür nicht die eine Lösung, die für alle Unternehmen und Infrastrukturen passt“, so Thomas Müller-Martin, Global Partner Technical Lead bei Omada. „Vielmehr handelt es sich um eine vielschichtige Anzahl von Maßnahmen und hintereinandergeschaltete Sicherheitsressourcen.“ Aus seiner Sicht geht es vor allem darum, möglichst wenige Rechte zu verteilen und Einbrüche möglichst schnell zu erkennen.

 

Auch Jelle Wieringa, Security Awareness Advocade bei KnowBe4, plädiert für eine umfassende Prävention mit den bekannten Maßnahmen: „Software up-to-date halten und die Prozesse im Blick haben hilft, die wesentlichen Einfallstore zu schließen. Ein besonderes Augenmerk gilt dem Social-Engineering, weil Phishing nach wie vor der wichtigste Angriffsvektor ist: Train your Employees.“

 

Auch wenn dies heute selbstverständlich sein sollte, so empfehlen fast alle Anbieter eben genau diese Maßnahmen. „Make your Systems harder“, bringt es Kennedy Torkura, Chief Technology Officer bei Mitigant auf den Punkt. „Angriffsvektoren erkennen, nach Schwachstellen suchen und diese zu schließen, das ist noch immer die wichtigste Grundlage, um sich zu schützen.“

 

Das Restrisiko bleibt

Natürlich bleibt immer ein Restrisiko, dass sich mit diesen Maßnahmen nicht vermeiden lässt. Deshalb gilt es, seine Daten auch für den Fall der Fälle parat zu haben. „Wenn das Backup sicher vor dem Administrator ist, dann ist es auch sicher vor dem Angreifer“, erläutert Thomas Sandner, Senior Director Technical Sales von Veeam. Und er empfiehlt die 3-2-1-1-Regel: „Drei Kopien auf zwei unterschiedlichen Medien und eine davon ausgelagert und gehärtet.“

 

Für Ralf Steinbrück, Senior Solutions Engineer bei Yubico, sind es vor allem die Identitäten, die es zu schützen gilt. „Die kompromittierte Identität ist die wesentliche Schwachstelle. Sie gilt es zu schützen.“ Er empfiehlt dazu eine Phishing-resitente Multi-Faktor-Authentifizierung.

 

„Die Wahl ist doch“, so Robert Rudolph von Forenova, „die nötigen Investitionen im Vorfeld zu machen oder die Lösegeldforderungen zu bezahlen.“ Seiner Ansicht nach erfordert die Sicherheitslage ein komplettes Umdenken und eine Verhaltensanalyse aller Aktivitäten im Unternehmen. Es bedarf im Falle einer Kompromittierung des Neuaufsetzens der Infrastruktur. „Unternehmen müssen bedenken, dass ein erfolgreicher Angriff nicht selten zu einem erneuten Versuch durch andere oder sogar den gleichen Hacker führen kann.“

 

Was aber tun, wenn das Kind in den Brunnen gefallen ist? Zunächst einmal Ruhe bewahren! Darin sind sich die Protagonisten einig. Aber auch unverzüglich handeln. „Attacken passieren und werden weiter passieren“, so Mirko Oesterhaus, Geschäftsführer von Consulting4IT. „Die Frage ist dann: Wie reduziere ich den Schaden.“

 

Ruhe bewahren, unverzüglich handeln

Die wichtigste Maßnahme liegt in der Isolation der betroffenen Systeme: „Infizierte Geräte identifizieren, Schadcode isolieren und den Angriffsvektor verstehen sind die Grundlagen, um die Auswirkungen der Attacke zu begrenzen“, erläutert Max Papenbrock, Cloud Security Specialist bei Netscope.

 

Was also kann das betroffene Unternehmen selbst tun? Dazu gibt es einige Grundregeln, die damit beginnen zu überprüfen, was betroffen ist und die entsprechenden Geräte vom Netzwerk zu trennen. Danach ist es erforderlich herauszufinden, wie die Angreifer in die Maschinen gelangt sind. Das ist zudem ein guter Zeitpunkt, etwa um Passwörter zu ändern und andere Lücken zu schließen. Wenn es geeignete Backups gibt, dann lassen sich im besten Falle damit die Systeme wieder aufsetzen. Allerdings: in Anbetracht der möglichen Schäden, reicht die Reaktion mit Bordmitteln im Allgemeinen nicht aus.

„Eine geglückte Ransomware-Attacke kann dazu führen, dass die IT für einen Monat nicht verfügbar ist“, erklärt Michael Veit, Technology Evangelist bei Sophos. „Tatsächlich ist es für die meisten Unternehmen am besten, einen Incident-Response-Service anzurufen.“ Und anschließend hält er es für eine gute Idee, die Sicherheit von einem Managed-Service überwachen zu lassen. „Mit Technology allein ist das heute nicht mehr möglich“, so sein Fazit. „Es braucht dazu KI und vor allem erfahrene Experten.“

 

„Die Frage ist doch, ob die Daten ohne die Zahlung eines Lösegeldes gerettet werden können“, so Mathias Klassen, Business Team Lead Offensive Security bei Informatik Consulting Systems. Er verweist zum Beispiel auf Services wie ID-Ransomware, die die Attacken identifizieren und in einigen Fällen sogar Software für die Entschlüsselung bereitstellen können. „Aber natürlich ist es alle Male ratsam, in diesem Falle Experten hinzuzuziehen.“

 

Vorstand, Legal und PR einschalten

Auch Fred Tavas, Director Sales Europe bei Trustwave plädiert dafür, sich entsprechender Forensiker zu bedienen. Und auch er empfiehlt, sich deren Leistung in Form eines Retainers zu sichern: „Mit Retainern sind die Experten quasi in Echtzeit da. Sie können auch darüber Auskunft geben, ob der Vorfall per Datenschutzverordnung meldepflichtig ist.“

 

Tatsächlich ist die Frage des weiteren Umgehens nach einem Angriff von entscheidender Bedeutung. Den Vorfall mit Bordmitteln zu lösen und anschließend das Mäntelchen darüber zu decken, halten die Anbieter für keine gangbare Strategie.

„Die lückenlose Analyse des Vorfalls und die Minimierung der Folgen ist das eine“, so Jörg Lange, Senior Consultant IT-Security bei Helmich IT-Security. „Auf jeden Fall ist es aber erforderlich, Geschäftsführung, Vorstand und Datenschützer zu informieren und gegebenenfalls die Polizei einzuschalten.“

 

Auch Bogdan Botezatu, Director Threat Research and Reporting bei Bitdefender, verweist auf die möglichen Folgen in juristischer Hinsicht sowie in Bezug auf das Image des Unternehmens: „Es ist zwingend erforderlich, Legal- und PR-Teams einzuschalten, insbesondere dann, wenn Kunden oder Partner betroffen sind. Das erfordert oftmals sogar die Gesetzgebung.“

 

Die weitreichende Information von Partnern, Kunden und Lieferanten hat für Christian Singhuber, Geschäftsführender Gesellschafter von A.SYS, eine weitere Dimension. „Neben der Information der Geschäftsführung ist das Hinzuziehen der Partner schon allein deshalb wichtig, damit diese gegebenenfalls den Sicherheitsstatus ihrer eigenen Systeme hochziehen können.“

 

„Mit Ransomware lässt sich viel Geld verdienen. Deshalb wird diese Bedrohung auch nicht von allein aufhören“, stimmt Zac Warren, Senior Director Cybersecurity Advisory EMEA bei Tanium, dem zu. „Prevention, im Schadensfall ruhig bleiben, den Zugriff auf sensible Daten abschneiden und die Behörden alarmieren.“

 

Es gibt, auch das ist allgemeiner Konsens, kein Patentrezept gegen Ransomware. „Wenn das Kind in den Brunnen gefallen ist, dann bleibt nichts anderes übrig, als es dort wieder herauszuholen“, resümiert Armin Simon, Regional Director for Encryption Solutions bei Thales. „Hoffentlich existiert in diesem Falle ein Notfallplan. In der Regel ist ein Krisenstab erforderlich, der auch die entsprechenden Meldepflichten mit auf dem Plan hat.“

 

 

Do not Pay!

Bleibt die Gretchenfrage: Zahlen oder nicht zahlen? Auch hierin sind sich die Experten einig: „Do not pay the Ransom!“ Die Zahlung von Lösegeldern hilft nur den Kriminellen, ihr dunkles Business weiter zu betreiben. Denn selbst bei einer Zahlung der Beträge werden den Statistiken zufolge in einem von fünf Fällen die Daten nicht wiederhergestellt.

#Netzpalaver