Die Gefährdungslage steigt stetig: Allein im letzten Jahr hat das Varonis-Incident-Response-Team mehr als 250.000 Warnungen untersucht. Die geopolitischen Spannungen nehmen weiter zu, Ransomware hat nichts an ihrer destruktiven Kraft verloren und gleichzeitig wächst die Datenmenge exponentiell. All dies stellt Sicherheitsteams vor große Herausforderungen, die nur mit einer proaktiven Vorfallreaktion adressiert werden können.
Ransomware ist weiter auf dem Vormarsch
Incident-Response-Teams in aller Welt befassen sich tagtäglich mit Ransomware-Angriffen und beobachten seit einiger Zeit eine veränderte Vorgehensweise der Cyberkriminellen. Sie sind von der reinen Verschlüsselung zur Datenverschlüsselung und -exfiltration übergegangen, um zusätzlichen Druck auf die Opfer auszuüben. Obwohl dieser Trend erst vor ein paar Jahren einsetzte, ist er heute bei den meisten Angriffen Standard. Die Lösegeldforderung ist mittlerweile eher eine Bestätigung, dass es Angreifer in die Systeme geschafft haben. Der gefährliche Teil ist nicht die Verschlüsselung der Daten, sondern die Tatsache, dass die Daten das Unternehmen verlassen haben: Verschlüsselte Daten lassen sich wiederherstellen. Exfiltrierte Daten sind jedoch unwiederbringlich in den Händen der Angreifer. Systeme lassen sich wieder neu aufsetzen, Daten können jedoch nicht „unkompromittiert“ werden.
Die wirtschaftliche Situation führt zu einer Zunahme von Insider-Bedrohungen
Bislang wurden allein im Jahr 2023 mehr als 150.000 Mitarbeitende der großen Technologieanbieter entlassen. Und das in einer Branche, die weithin als „rezessionssicher“ galt. Wenn man miterlebt, wie Freunde und Kollegen ihren Job verlieren, und sich um die eigene Arbeitsplatzsicherheit sorgt, steigt die Wahrscheinlichkeit, dass jemand versucht, sich abzusichern und möglicherweise sensitive Daten zu entwenden, um sie bei potenziellen neuen Arbeitgebern einzubringen. Politische und ökonomische Ereignisse haben Auswirkungen auf das menschliche Verhalten. Entsprechend muss dieses von Sicherheits- und IR-Teams einbezogen und insbesondere auf veränderte Muster geachtet werden.
Auf frühe Indikatoren einer Kompromittierung achten
Auch wenn der russische Angriffskrieg auf die Ukraine bislang scheinbar keine größeren Auswirkungen auf die Sicherheitslage im Westen hat, gibt es keinen Grund zur Entwarnung. Zahlreiche Experten gingen etwa davon aus, dass die wahrscheinlich in der Ukraine beheimatete Cybercrime-Gruppe hinter Emotet zerschlagen wurde. Incident-Response-Teams konnten jedoch feststellen, dass sie ziemlich aggressiv wiederaufgetaucht sind. Deshalb ist es absolut vorrangig, schon früh in der Kill Chain nach Hinweisen auf Angriffe zu suchen.
Die Untersuchung von frühen Indikatoren ist für eine erfolgreiche Abwehr essenziell. Oftmals erhalten Unternehmen an einem Freitag Warnungen, die vielleicht nicht so ernst genommen werden, wie sie sollten. Und am Montagmorgen ist dann die gesamte Domain verschlüsselt. Oftmals entdecken Security-Teams auch einen potenziell gefährdeten Benutzer, konzentrieren ihre Bemühungen auf die Beseitigung dieses einen Benutzers oder gefährdeten Geräts und betrachten den Fall dann als abgeschlossen – und werden dann eine Woche später Opfer eines Ransomware-Angriffs.
Daten haben keine Heimat mehr
In den letzten drei Jahren haben die IT und der Umgang mit Daten umfangreiche Veränderungen durchlaufen. Während der Pandemie haben wir eine globale Umstellung auf eine dezentrale Belegschaft erlebt. Dies hatte natürlich auch Auswirkungen auf die Datensicherheit: Sicherheitsverantwortliche sahen sich nun der Frage ausgesetzt, wohin sich die Daten bei tausenden Remote-Benutzern auf der ganzen Welt bewegen. Es wird wohl auch keinen Weg mehr zurück in die Vor-COVID-Situation geben: Mitarbeitende werden weiter in gewissem Umfang aus dem Homeoffice oder hybrid arbeiten. Entsprechend sind Daten nicht mehr auf den Dateiserver beschränkt, sondern letztlich überall.
Da sich der Trend zur Telearbeit sehr schnell vollzogen hat, besteht bei den meisten Unternehmen nach wie vor eine große Sicherheitslücke zwischen dem, wie die On-Premises-Umgebung gesichert war, und dem aktuellen Schutz der Cloud-Umgebung. Hier gibt es noch einen deutlichen Nachholbedarf, der nur durch entsprechende Expertise adressiert werden kann, was angesichts knapper Ressourcen für viele Sicherheitsteams eine enorme Herausforderung darstellt.
Incident-Response muss sich von einem reaktiven zu einem proaktiven Ansatz entwickeln
In der Vergangenheit waren Incident-Response-Teams reaktiv und warteten auf Anrufe, nachdem ein Kunde einen Vorfall gemeldet hatte. Die Zukunft der Reaktion auf Vorfälle muss jedoch proaktiv sein, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Proaktive IR-Services entlasten die internen Sicherheitsteams und verbessern die Cyber-Resilienz des Unternehmens nachhaltig – und das 24/7. Gerade in Zeiten des Fachkräftemangels ist dies ein entscheidender Vorteil. Analysten überprüfen regelmäßig die Umgebungen der Kunden, suchen nach Bedrohungen und führen Untersuchungen durch, ohne die wertvolle Zeit der Kunden zu beanspruchen. Speziell geschulte Experten erkennen schon die frühen Warnzeichen, etwa wenn ein Ransomware-Angriff unmittelbar bevorsteht. Das externe Incident-Response-Team leitet die entsprechenden Maßnahmen ein und alarmiert die Kunden nur im echten Notfall. Auf diese Weise wirkt es nicht nur der Alarmmüdigkeit entgegen, sondern sorgt auch für ein deutliches Plus an Sicherheit.
Von Michael Scheffler, Country Manager DACH von #Varonis Systems
