Ransomware ist kein IT-Problem, sondern eine Krise der Business-Continuity

Zu Beginn des „Ransomware Awareness Months“ warnt Erich Kron, CISO-Advisor bei KnowBe4, Unternehmen davor, dass Malware-Prävention allein nicht mehr ausreicht, um moderne Angriffe abzuwehren. Die Bedrohungslandschaft im Bereich Ransomware hat sich in den letzten 12 Monaten grundlegend verändert. Cyberkriminelle haben das alte Schema aufgegeben, bei dem es lediglich darum ging, auf einen bösartigen Link zu klicken und Dateien zu verschlüsseln.

Heute hat sich Ransomware zu einer hochprofessionellen, fragmentierten kriminellen Gig-Economy entwickelt, die auf gestohlenen Identitäten, fortgeschrittenem Social-Engineering, Datendiebstahl und gezielten Angriffen auf Wiederherstellungssysteme basiert. Unternehmen können sich nicht länger auf der Annahme verteidigen, dass Ransomware lediglich ein Malware-Problem ist; sie ist ein Test für Identitätssicherheit, operative Widerstandsfähigkeit und die Führungsstärke der Unternehmensleitung unter Druck.

 

Ransomware – Warum sich die Zeiten ändern: 

  • Identität statt Hacking: Angriffe sind selten dramatische Programmierfehler. Angreifer melden sich mittlerweile mit gültigen Zugangsdaten an, umgehen schwache MFA-Verfahren oder nutzen ausgeklügeltes „Scattered Spider“-Voice-Phishing, um Helpdesks dazu zu bringen, Zugangsdaten zurückzusetzen.
  • Die Instrumentalisierung von KI: KI erschafft zwar keine Science-Fiction-Superschurken, macht aber die Täuschung von Menschen unglaublich glaubwürdig. Kriminelle nutzen KI, um nahezu makellose Phishing-E-Mails zu verfassen, den persönlichen Tonfall nachzuahmen und Betrugsstimmen zu synthetisieren, um die traditionelle Intuition der Mitarbeiter zu umgehen.
  • Backups im Kreuzfeuer: Cyberkriminelle wissen, dass Unternehmen Backups nutzen, um die Zahlung von Lösegeld zu vermeiden. Daher zielen sie aktiv auf Backup-Systeme und Wiederherstellungskonsolen ab. Ein Backup zu haben, das noch nie intensiv auf eine zeitnahe, geordnete Wiederherstellung getestet wurde, ist kein Wiederherstellungsplan mehr, sondern lediglich ein Wunsch mit Speicherplatz.
  • Operative Erpressung: Angreifer zielen absichtlich auf Branchen ab, in denen Ausfallzeiten sofort schaden, wie Fertigung, Gesundheitswesen und Logistik, um Geschäftsprozesse lahmzulegen und unmittelbare Finanzkrisen herbeizuführen.

Praktische Ratschläge für Unternehmen:

Erich Kron, CISO Advisor bei KnowBe4

Erich Kron rät IT-Führungskräften und deren Sicherheitsteams dazu den Übergang von der einfachen Malware-Prävention hin zu umfassender Business-Resilienz zu vollziehen. Unternehmen, die ihre Abwehrmaßnahmen aktualisieren möchten, sollten unverzüglich Folgendes umsetzen:

  • Phishing-resistente MFA implementieren: Sie müssen eine starke, idealerweise Phishing-resistente Multi-Faktor-Authentifizierung einführen, insbesondere für privilegierte und Remote-Zugriffspunkte.
  • Helpdesk absichern: Sie sollten ebenso strengere, mehrstufige Verifizierungsprotokolle für Passwort-Zurücksetzungen, MFA-Änderungen und die Account-Wiederherstellung einführen, um Social Engineering zu verhindern. Helpdesks dürfen sich nicht länger darauf verlassen, „schlechte Vorahnungen“ zu erkennen, sondern müssen einen strengen, von der Führungsebene unterstützten Verifizierungsprozess befolgen.
  • Kontinuierliche Identitätsüberwachung: Des Weiteren sollten sie Netzwerkumgebungen aktiv auf verdächtige Anmeldungen scannen, um unmögliche Geo-Locationen, die Registrierung neuer Geräte und unbefugte Änderungen von Zugriffsrechten zu bemerken, bevor Schaden entsteht.
  • Beschleunigung von Notfall-Patches: Sie sollten sich von langsamen, vierteljährlichen Wartungsfenstern für kritische Systeme verabschieden. Gleichzeitig gilt es einen Notfallprozess einzurichten, um internetexponierte Systeme (wie VPNs und Firewalls) mit bekannten, ausgenutzten Schwachstellen schnell zu priorisieren und zu patchen.
  • Schutz und Test von Backups: Darüber hinaus sollten sie sicherstellen, dass Backups vollständig unveränderlich und von der Produktionsumgebung isoliert und regelmäßig getestet werden. Damit bestätigen sie, dass sie die richtigen Daten in der richtigen Reihenfolge schnell genug wiederherstellen können, um für die Business Continuity zu sorgen.
  • Netzwerksegmentierung durchsetzen: Außerdem sollten sie Netzwerke gezielt segmentieren, um Sicherheitsverletzungen einzudämmen und die laterale Bewegung eines Angreifers streng zu begrenzen, falls dieser doch Zugang erlangt.
  • Vielfältige Tabletop-Übungen durchführen: Sie sollten sich die Cybersicherheit aus dem Serverraum herausholen. Dies gelingt ihnen, indem sie Incident Response-Simulationen durchführen, an denen die Rechtsabteilung, die Kommunikationsabteilung, der Betrieb, Führungskräfte und wichtige Dritte aktiv beteiligt sind.
  • Einen aktiven Business Continuity-Plan erstellen: Am Ende des Tages müssen sie nicht nur planen, wie sie Malware entfernen. Sie müssen die kritischen Systemabhängigkeiten erfassen und genau festlegen, wie das eigene Unternehmen während eines andauernden Ausfalls im eingeschränkten Modus weiterarbeiten und Kunden bedienen wird.
Um Unternehmen dabei zu unterstützen, ihre Sicherheitslage während des „Ransomware Awareness Month“ zu verbessern, hat KnowBe4 ein kostenloses Ransomware-Ressourcen-Kit zusammengestellt, das unter folgendem Link heruntergeladen werden kann: www.knowbe4.com/resources/kits/ransomware/typ.

 

#KnowBe4