Arcserve, LLC, ein langjähriger und führender Anbieter von Lösungen für Daten- und Ransomware-Schutz, warnt vor der gestiegenen Bedrohung durch Ransomware und stellt einen Strategie-Fahrplan zum Schutz vor Cyber-Attacken vor. Ransomware ist seit der Corona-Krise zu einer noch grösseren Bedrohung für die Cybersicherheit von Unternehmen geworden. Der Schaden, der durch diese Art von Malware verursacht wird, reicht vom Blockieren des Zugriffs von Benutzern auf benötigte Ressourcen bis hin zur Offenlegung oder Vernichtung sensibler Unternehmensdaten.
Fast jedes Unternehmen war schon von einem Ransomware-Angriff betroffen. Einer Prognose des Marktforschungsunternehmens Cybersecurity Ventures zufolge wird bis zum Jahr 2021 alle elf Sekunden ein Unternehmen einem Ransomware-Angriff zum Opfer fallen. Im Jahr 2016 waren es noch alle 40 Sekunden, was darauf hinweist, dass Cyber-Kriminelle auf immer professionellere Weise Schwachstellen im Unternehmensnetzwerk auszunutzen. Auch sind nicht nur Unternehmen gefährdet, auch Einrichtungen der öffentlichen Hand, Krankenhäuser, Universitäten und in jüngster Zeit auch Energie- und Wasserbetriebe sind immer öfter Opfer von Cyberattacken. Solche Angriffe bewirken im schlimmsten Fall nicht nur einen enormen wirtschaftlichen Schaden, sondern stellen im Extremfall auch eine Sicherheitsbedrohung für die Bevölkerung dar.
Die Zunahme erfolgreicher Ransomware-Angriffe hat enorme finanzielle Auswirkungen. Im Jahr 2019 wurden die weltweiten Schäden durch diese Cyber-Attacken auf 11,5 Milliarden Dollar geschätzt, im Jahr 2021 wird die Zahl wohl bereits bei 20 Milliarden Dollar liegen. Sicherheitsexperten haben in Zusammenhang mit der COVID-19-Epidemie einen Anstieg von Lösegeld- und anderen Phishing-Angriffen beobachtet. Gerade jetzt ist es für Unternehmen wichtig, einen Ransomware-Schutzplan zu erstellen und strategisch vorzuplanen, insbesondere im Hinblick auf verstärktes Remote-Arbeiten.
So werden IT-Systeme mit Ransomware infiziert
Ransomware gelangt primär durch User-Aktionen ins Firmennetzwerk, wie zum Beispiel durch Klicken auf infizierte E-Mail-Links oder das Herunterladen infizierter Anhänge. Sie verbreitet sich auch durch schädliche Links in gefälschten Anzeigen oder Websites und Social-Media-Anwendungen. Diese übertragen die Malware dann innerhalb einer Anwendung oder auf andere Rechner im System. Durch die ständige Weiterentwicklung der Ransomware-Taktiken wird es immer schwieriger, die Malware zu identifizieren. Die Angreifer nutzen sogar Drive-by-Downloads, um in Netzwerke einzudringen und Ransomware zu installieren, ohne dass die User überhaupt den Link angeklickt haben.
Die wichtigsten Schritte bei einer Ransomware-Attacke
Beim Erhalt einer Lösegeldforderung sollte man versuchen, ohne Panik zügig folgende Massnahmen zu ergreifen, um den Schaden so gering wie möglich zu halten:
- Alle verdächtigen Geräte vom Netzwerk trennen
Sobald der Verdacht besteht, dass ein Gerät mit Ransomware infiziert ist und so in das Firmen-Netzwerk eindringen könnte, muss dieses schnellstmöglich von allen Netzwerkkontakten getrennt werden, um die Infektionskette zu unterbrechen. - Lokalisierung des «Patienten Null»
Nach Entdeckung der Malware muss der Eintrittspunkt der Ransomware so schnell wie möglich lokalisiert werden. Zur Wiederherstellung ist es für die IT-Abteilung nun essentiell zu wissen, ob die Sicherheitsverletzung auf einen User-Fehler oder auf eine Schwachstelle in der Netzwerksicherheit zurückzuführen ist. - Identifizierung der Ransomware
Verschiedene Arten von Ransomware haben ihre eigenen Methoden zur Verbreitung und Verschlüsselung von Daten. Die schnelle Identifizierung der Ransomware beschleunigt Recovery-Massnahmen und kann den Schaden geringhalten. - Schadensanalyse
Sobald die Art der Ransomware bekannt ist, kann abgeschätzt werden, wie gross der Schaden ist oder möglicherweise sein wird. Einige Ransomware-Typen sperren nur Daten, andere verschlüsseln Dateien und machen sie bei Nichtzahlung des Lösegeldes unbrauchbar. Wenn sich Unternehmen nicht erpressen lassen wollen und somit kein Lösegeld zahlen, stellt man alle Daten mit der eigenen Backup-Lösung wieder her. Bei Unternehmen, die keine Backup-Lösung im Einsatz haben, sind die Daten allerdings in der Regel vernichtet. - Schadensbericht
Gleich nach dem Angriff sollten die Behörden benachrichtigt werden, um weitere Angriffe zu verhindern. Viele Unternehmen sind nach Compliance-Richtlinien gesetzlich verpflichtet, Ransomware-Angriffe zu melden. Als Beweismittel für den Polizeibericht und für die Versicherungsleistungen ist ein Foto/Screen Shot der Lösegeldforderung erforderlich. - Desaster Recovery-Plan
Nachdem der Angriff entschärft und der Schaden bewertet wurde, sollte zügig mit dem Recovery-Prozess begonnen werden, um die Auswirkungen auf die User und den Betriebsablauf so gering wie möglich zu halten. Unternehmen, die keinen umfassenden, aktuellen Desaster-Recovery (DR)-Plan haben, sollten sich spätestens zu diesem Zeitpunkt nach einer umfassenden DR-Lösung umsehen, um weitere Verluste durch zukünftige Angriffe zu vermeiden.
Das Experten-Team von Arcserve hat vier Strategien zum Schutz vor Ransomware und anderen Cyberattacken erstellt:
- Zentralisierung der Sicherheitstechnologie
Je komplexer die IT-Umgebung, desto verwundbarer ist das Unternehmen. Üblicherweise werden in Unternehmen mehrere Systeme und Anwendungen auf einer Vielzahl von Infrastrukturen (on-site, virtuell, Cloud-basiert) ausgeführt, die jeweils unterschiedliche Sicherheits- und Datenschutzstrategien erfordern. Jeder Anbieter und jede eingesetzte Lösung bringt zusätzliche Schwachstellen und potenzielle Lücken in der Sicherheitsabdeckung mit sich. Eine einheitliche Strategie für das Management vor Bedrohungen – einschliesslich Malware-Erkennung, lernfähiger neuronaler Netzwerke und Anti-Exploit-Technologie – in Kombination mit sicheren Backup- und DR-Funktionen kann die Sicherheitslücken für einen vollständigen Schutz vor Ransomware-Attacken schliessen. - 3-2-1 Backup-Strategie
Der DR-Plan eines Unternehmens ist nur so gut wie das aktuellste funktionierende Backup. Wichtig ist, Backups und den DR-Plan regelmässig zu testen. In der Regel sollte man zweimal pro Jahr ein Teil-Backup testen und jährlich einen vollständigen Backup-Test durchführen.
Die 3-2-1-Backup-Strategie bietet ein hohes Mass an Schutz vor Datenverlust, auch im Falle eines Brandes oder einer Naturkatastrophe:
3 Kopien aller Daten aufheben.
2 Verschiedene Arten von Medien nutzen.
1 Kopie ausser Haus oder in der Cloud speichern.
Man sollte daran denken, dass Lösegeld-Angriffe zunehmend auf Backups abzielen und deshalb sicherstellen, dass das Backup-System keinen direkten Zugriff auf Backup-Dateien erlaubt. - Ständig aktualisierte Betriebssysteme und Software-Versionen
Verpasste Patches sind eine der häufigsten Möglichkeiten für Cyber-Kriminelle, auf Systeme und Anwendungen zuzugreifen. Um Sicherheitslücken zu vermeiden, sollten Patches und Updates immer auf dem neuesten Stand sein. Die Automatisierung von Wartungsaufgaben wie das Patchen und Ausführen von Aktualisierungen ist der beste Weg, um sicherzustellen, dass die Aufgaben tatsächlich ausgeführt werden und wichtige Sicherheitskorrekturen nicht durch das Raster fallen. - Sensibilisierung der Mitarbeiter zum Thema Sicherheit
Durch das fehlerhafte Online-Verhalten der Mitarbeiter entstehen die meisten Ransomware-Schäden. Die Erstellung einer unternehmensweiten Cybersicherheits-Schulungs- und Trainingsstrategie ist der Schlüssel zur Risikovermeidung.
Alle Mitarbeiter sollten geschult darin sein, Phishing- und Social Engineering-Versuche zu erkennen und verdächtige E-Mails und Aktivitäten sofort der IT-Abteilung zu melden – regelmässige Übungen sind zu empfehlen. Zur weiteren Sicherheit setzt man im Optimalfall eine Überwachungssoftware ein, um Richtlinienverstösse zu erkennen und ein sicheres Passwortprotokoll durchzusetzen. Es können auch regelmässige Überprüfungen des Kontozugriffs implementiert werden, um Zugriffsrechte sicherzustellen und dadurch sensible Daten und geschäftskritische Anwendungen intern und extern zu schützen.
Der Schutz vor Ransomware ist von entscheidender Bedeutung
Das Jahr 2020 entwickelt sich zu einem Jahr weitreichender Veränderungen und Unsicherheiten für Unternehmen. Cyberkriminelle nutzen die weltweiten Turbulenzen der letzten Monate in vollem Umfang aus. Ransomware-Angriffe werden immer häufiger, und Unternehmen sind gefordert, ihre Sicherheitsinitiativen weiter zu intensivieren.
Die Umsetzung einer umfassenden Strategie zum Schutz vor Ransomware, die auch Mitarbeiterschulungen und DR-Pläne umfasst, verleiht Systemen eine zusätzliche Sicherheitsebene und erspart Unternehmen Ärger und Zusatzkosten für die Wiederherstellung von Daten, Umsätzen und Reputation.