Cybersicherheit

Wie Ransomware an Schlagkraft verlieren kann

8. Februar 2022, 6:30 Uhr | Autor: Michael Scheffler / Redaktion: Diana Künstler | Kommentar(e)
Mann mit Laptop sitzt auf Bombe
© Ollyy | Shutterstock.com

Was wir bei Ransomware beobachten, ist eine Zerstörung von wichtigen Systemen durch einfache Mittel. Die Analogie zur Kriegsführung liegt nahe. Und solange die „Bombe Ransomware“ nicht entschärft werden kann, sollten zumindest ihre Auswirkungen begrenzt werden. Kennen Sie Ihren Explosionsradius?

Ransomware ist beileibe kein neues Phänomen, hat aber in den letzten Monaten eine Dimension erreicht, dass sich sogar schon das Feuilleton damit beschäftigt. Kein Wunder, betrachtet man die Summen, die hier öffentlichkeitswirksam im Raum stehen, und die Tatsache, dass kaum ein Sektor – von öffentlichen Verwaltungen über KRITIS-Betreiber bis hin zum Handel und produzierendem Gewerbe – vor Angriffen verschont bleibt. Wie konnte es so weit kommen und wieso scheint gegen Ransomware kein Kraut gewachsen? Wieso werden so viele Unternehmen und Organisationen Opfer dieser Angriffsart?

Noch vor rund drei Jahren war Ransomware eine recht laute und einfach gestrickte Angriffsart. Die Situation hat sich allerdings seitdem deutlich verändert, wofür in erster Linie zwei Faktoren verantwortlich sind: Zum einen hat die starke Cloud-Migration (zusätzlich beschleunigt durch die Pandemie) neue Angriffswege und -möglichkeiten eröffnet. Zum anderen haben die Cyberkriminellen durch die sogenannte Double Extortion, bei der Daten vor der Verschlüsselung exfiltriert werden, um mit einer Veröffentlichung zu drohen, eine neue, offensichtlich wirkungsvolle Taktik etabliert. Back-ups als eine Art Allheilmittel verloren hierdurch an Bedeutung. Gleichzeitig wurden die Ransomware-Gruppen immer professioneller. Es hat sogar den Anschein, auch wenn sie nicht direkt staatlich unterstützt werden, dass es durchaus Regionen gibt, aus denen heraus sie relativ unbehelligt agieren können.

Anbieter zum Thema

zu Matchmaker+

Ein paar unangenehme Wahrheiten

Gerade bei Verschlüsselungstrojanern ist die Frage nicht, ob man zum Opfer wird, sondern eher wann und in welchem Ausmaß. Awareness ist wie in allen Security-Bereichen eine wichtige Grundlage, schützt jedoch nur bedingt, wie erst kürzlich wieder eine Untersuchung gezeigt hat. Demnach hatten 54 Prozent der Opfer von Ransomware-Attacken zuvor eine Anti-Phishing-Schulung absolviert. Offenbar schützen auch die meisten Sicherheitslösungen nicht effektiv vor Ransomware, was angesichts der Einfachheit erschreckend ist: Die überwiegende Anzahl der Angriffe zeichnet sich nicht durch eine besondere Raffinesse aus. Oft werden einfache Methoden wie Phishing oder Brute Force-Angriffe eingesetzt, um Nutzerkonten zu kompromittieren und so Daten entwenden und verschlüsseln zu können. Eine Privilegien-Eskalation ist dabei in den meisten Fällen gar nicht nötig.

Denken wir kurz militärisch

Was wir sehen, ist eine starke Zerstörung von wichtigen Systemen durch relativ einfache Mittel. Entsprechend liegt eine Analogie zur Kriegsführung auf der Hand – ganz gleich, ob wir uns in einem „Cyberwar“ befinden oder nicht. Und solange wir die Bombe Ransomware nicht entschärfen können, müssen wir zumindest ihre Auswirkungen begrenzen. Der Explosionsradius wird so zum entscheidenden Element. Eine Bombe im Zentrum einer Metropole hat ein wesentlich höheres Zerstörungspotenzial als eine Bombe, die irgendwo auf dem Land gezündet wird. Im Bereich der Cyber Security bedeutet dies, dass die maximale Wirkung eines Angriffs, also der Auswirkungsradius, möglichst stark begrenzt werden muss. Im Bereich des Netzwerks und der Endpunkte gelingt dies durch Segmentierung, im Bereich der Daten (und darauf kommt es ja bei der Ransomware an) durch geringe Zugriffsrechte/Berechtigungen.

Dieser Ansatz entspricht dem Least-Privilege-Modell, das in der Theorie großen Zuspruch findet, in der Praxis aber leider oftmals unzureichend umgesetzt wird, wie unlängst der Datenrisiko-Report für den Finanzsektor gezeigt hat: So hat jeder Mitarbeiter von seinem ersten Arbeitstag an durchschnittlich Zugriff auf knapp 11 Millionen Dateien, in größeren Unternehmen sogar auf rund 20 Millionen. In knapp zwei Drittel (64 Prozent) der Unternehmen können zudem alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen. Der Explosionsradius eines x-beliebigen korrumpierten Kontos bei einer durchschnittlichen Bank beträgt demnach 11.000.000 Dateien. Es bedarf nicht viel Fantasie, sich die Auswirkungen von dieser Menge an nicht nutzbaren, verschlüsselten Dateien vorzustellen. Beschränkt man hingegen die Berechtigungen auf Dateien, die ein Mitarbeiter für seine Arbeit tatsächlich benötigt, reduziert sich das Ausmaß, die Störungen des Betriebsablaufs und der Effekt eines Angriffs wesentlich. Hat ein Unternehmen zusätzlich noch Lösungen im Einsatz, die durch eine intelligente Analyse des Nutzerverhaltens Ransomware früh erkennen und automatisiert stoppen können, verliert Ransomware deutlich an Schrecken.

Der Umgang mit Erpressersoftware hat viele Dimensionen, seien es politische (die schon angesprochene laxe Verfolgung der Kriminellen in einigen Ländern), juristische (die Kompromittierung von personenbezogenen Daten ist DSGVO-relevant) oder geschäftliche (enorme Kosten durch Produktionsausfälle und Reputationsschäden). Gerade die technische Dimension erscheint dabei diejenige zu sein, die mit den richtigen Maßnahmen wie der Reduzierung des Explosionsradius und intelligenten Sicherheitslösungen am einfachsten in den Griff zu bekommen ist und so diesem „Geschäftsmodell“ die Grundlage entziehen kann.

Michael Scheffler, Country Manager DACH von Varonis Systems


Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Matchmaker+