Sie sind hier: HomeTelekommunikation

Ransomware: Standardarsenal vieler Cyberkrimineller

Fortsetzung des Artikels von Teil 1.

Vertikaler Datenverkehr, horizontaler Traffic

Das könnte auch erklären, warum Ransomware trotz ihrer bekanntermaßen verheerenden Auswirkungen weiterhin nur schwer in den Griff zu bekommen ist. Denn bis vor Kurzem konzentrierte sich das Gros der Cybersicherheitsmaßnahmen auf den vertikalen Datenverkehr – also den eingehenden und ausgehenden Endpunkt-Traffic über den Netzwerkperimeter des Unternehmens. Das bedeutet, dass Cyberkriminelle leichtes Spiel haben und sich fast ungehindert über das Netzwerk auf geschäftskritische Systeme ausbreiten können, wenn es ihnen mithilfe ihrer neuen Methoden gelingt, die vorhandenen Systeme für den Endpunkt- und Perimeterschutz zu überlisten.

Äußerste Präzision gefordert
Daher müssen sich Sicherheitsteams einen Überblick über den bisher weitgehend unbeachteten unternehmensinternen Datenfluss verschaffen. Die Überwachung des vertikalen Datenverkehrs ist zwar wichtig, bietet jedoch keinen Schutz, wenn nicht zugleich der horizontale Traffic überwacht wird. Dabei sollte das Monitoring auch den verschlüsselten Datenverkehr abdecken, da dieser von immer mehr Kriminellen zur Tarnung schädlicher Aktivitäten genutzt wird. Dadurch können Sicherheitsexperten Angriffe auch in späteren Phasen aufdecken und stoppen, bevor die Hacker ihr Ziel erreichen und massiven Schaden anrichten.  

Jeff Costlow, ExtraHop Bildquelle: © ExtraHop

Jeff Costlow ist CISO beim Cyberanalytik-Unternehmen ExtraHop.

Voraussetzung dafür ist allerdings, dass Unternehmen effektive, speziell auf Ransomware zugeschnittene Abwehrmaßnahmen implementieren und angesichts immer neuer Angriffsmethoden nicht in Fatalismus verfallen. Denn auch wenn künftige Ransomware-Varianten möglicherweise über extrem raffinierte neue Funktionen verfügen werden, bleiben die grundlegenden Schritte eines derartigen Cyberangriffs – Ausspähung, laterale Ausbreitung, Verschlüsselung mit anschließender Erpressung usw. – doch immer gleich und lassen sich daher prognostizieren, aufdecken und blockieren. Das ist allerdings mit alten, ineffizienten Virenscannern nicht zu leisten, sondern erfordert neue Monitoringlösungen, die im Netzwerk zirkulierende Bedrohungen rasch aufdecken, damit sich infektionsbedingte Ausfälle der Unternehmensinfrastruktur rechtzeitig verhindern lassen.

Cyberkriminelle, die Ransomware für ihre Erpressungsversuche einsetzen, spekulieren darauf, dass vielerorts selbst die IT-Administratoren keinen detaillierten Überblick über das Innenleben der Unternehmensinfrastruktur haben. Wenn es also gelingt, hier mit präzisen Überwachungstools für Transparenz zu sorgen, können erkannte Bedrohungen mit automatisierten Gegenmaßnahmen rasch eingedämmt und beseitigt werden. Hierbei kommt es auf äußerste Präzision an. Beispielsweise müssen sich infizierte Geräte zuverlässig identifizieren lassen, damit diese dann – mit möglichst minimalen Auswirkungen auf die Geschäfts- und Unternehmensprozesse – umgehend aus dem Netzwerk entfernt werden können. Aus diesem Grund ist es unerlässlich, dass die Verantwortlichen stets genau über das Geschehen im Bild sind und jederzeit gezielt reagieren können. Dieses Maß an Präzision ist schwer zu erreichen, ermöglicht jedoch in späteren Angriffsphasen ein schnelles Eingreifen.