Das Geschäft mit der Datenerpressung boomt. Ransomware-Angriffe, die mit relativ geringem Risiko viel potenziellen Schaden anrichten können, sind ein beliebter Geschäftszweig für Cybercrime-Gangs geworden. Viele Unternehmen neigen im Ernstfall dazu, zu zahlen - und machen das Problem damit häufig noch schlimmer.
Was passiert, wenn die eigenen Daten in Geiselhaft genommen werden, wieso viele Unternehmen das Problem nach wie vor nicht ernst genug nehmen und wie sie sich schützen können, war Thema des COMPUTERWOCHE-Experten-Roundtable zum Thema "Ransomware".
Foto: AngelaAllen - shutterstock.com
Dass die Bedrohungslage durch Ransomware in den letzten Jahren zugenommen hat, ist für die Experten unstrittig. Das liegt zum einen daran, dass sich mittlerweile ein richtiger Markt gebildet hat: Waren es früher primär Einzelpersonen, die für Angriffe zuständig waren, gibt es heute ganze Firmen, die sich darauf spezialisiert und mit "Ransomware-as-a-service" ein eigenes perfides Geschäftsmodell entwickelt haben. Zum anderen hat die zunehmende Verbreitung des mobilen Arbeitens dazu geführt, dass es viel mehr exponierte Fläche im Feld gibt, die Hacker ins Visier nehmen können.
Ein viel größeres Problem hingegen ist laut Experten die mangelnde Awareness in den Unternehmen. Erschreckend viele seien der Meinung, das Thema betreffe sie nicht, da sie zu klein, zu unwichtig, zu unattraktiv seien. Diese Lesart ist jedoch falsch. "Die Frage ist nicht, ob ein Angriff kommt, sondern wann", warnt Adrian Pusch, Professional Security Services bei der Enginsight GmbH. "Und wenn es passiert ist, dann: 'wann noch einmal?' Denn sobald die Angreifer es erst einmal geschafft haben, dann probieren sie es noch einmal."
Informationen zu den Partner-Paketen der Studie 'Ransomware 2023'
Ein Notfallplan ist ein guter Anfang
Doch was bedeutet das für MEIN Unternehmen? Brauche ich einen Notfallplan? Diese Frage beantworten die Experten mit einem klaren und eindeutigen "Ja". Nicht immer muss dieser Notfallplan sonderlich detailliert sein, auch ein Grundgerüst kann im Ernstfall bereits eine große Hilfe sein.
Laut Malte Vollandt, CISO bei Logicalics, geht es beispielsweise auch darum, einen Vorfall auch einmal mental durchzuspielen. Oft werde in so einem Fall auf die IT gezeigt, als ob das Thema vor allem die Infrastruktur betreffe. "Dabei ist es mindestens genauso die Aufgabe des Managements, vorbereitet zu sein, was die Kommunikation nach außen und mit den Behörden angeht."
Da stimmt auch Jesper Schulz, Business Development Manager - Security bei Cancom, zu: "Das LKA wird nicht zuerst mit dem IT-Verantwortlichen sprechen - da ist die Geschäftsführung gefragt." Nicht nur im Bereich der kritischen Infrastruktur gehe es um persönliche Daten der Mitarbeiter und andere sensible Informationen. Ein erfolgreicher Angriff koste nicht nur Geld, sondern verursache nicht selten auch einen massiven Imageschaden. Im schlimmsten Fall könnten Unternehmen von heute auf morgen Insolvenz anmelden - und es seien schon längst nicht mehr nur große Unternehmen betroffen.
Auch Pusch betont, wie entscheidend klassische Business-Fragen bei einem Angriff sein können - besonders jene, an die man im ersten Moment zunächst nicht denkt. "Sobald ein Vorfall bekannt wird, können Sie sich sicher sein, dass im nächsten Schritt die Headhunter loslegen und versuchen, die Leute aus den Unternehmen abzuwerben", erklärt der Security-Spezialist. Es gelte also in jedem Fall, die Liquidität zu sichern, damit Gehälter weiter gezahlt werden können, damit das Unternehmen handlungsfähig bleibt. Dazu müsse der Ernstfall ausreichend durchdacht werden, damit die Handlungsschritte klar bleiben.
- Adrian Pusch, Enginsight
"IT-Sicherheit sollte als fortlaufendes Unterfangen verstanden werden. Wer regelmäßig vorgeht, kleine, schrittweise Maßnahmenpakete schnürt und diese konsequent umsetzt, steht nicht mehr vor einer unlösbaren Aufgabe, sondern kann seine Sicherheit Schritt für Schritt ausbauen. Es ist wichtig, die nächsten Steps zu planen und gemeinsam vorzugehen. IT-Security-Jour-Fixes können dabei helfen, ein strukturiertes Vorgehen sicherzustellen.” - Bernd Forstner, A1
“Die Sensibilisierung von Mitarbeitern sollte im Sicherheitskonzept eine wesentliche Rolle spielen. Führungskräfte und Mitarbeiter gleichermaßen müssen die Bedeutung der Maßnahmen für Sicherheit des Unternehmens verstehen. Die beste Sicherheitsmaßnahme nützt nichts, wenn sie von den Kollegen konstant umgangen wird, weil sie zu unbequem ist. Dazu sind konstante Schulungen erforderlich.” - Martin Dombrowski, Akamai Guardicore
“Next-Gen Firewalls & Endpoint Security reichen längst nicht aus, um hinreichend vor Ransomware-Attacken geschützt zu sein. Mit einer granularen Netzwerksegmentierung lässt sich beispielsweise sicherstellen, dass ein erfolgreicher Angriff möglichst eingehegt bleibt und nicht das gesamte System betrifft. Doch dies wird mit den bisherigen Mitteln vor allem angesichts der Prävalenz hybrider Datacenterumgebungen zunehmend zu einer Herausforderung. Konzepte wie Zero Trust spielen hier eine wichtige Rolle, auch wenn diese in ihrer Komplexität aktuell noch viele Unternehmen überfordern.” - Jesper Schulz, Cancom
“Wir sehen, dass es in vielen Unternehmen noch an Awareness fehlt. Nicht wenige gehen fälschlicherweise davon aus, dass sie zu klein, zu unwichtig, zu unattraktiv für Hackergruppen sind. Heutzutage ist es einfach, eine Ransomware zu schreiben, die aber einen immensen Schaden verursachen kann – nicht nur monetär, sondern auch im Hinblick auf das Image der Firma. Das betrifft längst nicht mehr nur die großen Unternehmen, sondern kann jeden treffen.” - Michael Skiba, Getronics
“Für eine grundlegende Sicherheitsstrategie zum Schutz vor Ransomware gehören aus meiner Sicht drei Aspekte. Zum Ersten ist von höchster Bedeutung, dass verifizierte und off-site verfügbare Backups vorhanden sind. Der zweite Aspekt ist ein rigides Patchmanagement, das auch die Sichtbarkeit darüber einschließt, wo und welche Patches angewendet werden müssen. Und schließlich die Absicherung sowohl der internen als auch der externen Zugänge. Dabei ist der Einsatz von Multi-Faktor-Authentifizierung aus meiner Sicht unerlässlich.” - Malte Vollandt, Logicalics
“IT-Sicherheit geht nur im Team und liegt nicht nur in der Verantwortung der IT oder der Mitarbeiter, die auf eine Phishing-Mail geklickt haben. Unternehmen sollten sich klarmachen: Früher oder später kommt es zu einem Angriff. Gemeinsam kann man jedoch dafür sorgen, dass sich eventuelle Schäden in Grenzen halten. Deshalb gilt es vor allem, neben technischen Schutzmaßnahmen die eigenen Mitarbeiter zu befähigen und Awareness aufzubauen.” - Jochen Füllgraf, macmon secure
“Viele Unternehmen benötigen nicht einmal hochkomplexe Sicherheitssysteme. Oft sind es gerade einfache Maßnahmen, die Unternehmen erheblich widerstandsfähiger und handlungsfähiger machen können, als es derzeit der Fall ist. Eine solide IT-Grundhygiene lässt sich bereits mit wenigen Lösungen umsetzen und kann im Ernstfall einen entscheidenden Unterschied ausmachen.”
Awareness und granulare Segmentierung sind wichtig
Doch im besten Fall sollten sich Unternehmen mit diesen Fragen gar nicht auseinandersetzen müssen. Und tatsächlich gibt es eine Menge Schutzmaßnahmen, die Unternehmen ergreifen können, um einen erfolgreichen Angriff so unwahrscheinlich wie möglich zu machen.
Beispielsweise hilft eine saubere und konsequente Netzwerksegmentierung dabei, eventuelle Einfälle einzuhegen und zu verhindern, dass Angreifer mit nur wenig Aufwand Zugriff auf das gesamte System erlangen können. Sämtliche Sicherheitsmaßnahmen, die über das bloße Minimum hinausgehen, können dabei den Unterschied ausmachen, wie Jesper Schulz pointiert beschreibt: "Der Kopfschmerz des Hackers muss schon beim ersten Versuch so groß sein, dass er keine Lust mehr hat - weil er wesentlich einfachere Alternativen hat."
Dabei müssen Unternehmen zunächst nicht einmal auf besonders komplexe Sicherheitssysteme und Lösungen zurückgreifen. Jochen Füllgraf, Product Manager bei Macmon secure, erklärt: "Es sind oft einfache Maßnahmen, die Unternehmen bereits deutlich resistenter und handlungsfähiger machen können, als das aktuell der Fall ist." Eine saubere IT-Grundhygiene sei mit einer Handvoll Lösungen umsetzbar und könne im Angriffsfall bereits entscheidend sein.
Studie "Ransomware 2024": Sie können sich noch beteiligen! |
Zum Thema Ransomware führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Verantwortlichen durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (regina.hermann@foundryco.com, Telefon: 089 36086 161) und Manuela Rädler (manuela.raedler@foundryco.com, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF). |
Zwar sind sich die Experten einig, dass Konzepte wie Zero Trust in Zukunft eine wichtige Rolle in Security-Ansätzen sein können. Martin Dombrowski, Senior Sales Engineer von Akamai / Guardicore gibt jedoch zu bedenken, dass Unternehmen häufig schon mit den Möglichkeiten überfordert sind, die sie jetzt schon haben. “Viele sind blind für alles, was hinter ihrer Firewall passiert und denken gar nicht daran, wie sie effizient einen Ausbruch von Ransomware erfolgreich eindämmen könnten. Die Konzepte von Zero Trust erschlagen in ihrer Komplexität noch viele”, erklärt Dombrowski. Die Reise sei dahingehend noch lang. Umso wichtiger ist es für Dombrowski, schrittweise und pragmatisch vorzugehen, um die interne Sicherheit zu verbessern.
Bernd Forstner, Security Architect von A1 Digital, ergänzt zudem, dass die Sensibilisierung aller Mitarbeiter eine wesentliche Rolle spiele. Besonders auf höheren Hierarchieebenen stoße man häufiger auf Widerstand, wenn es darum geht, Entscheidern nicht benötigte Administratorrechte zu entziehen. Hier helfe Aufklärung. Auch hinsichtlich Phishing könnten einfache Awareness-Methoden schon ausreichen, um das Risiko deutlich zu senken: "Es reicht häufig schon, wenn in externen Mails eine große, rote Warnung aufleuchtet 'Achtung, diese E-Mail kommt von außerhalb des Unternehmens' und die Mitarbeiter dahingehend sensibilisiert, dass sie bei dieser Warnung besondere Vorsicht walten lassen", erklärt Forstner.
IT-Sicherheit als fortlaufendes Projekt betrachten
Als die Expertendiskussion zu Best Practices schwenkt, wird schnell klar: Ein solider Schutz vor und ausreichend Handlungsspielraum bei Ransomware-Attacken ist keine Raketenwissenschaft, sofern dem Thema ausreichend Aufmerksamkeit, Konsequenz und Ressourcen eingeräumt werden.
Michael Skiba, Information Security Consultant von Getronics, hebt drei Punkte hervor, die zu einer grundlegenden Sicherheitsstrategie gehören: Als wichtigsten Punkt benennt er verifizierte und auch off-site verfügbare Backups. Darüber hinaus empfiehlt er ein rigides Patch-Management innerhalb der IT-Landschaft und hebt hervor: "Dafür gehört für mich auch die Sichtbarkeit, wann und wo überhaupt gepatcht werden muss." Als letzten Punkt nennt Skiba die Absicherung sämtlicher Zugänge, sowohl intern als auch extern, und ergänzt, dass der Einsatz von Multi-Faktor-Authentifizierung (MFA) aus seiner Sicht heute quasi verpflichtend sei.
Einen weiteren Aspekt nennt Jesper Schulz: Für ihn ist ein durchdachtes Rechtevergabekonzept essentiell. "Das Schlimmste, was passieren kann, ist, wenn Mitarbeiterdaten länger im System verbleiben als nötig", erklärt Schulz. Es komme viel zu häufig vor, dass Mitarbeiter Unternehmen im Streit verlassen und sich auch im Nachgang noch Zugang zum System verschaffen können.
Pusch plädiert zum Schluss der Diskussion noch dafür, das Sicherheitskonzept von Anfang an als fortlaufendes und regelmäßiges Vorhaben zu betrachten. Für Unternehmen, die den Prozess gerade erst starten wollen, hat er einen Rat: Nicht mit dem Penetrationstest anfangen. Hilfreicher sei es, zunächst Sichtbarkeit über den Status Quo zu schaffen. Eine Übersicht über bestehende Systeme, vorhandene Geräte und bereits getroffene Maßnahmen helfe dabei, bestehende Schwachstellen zu identifizieren. Von da an gelte es, diese konsequent und Schritt für Schritt anzugehen.
Informationen zu den Partner-Paketen der Studie 'Ransomware 2023'