Fünf Jahre nach WannaCry

wannacry

Egal ob Cybersicherheits-Experte oder Laie, fast allen ist Ransomware heute ein Begriff. Vor fünf Jahren, als die Verschlüsselungs-Malware WannaCry über 230.000 Computer in 150 Ländern infiziert und von den Opfern Lösegeld verlangt hat, war diese Art der Cybererpressung bei Weitem noch nicht so weit verbreitet und bekannt wie heute. Ob seines Ausmaßes wurde die WannaCry-Attacke von Europol als noch nie da gewesenes Ereignis beschrieben. WannaCry hat unser Sicherheitsbewusstsein verändert, erklärt auch Stan Black, der neue Chief Information Security Officer beim PAM-Spezialisten Delinea, und fasst zusammen, welche Maßnahmen IT-Abteilungen ergreifen sollten, um Ransomware-Angreifern keine Chance zu geben:

„Der Ransomware-Angriff WannaCry hat im Jahr 2017 Hunderttausende von Computern und Geräten in Mitleidenschaft gezogen und Schäden in Milliardenhöhe hinterlassen. Damals ahnten wir noch nicht, dass dies nur der Anfang war und uns in der Folgezeit immer raffiniertere, größere und bösartigere Ransomware-Angriffe treffen würden. Heute, fünf Jahre später, ist die Liste der hochkarätigen Ransomware-Opfer lang und eine steigende Anzahl von Ransomware-Gruppen, die Ransomware-as-a-Service (RaaS) anbieten, längst unser neuer Alltag.

WannaCry hat allen Unternehmen einige essenzielle Lektionen erteilt: Dabei ist die Wichtigste: Egal wie viel Unternehmen für ihre Verteidigungsmechanismen und den Schutz ihres Perimeters ausgeben, von innen heraus sind sie angreifbar, solange die eingesetzten Technologien und Systeme veraltet oder nicht gepatcht sind. Schlechte interne Cyber-Hygiene öffnet böswilligen Akteuren Tür und Tor.

Eine starke Multi-Faktor-Authentifizierung und die Kontrolle von privilegierten Zugriffen sind nicht zu vernachlässigende Sicherheitsmaßnahmen.

Das bedeutet aber auch, dass Unternehmen aktiv etwas tun können, um derartige Bedrohungen einzudämmen. Besonders wichtig ist hier die Segmentierung, d. h. die Einrichtung von technischen Leitplanken, die eine Geschäftsfunktion von einer anderen trennen. Dadurch wird die unkontrollierte Ausbreitung von bösartigen Akteuren und Malware deutlich minimiert. Ebenfalls unabdingbar sind die Identifizierung aller kritischen, von Angreifern fokussierten Assets sowie die regelmäßige Durchführung inkrementeller Backups für den Fall, dass eine Systemwiederherstellung erforderlich ist. Eine starke Multi-Faktor-Authentifizierung und die Kontrolle von privilegierten Zugriffen sind ebenfalls nicht zu vernachlässigende Sicherheitsmaßnahmen.

Letzteres ist umso wichtiger, als heutzutage jeder Benutzer ein privilegierter Benutzer ist, da so gut wie alle in irgendeiner Weise Zugriff auf sensible Systeme und Daten haben. Unternehmen sollten daher unbedingt einen Least Privilege-Ansatz für ihr Access-Management in Betracht ziehen, um jedem Nutzer nur den Zugriff zu gewähren, der für seine jeweilige Funktion oder Aufgabe erforderlich ist.

Ransomware-Angriffe werden immer raffinierter, weshalb ihre erfolgreiche Eindämmung eine Vielzahl kombinierter Initiativen und Maßnahmen erfordert. Dazu gehören die Implementierung von Sicherheitskontrollen auf der Grundlage von Least Privilege und Zero Trust, die Etablierung einer Unternehmenskultur, in der Sicherheit an erster Stelle steht, die kontinuierliche Schulung der Mitarbeiter, eine robuste Erkennung von und Reaktion auf Bedrohungen, die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor und vor allem die Einstellung, dass es nicht darum geht, ob Cyberkriminelle angreifen, sondern wann.“

Stan Black, CISO, Delinea