Von Lothar Geuenich, VP Central Europe / DACH bei Check Point Software Technologies
Keine Frage, bei einem Ransomware-Angriff kommt es darauf an, sofort zu reagieren. Tritt der Ernstfall ein, muss die Gefahr schnell erkannt und noch schneller gebannt werden. Denn häufig merken die betroffenen Organisationen gar nicht, dass sie infiltriert wurden und wenn die Lösegeldforderung auf dem Bildschirm erscheint, haben die Täter sich oft schon seit Tagen freien Zugang zu den wertvollen Unternehmensdaten verschafft und diese verschlüsselt. Reaktionsschnelligkeit ist angebracht und erforderlich, wenn der Angriff festgestellt wurde, nicht jedoch, wenn es um die Aufforderung der Drahtzieher geht, das Lösegeld zu zahlen. Zwar ist der Reflex logisch erklärbar: Wer betroffen ist, will schnell seine Daten zurückerhalten, das Tagesgeschäft wiederaufnehmen und um jeden Preis vermeiden, dass der Vorfall öffentlich wird und die eigene Reputation ruiniert.
Doch was viele Entscheidungsträger in ihrer Eile nicht bedenken: Für die Täter ist das Einlenken ihrer Opfer ein vielfacher Gewinn. Erfolgt auf den ersten Angriff mit der Erpresser-Malware eine Zahlung, dann war die Straftat nicht nur lukrativ, sie stellt aus Tätersicht auch einen Test der Kreditwürdigkeit ihrer Ziele dar. Wird bereitwillig gezahlt, steigt die Wahrscheinlichkeit, dass alsbald ein weiterer Angriff erfolgt und aus den Betroffenen ein weiteres Mal Kapital geschlagen werden soll. Die Drahtzieher werden darin bekräftigt, ihre zahlungswilligen Opfer in kontinuierlichen Abständen immer wieder anzugreifen. Mit jeder erfolgten Zahlung werden die Hackergruppen außerdem finanziert und bekommen einen Anreiz, ihre Machenschaften fortzusetzen. Sowohl bei alten als auch bei neuen Zielen. Zusätzlich ist nie garantiert, dass man wieder Zugriff auf seine Daten erlangt. Zumal Firmendaten sich aus Sicht der Hacker im Zweifelsfall auch für hohe Summen im Darknet verkaufen lassen, was für die Betroffenen einen zusätzlichen Schaden in Form einer Verletzung der DSGVO samt Strafzahlungen bedeutet. Allerdings haben die Angreifer insgeheim ein Interesse daran, Daten auch tatsächlich wieder freizugeben. Sie wollen damit Vertrauen bei ihren Opfern erwecken. Denn haben sie sich einmal den Ruf erarbeitet, bei Zahlung Wort zu halten und die Daten wieder zu entschlüsseln, steigt der Anreiz, das Lösegeld zu zahlen, ebenfalls. Aus Tätersicht entsteht dann eine Art Geschäftsbeziehung mit einem bizarren Vertrauensverhältnis, die eigentlich nur einen Gewinner hat.
Da Ransomware mittlerweile sogar as-a-Service, also per Mietmodell, im Darknet vertrieben wird und die Gruppierungen in ihrer betrieblichen Organisation kaum noch von einem redlichen Wirtschaftsunternehmen zu unterscheiden sind, ist es umso wichtiger, diesen obskuren Geschäftszweig auszutrocknen. Lösegeld zu zahlen ist eine Entscheidung, die auf der obersten Führungsebene getroffen wird. Daher ist es unabdinglich, dass jede Organisation, jedes Unternehmen und jede staatliche Institution und Behörde sich auf einen solchen Fall vorbereitet und einen Incident-Response-Plan für den Notfall erarbeitet. An dessen Ende sollte immer stehen, dass die Zahlung verweigert und den Forderungen der Täter nicht Folge geleistet wird. Auch der Abschluss einer Cyberversicherung, die im Katastrophenfall die Zahlung oder eine Teilsumme übernimmt, kann sich lohnen. Die verlorenen Daten und den Vertrauensverlust beim Kunden ersetzt das zwar nicht. Der Nutzen einer solchen Versicherung steigt jedoch mit der Stärkung der eigenen IT-Sicherheit. Wer bei einem durchgedrungenen Angriff eine Palette an erfolgten Präventionsmaßnahmen vorzeigen kann, verringert nicht nur den potenziellen Schaden, sondern erhöht auch die Zahlungsbereitschaft einer Versicherung. Häufig geben diese auch Checklisten mit Sicherheitsvorkehrungen heraus, die ihre Kunden getroffen haben sollten.
Zu den wichtigsten Maßnahmen der Vorbereitung gegen Ransomware gehören:
- Die Schulung und Sensibilisierung von Mitarbeitern für IT-Bedrohungen.
- Zero-Trust-Sicherheit im Unternehmensnetzwerk.
- Die eindeutige Festlegung von Zugriffsprivilegien.
- Einführung von Monitoring-Systemen und IT-Zuständigkeiten.
- Incident-Response-Pläne in Einklang mit der Führungsebene.
- Backup- und Recovery-Pläne.
- Verwendung sicherer Passwörter und MFA (Multi-Faktor-Authentifizierung).
Jede Organisation muss verstehen: Eine wehrhafte IT-Infrastruktur und eine dogmatische Verweigerung der Zahlung von Ransomware-Lösegeld dient langfristig nicht nur dem eigenen Schutz. Mit einer unnachgiebigen Haltung kann jede Institutionen anderen ein Vorbild sein und verhindern, dass eine bereitwillige Zahlungskultur entsteht, die den Geschäftszweig Ransomware weiter florieren lässt.
Weitere Artikel
Zscaler 2022 Ransomware Report zeigt: Rekordzahl von Angriffen und Wachstum von fast 120 Prozent mit doppelter Erpressung
Welt-Passwort-Tag: Zero Trust muss die Basis unserer Cybersicherheit werden
5 Strategien gegen Ransomware
Capcom kämpft weiter mit Ransomware: Wie sich Unternehmen besser vor Erpressern schützen können