Von Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH
Cybererpresser entwickeln fortgehend neue Wege, Ransomware in Organisationen einzuschleusen. Über Taktiken wie Brand-Phishing imitieren sie große Namen wie PayPal, um sich fingierte Zahlungen überweisen zu lassen oder ködern per E-Mail ihre Opfer über falsche Sonderangebote bei Online-Händlern am Black Friday. Mithilfe neuer Programmiersprachen sind sie in der Lage, sich stetig anzupassen und immer neue Angriffspunkte zu finden. Allein die Entwickler hinter der Ransomware Hive konnten schon durch Erpressung um die 100 Millionen US-Dollar erbeuten. Die Lockbit-Cybergang will 50 Millionen US-Dollar von der Continental AG, um ein 40 Terrabyte großes Datenpaket an wiederherzustellen.
Ransomware entwickelt sich schnell weiter und daher müssen potenzielle Betroffene es ihr gleichtun. Wie können Unternehmen also mit den sich stetig ändernden Herausforderungen Schritt halten?
- Robuste Datensicherung
Das Ziel von Ransomware ist es, die Opfer zur Zahlung eines Lösegelds zu zwingen, bevor diese wieder Zugriff auf ihre verschlüsselten Daten haben. Das ist natürlich nur wirksam, wenn man tatsächlich den Zugriff auf seine Daten verlieren könnte. Eine robuste, sichere Datensicherungslösung ist also ein wirksames Mittel, um die Auswirkungen eines Ransomware-Angriffs abzuschwächen. Wenn die Systeme regelmäßig gesichert werden, sollte der Datenverlust durch einen Ransomware-Angriff minimal oder gar nicht vorhanden sein. So nimmt man den Angreifern einen ihrer wichtigsten Hebel: Die Unverfügbarkeit der eigenen Daten.
- Schulungen zum Cyber-Bewusstsein
Phishing-E-Mails sind eine der beliebtesten Methoden zur Verbreitung von Ransomware. Indem sie einen Benutzer dazu verleiten, auf einen Link zu klicken oder einen bösartigen Anhang zu öffnen, können sich Cyberkriminelle Zugang zum Computer des Mitarbeiters verschaffen und mit der Installation und Ausführung des Ransomware-Programms beginnen. Regelmäßige Schulungen zum Thema Cybersicherheit sind entscheidend für den Schutz des Unternehmens vor Ransomware. In diesen Schulungen sollten die Mitarbeiter zu klassischen Best Practices angehalten werden, wie das Überprüfen der Legitimität von Links, bevor diese angeklickt werden.
- Verstärkung von Benutzerauthentifizierung
Cyberkriminelle verwenden häufig das Remote-Desktop-Protokoll (RDP) um mit erratenen oder gestohlenen Anmeldedaten Fernzugriff auf die Systeme eines Unternehmens zu erhalten. Sobald der Angreifer in das System eingedrungen ist, kann er Ransomware auf dem Rechner ablegen und diese ausführen. Dieser potenzielle Angriffsvektor kann durch den Einsatz einer starken Benutzerauthentifizierung geschlossen werden. Die Durchsetzung strenger Passwortrichtlinien, die Forderung nach einer Multi-Faktor-Authentifizierung und die Aufklärung der Mitarbeiter über Phishing-Angriffe, die auf den Diebstahl von Anmeldedaten abzielen, sind wichtige Bestandteile der Cybersicherheitsstrategie eines Unternehmens.
- Aktuelle Patches
WannaCry, eine der bekanntesten Ransomware-Varianten überhaupt, ist ein Beispiel für einen Ransomware-Wurm. Er verbreitete sich durch Ausnutzung einer Schwachstelle im Windows Server Message Block (SMB) -Protokoll. Zum Zeitpunkt des berühmten WannaCry-Angriffs im Mai 2017 gab es einen Patch für die von WannaCry genutzte EternalBlue-Schwachstelle. Dieser Patch war bereits einen Monat vor dem Angriff verfügbar und wurde aufgrund des hohen Ausnutzungspotenzials als „kritisch“ eingestuft. Viele Unternehmen und Einzelpersonen haben den Patch jedoch nicht rechtzeitig installiert, was zu einem Ransomware-Ausbruch führte, bei dem innerhalb von drei Tagen 200.000 Computer infiziert wurden. Werden Computer routinemäßig auf dem neuesten Stand gehalten und Sicherheits-Patches direkt heruntergeladen, dann kann die Anfälligkeit einer Organisation für Ransomware-Angriffe drastisch verringert werden.
- Anti-Ransomware-Lösungen
Um sich davor zu schützen, dass Ransomware durch Lücken in den Verteidigungssystemen „schlüpft“, erfordert es eine spezielle Sicherheitslösung. Um ihr Ziel zu erreichen, muss Ransomware bestimmte anomale Aktionen durchführen, wie das Öffnen und Verschlüsseln einer großen Anzahl von Dateien. Anti-Ransomware-Lösungen überwachen Programme, die auf einem Computer laufen, auf verdächtige Verhaltensweisen, die häufig von Ransomware gezeigt werden. Wenn diese Verhaltensweisen erkannt werden, kann das Programm Maßnahmen ergreifen, um die Verschlüsselung zu stoppen, bevor weiterer Schaden angerichtet werden kann.
Der optimale Schutz vor Ransomware sieht eine Kombination diverser Faktoren vor: Die Anerkennung menschlicher Fehlerhaftigkeit, die Investition von Zeit und Ressourcen, um Mitarbeiter und Führungskräfte vor Stolperfallen zu schützen, die Ransomware einschleusen, regelmäßige Sicherheitsupdates und eine konsolidierte Rundumlösung für die Cybersecurity inklusive Gefahrenerkennung. Ransomware begegnet man mit Prävention und wer diese fünf Tipps beherzigt, muss die Erpressung mit den eigenen Daten nicht fürchten.