Auf IT-Desaster angemessen reagieren – Cyberkatastrophe – Und nun?

 

Da war er – Anfang Juli wurde der erste Cyber-Katastrophenfall Deutschlands ausgerufen. Getroffen hatte es den Landkreis Anhalt-Bitterfeld. Es handelte sich um einen weiteren Fall eines Angriffs mit Hilfe von Ransomware, bei dem im Erfolgsfall Daten auf den Systemen verschlüsselt werden und gegen »Lösegeld« der passende Schlüssel geliefert wird, um die Daten wieder zu entschlüsseln.

Schnell war in Fachkreisen die Rede davon, dass es nur eine Frage der Zeit gewesen ist. Kommunen scheinen besonders schlecht gegen Angriffe geschützt zu sein, da sie oftmals über veraltete Hard- und Software verfügen oder nur kleine IT-Abteilungen beschäftigten. Doch vorangegangene erfolgreiche Angriffe auf Colonial Pipeline oder insbesondere die kürzlich mit unfreiwilliger Hilfe des IT-Dienstleisters Kaseya erfolgten Attacken zeigen, dass selbst Unternehmen, die über mehr Wissen und Mittel zur Abwehr von Cyberangriffen verfügen als kleinere Kommunen, nicht gefeit vor großem Schaden sind. 

Natürlich gibt es keinen absoluten Schutz: Die Systeme der Informationstechnologie werden immer komplexer. Fehlerfreie Software existiert nur in der Fantasie von Science-Fiction-Autoren und neben all der Technik spielt auch der Mensch eine gewichtige Rolle und ist somit Garant für kommende weitere erfolgreiche Attacken. Aber es gibt einige organisatorische Punkte, deren Beachtung sich insbesondere in vertraglichen Beziehungen mit Dienstleistern empfiehlt. Es lohnt sich also, einmal in die abgeschlossenen Verträge zu schauen, Rechte und Pflichten zu überprüfen und immer dort, wo notwendig, gegebenenfalls neu zu verhandeln. Dies betrifft auch den oben erwähnten Punkt »kleine IT-Abteilungen« – dies darf überhaupt kein Grund dafür sein, nicht ein notwendiges  Niveau an Schutz zu erlangen. Natürlich ist es schwierig – und das nicht nur in öffentlichen Verwaltungen – Budget für die anstehenden Aufgaben zu bekommen. Jedoch sind Angriffe wie der im Landkreis Anhalt-Bitterfeld allgegenwärtig und es kann nicht im Sinne von Bürgermeistern oder Landräten sein, dass sie die nächsten sind, die sich vor die Presse stellen müssen, um den Katastrophenfall auszurufen (und zu erklären, warum sie die IT-Systeme und vor allem auch die Daten der Bürger nicht ausreichend schützen konnten).

Folgende organisatorische und/oder vertragliche Punkte sollten daher regelmäßig überprüft werden:

Datensicherung
Die einfachste Möglichkeit (außer das bereitwillige Zahlen von Lösegeld), verschlüsselte Daten wiederherzustellen, wäre das Rückspielen der nicht kompromittierten Daten aus einer Datensicherung. Neben Anzahl der vorzuhaltenden Generationen (eine einzige reicht hier nicht aus) sollte im Sinne einer zügigen Rücksicherungsmöglichkeit öfters ein Voll-Backup erstellt werden (im Gegensatz zu einem »ewigen« inkrementellen Backup oder das alleinige Vertrauen auf online gehaltene Snapshots) und die Verbindung zu den Backup-Systemen nicht dauerhaft bestehen, sondern nur für den Zeitraum der Datensicherung. Ebenso sollte sich zumindest eine aktuelle Generation des Backups an einem sicheren Ort, beispielsweise einem Datenfernlager, befinden. Alle vorgenannten Punkte gelten sowohl für den Eigenbetrieb als auch im Outsourcing-Fall. Im letzteren gehören sie vertraglich geregelt. Zu den vertraglichen Regelungen gehört auch die Festlegung einer Zeitspanne, die eine Rücksicherung maximal dauern darf. Eine Arbeitsunfähigkeit von zwei Wochen wie im Fall Landkreis Anhalt-Bitterfeld können sich mithin nicht viele Organisationen erlauben.

Schwachstellenmanagement und Patches
Zumindest die wesentlichen Systeme sollten stets über einen aktuellen Patch-Stand verfügen – oftmals sind erst kurz vorher veröffentlichte Schwachstellen der wesentliche Angriffsvektor. Dabei bietet sich eine größtmögliche Automatisierung an, damit die manuellen Eingriffe auf ein Minimum reduziert werden. Zugleich sollten auch immer CERT-Meldungen (etwa vom CERT Bund) und Herstellermeldungen abonniert werden, um auf dem Laufenden zu bleiben.

Wartungsverträge
Eigentlich selbstverständlich ist das Vorhandensein von Wartungsverträgen für Hard- und Software. Natürlich spart es Kosten, keine Wartungsverträge abzuschließen. Das ist jedoch nicht nur töricht, sondern auch fahrlässig. Doch auch bei Vorhandensein von Wartungsverträgen unterbleibt es in gar nicht so wenigen Fällen, notwendige Hotfixe oder Sicherheit-Patches einzuspielen. Die Gründe hierfür können vielfältig sein, zum Beispiel keine Zeit, kein Personal oder Unwissen, ob überliegende Applikationen noch nach dem Einspielen funktionieren. 

Das darf jedoch keine Ausrede sein, insbesondere, da aus (scheinbarer) Fahrlässigkeit später durchaus ein (bedingter) Vorsatz abgeleitet werden könnte (»Das haben wir schon immer so gehandhabt«). Auch hier schadet der Blick in vorhandene Verträge nicht und insbesondere sollte überprüft werden, wann gemäß Wartungsvertrag Patches geliefert werden müssen und wie schnell diese getestet und eingespielt werden müssen. Grundsätzlich gilt ein Ermessensspielraum, aber es sollte dafür gesorgt sein, dass als hochkritisch eingestufte Sicherheitslücken unverzüglich geschlossen werden. 

Audits
Mit Abschluss eines Outsourcing-Vertrags gehen viele Pflichten auf den Dienstleister über. Nichtsdestotrotz verbleibt Verantwortung beim Auftraggeber. Damit dieser seine Kontrollpflicht wahrnehmen kann, bedarf es einer Berechtigung, Audits durchzuführen. Hier sollten die Verträge insbesondere auf das Recht zu Audits im Bereich der Informationssicherheit geprüft und – so nicht vorhanden – ergänzt werden. Wichtig ist in diesem Zusammenhang der finanzielle Aspekt. Dienstleister stehen nicht unbeschränkt für Audits aller Kunden zur Verfügung und begrenzen deshalb gerne ihren Aufwand vertraglich. Dies ist marktüblich und legitim. Als Auftraggeber sollte jedoch darauf geachtet werden, dass schon bei fahrlässigen Verstößen gegen die Obliegenheiten in der Informationssicherheit jeder Aufwand – auch der des Auftraggebers – zur Beseitigung der Missstände vom Dienstleister getragen werden muss, zumal dann auch andere Kunden des Dienstleisters mittelbar oder unmittelbar Nutznießer sein können. 

Ein weiterer Punkt in vielen Verträgen verpflichtet den Auftraggeber zu einer Ankündigung eines Audits mehrere Tage (bis zu zwei Wochen) im Voraus. Dies ist aber nicht im Sinne der IT-Sicherheit. REvil – um nur eine Hackergruppe namentlich zu nennen – kündigt ihre Angriffe auch nicht mehrere Tage im Voraus an. Daher ist zumindest für Audits im Bereich der IT-Sicherheit eine Vorankündigung nicht angemessen, sondern gar kontraproduktiv. Es sollte das Recht bestehen, diese auch unangekündigt durchzuführen (wenn auch nicht unangemessen oft).

Haftung
Auch in der vertraglichen Haftung lohnt ein Blick in den Vertrag. Da fast zeitgleich mit dem Fall Anhalt-Bitterfeld die vorgenannte Angriffswelle über einen Dienstleister erfolgte und diese erfolgreich auf dessen Kunden durchschlug, stellt sich die berechtigte Frage, wie die Haftung bei erfolgreichen Angriffen auf den Dienstleister des Auftraggebers ausgestaltet werden sollte. Grundsätzlich sollte deshalb für Schäden, die im Verantwortungsbereich des Dienstleisters vorsätzlich oder fahrlässig entstanden sind, eine verschuldensunabhängige Haftung vertraglich vorgesehen werden. Für den Eigenbetrieb käme der Abschluss einer spezialisierten Versicherung in Betracht. Aufgrund von Ausschlusskriterien ist in vielen Fällen jedoch eine Investition in organisatorische Maßnahmen (siehe Datensicherung und Wartungsverträge) und Auf- beziehungsweise Ausbau des Personals in IT-Sicherheit sowie das Hinzuziehen von auf IT-Sicherheit spezialisierten Dienstleistern weitaus sinnvoller. 

Weitere technische und organisatorische Maßnahmen
Über die Datensicherung hinaus kann – und muss – in weitere technische Maßnahmen investiert werden. Der Einsatz unterschiedlicher Viren-Scanner sowohl auf Client- als auch Server-Seite sollte genauso zum Standard gehören wie eine Absicherung der Netzwerke durch Firewall-Systeme. Bleibt zum Schluss der Risikofaktor Mensch: Steter Tropfen höhlt den Stein. Alle Mitarbeiter mit Zugriff auf IT-Systeme sind nicht nur einmalig, sondern beständig auf die Gefahren hinzuweisen. Kaum einer stört sich in produzierenden Unternehmen an den Hinweisschildern, einen Helm zu tragen, Gehörschutz anzulegen oder die Handläufe bei Treppen zu verwenden. Hier muss sich die IT nicht hinter vermeintlich genervten Anwendern verstecken. Auch die vorgenannten Punkte können vertraglich mit Dienstleistern in Outsourcing-Beziehungen vereinbart werden und es ist sinnvoll, auch hier auf Erfüllung zu bestehen.

Die vorgenannten Punkte zusammen bieten keinen absoluten Schutz, dienen aber dazu, dass im Fall einer Katas-trophe angemessen reagiert werden kann. Dabei ist insbesondere ein Augenmerk darauf zu richten, dass die eingesetzten Systeme aktuell gehalten werden und die Wiederherstellungszeiträume aus der Datensicherung angemessen kurz bleiben.



Christoph Lüder (l.), Marcus Schwertz,
LEXTA – Part of Accenture
www.lexta.com/de

 

Illustration: © Makstorm/shutterstock.com

 

1381 Artikel zu „Ransomware“

Keine Panik nach dem Ransomware-Angriff

Sieben Maßnahmen, die Opfer während oder nach einem erfolgreichen Ransomware-Angriff ergreifen sollten. Die Ransomware-Welle schwappt unverändert über Unternehmen und Behörden hinweg und gefühlt verschärft sich die Sicherheitslage. Die Frage scheint nur noch zu sein: Wann und wie erwischt es einen selbst? Ratgeber, wie man seine Cyberabwehr gegen Ransomware aufstellen sollte, oder Technologien, die eine erfolgreiche…

Ransomware: So können sich Unternehmen wirklich schützen

Eine aktuelle Studie des Digitalverbands Bitkom bewertet Ransomware als Haupttreiber für den enormen Anstieg an Cyberattacken. Die Erpresserangriffe verursachen bei den Betroffenen einen enormen wirtschaftlichen Schaden. Doch Unternehmen und Behörden sind nicht wehrlos: Es gibt durchaus wirksame Möglichkeiten, sich vor Ransomware-Attacken zu schützen.     Bei einem Ransomware-Angriff verlangen Cyberkriminelle ein Lösegeld, um zuvor gestohlene…

Nach dem GAU ist vor dem GAU: Kaseya – Chronologie einer globalen Ransomware-Attacke

Am 12. Juli kann der US-Sicherheitsanbieter Kaseya endlich verkünden: Die Wiederherstellung aller Services ist abgeschlossen. Ganze zehn Tage waren Unternehmensleitung, technische Experten und nicht zuletzt Kunden weltweit damit beschäftigt, die Folgen einer der heftigsten bekannten Cyber-Attacken zu bewältigen. »This sucks« fasst Kaseya-CEO Fred Voccola die Geschehnisse seiner Arbeitswoche nach der Ransomware-Attacke durch REvil zusammen. »Ransomware-as-a-Service«…

Krieg gegen Ransomware: Die EU sendet klares Signal und setzt Mittel aus dem Verteidigungsetat für Maßnahmen gegen Cyberangriffe ein

Kommentar von Eric Waltert, Regional Vice President DACH bei Veritas Technologies Die Europäische Union (EU) verdeutlicht mit der Einberufung der neu geschaffenen Joint Cyber Unit, wie ernst sie die aktuelle Bedrohungslage durch Hacker nimmt. Die Cyber-Einheit soll auch mit Mitteln aus dem europäischen Verteidigungsetat Hackerangriffe wie Ransomware bekämpfen. Damit setzt die EU ein Zeichen, dass…

Von der Erpressung zum Datendiebstahl: Ransomware im Wandel der Zeit

Seit vielen Jahren gibt es eine feste Größe im Bereich der Cyberkriminalität, nämlich Angriffe mittels Ransomware. Bei solchen Attacken bringen Kriminelle Unternehmen dazu, Schadcode auf ihren Systemen auszuführen, der dort oder im verbundenen Netzwerk vorhandene Daten verschlüsselt und für den Nutzer unzugänglich macht. Die Ziele, die Kriminelle mit diesen Angriffen verfolgen, haben sich im Laufe…

Backup und Erpresser-Software – Der aktuelle Ransomware Threat Report

Am heutigen World Backup Day rückt das Thema Ransomware mehr denn je in den Fokus, ist sie doch ein Haupttreiber für die Modernisierung der Backup-Lösungen in vielen Unternehmen. Palo Alto Networks und das Crypsis Incident Response Team haben sich zusammengetan, um die Ransomware-Bedrohungslandschaft im Jahr 2020 zu analysieren. Der jüngste Ransomware Threat Report, der vor…

Ransomware wird für gezielte Angriffe genutzt 

Betrügerische Impfversprechen dominieren das Spam-Aufkommen. Die Cyberkriminalität hat sich 2020 spezialisiert. Das ist ein Fazit des Threat Reports für das vierte Quartal 2020, den ESET veröffentlicht hat. Den letzten Bericht des abgelaufenen Jahres nutzen die Experten des europäischen IT-Sicherheitsherstellers auch für einen Rückblick auf das Gesamtjahr sowie einen Ausblick auf 2021. Ein Ergebnis des Reports:…

Das 1×1 der Ransomware – Von der Anfälligkeit zur Widerstandsfähigkeit

Ransomware gehört zu den am schnellsten wachsenden Cyberbedrohungen, mit denen Behörden heute konfrontiert sind. Staatliche Einrichtungen, Ämter und Behörden sind besonders anfällig für Ransomware, da sie aufgrund ihrer kleineren IT-Budgets und -Abteilungen als »weiche« Ziele gelten. Obwohl Ransomware ernsthafte Herausforderungen schafft, gibt es effektive Lösungen, um diese Bedrohung zu bewältigen. »Organisationen jeder Art  können ihre…

Ransomware: Maßnahmen gegen den hochentwickelten Erpressungstrojaner Ryuk

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall. Dies entspricht etwa einem Drittel aller Ransomware-Angriffe, die in diesem Quartal durchgeführt wurden. Die explosionsartige Zunahme von…

Schutz vor Ransomware neu gedacht

Im März konnten wir erleben, wie fast über Nacht die Anzahl von Homeoffice-Nutzern von knapp 20 Prozent in vielen Branchen und Unternehmen (sogar solchen, von denen man es am wenigsten vermutet hätte) auf nahezu 100 Prozent anstieg. Ehemals langfristige ausgelegte Strategien für die Cloud-Einführung wurden auf wenige Wochen komprimiert. Die verbreitete Aussage, Covid-19 hätte die…

Starke Zunahme von Ransomware und IoT-Angriffen

Ransomware Ryuk verantwortlich für ein Drittel aller Ransomware-Angriffe im Jahr 2020. Das SonicWall Capture Labs Team, das auf das Aufspüren von Cyberbedrohungen spezialisiert ist, stellte die Auswertung der Bedrohungsdaten aus dem dritten Quartal 2020 vor. Die Daten wurden mit Hilfe von über einer Million Sicherheitssensoren des Unternehmens weltweit erfasst. Die Ergebnisse aus dem bisherigen Jahresverlauf…

Die fünf hartnäckigsten Mythen zu Ransomware 

Wie Unternehmen sich von Lösegeldforderungen befreien können. Angriffe mit Ransomware sind weltweit auf dem Vormarsch und werden auch künftig nicht nachlassen. Einem kürzlich erschienenen Bericht zufolge ist die Zahl der Lösegeld-Angriffe weltweit im Vergleich zum Vorjahreszeitraum um 50 Prozent gestiegen. Immer noch halten sich jedoch Mythen, die Unternehmen bei Lösegeldforderungen falsche Entscheidungen treffen lassen.    Ransomware…

Ransomware: Umfangreiche und verheerende Bedrohung für Krankenhäuser

In den USA kämpfen Krankenhäuser aktuell mit einer Welle von Ransomware-Angriffen. Dazu ein Kommentar von Sandra Joyce, Executive VP und Head of Mandiant Threat Intelligence (eine Einheit von FireEye.   »Ransomware ist eine Bedrohung, die wir nicht länger ignorieren dürfen, sie gerät zunehmend außer Kontrolle. Die Hacker, die hinter Ransomware-Kampagnen stehen, schalten mittlerweile die kritischsten…

Ransomware: Zahlen oder nicht zahlen?

In jüngster Zeit sind wieder etliche Ransomware-Vorfälle, gerade bei den Krankenhäusern, publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma »zahlen oder nicht zahlen« im Vorfeld eines Angriffs an? Dazu haben wir mit Boris Cipot, Senior Sales Engineer Synopsys, gesprochen.   Wie werden…

Unveränderbare Backups – Effektive Strategie gegen immer raffiniertere Ransomware

Allein die Erwähnung von Ransomware reicht aus, um dem erfahrensten IT-Profi Schauer über den Rücken zu jagen. Ransomware-Angriffe nehmen in einem noch nie dagewesenen Ausmaß zu, ebenso wie der Grad ihrer Ausgereiftheit. Dazu gehören der Einsatz von Methoden zum Diebstahl von Zugangsdaten und mehrstufige Angriffe, die von einem einzigen anfänglichen Exploit an zu weitreichenden Störungen…

Vier entscheidende Strategien für den Ransomware-Schutz

  Zentralisierte Sicherheitstechnologie 3-2-1 Backup-Strategie Aktualisierte Betriebssysteme und Software-Versionen Sensibilisierung aller Mitarbeiter für das Sicherheitsthema   Arcserve warnt vor der gestiegenen Bedrohung durch Ransomware und stellt einen Strategiefahrplan zum Schutz vor Cyberattacken vor. Ransomware ist seit der Corona-Krise zu einer noch größeren Bedrohung für die Cybersicherheit von Unternehmen geworden. Der Schaden, der durch diese Art…

Cyber Threat Report 2020: Microsoft-Office-Dateien häufiger infiziert, Ransomware auf dem Vormarsch

Ransomware-Attacken weltweit steigen um 20 % (Höchststand in USA mit 109 %). Malware-Attacken gehen global um 24 % zurück. Wachstum um 7 % bei Phishing-Versuchen, die sich der Corona-Krise bedienen. Anstieg um 176 % bei Malware-Attacken mit infizierten Microsoft-Office-Dateien. 23 % der Malware-Angriffe über Nicht-Standard-Ports ausgeführt. IoT-Malware-Angriffe nehmen um 50 % zu. Im Bericht analysierte…

Ransomware-Attacken: Mehr als 1000 Euro pro Kunde

Die Summe, die Unternehmen betroffenen Kunden zahlen sollten, könnte sich auf Hunderte von Millionen Dollar belaufen. Verbraucher fordern, dass Unternehmen Hackern auf keinen Fall Lösegeld zahlen, aber sie erwarten das Gegenteil, wenn ihre eigenen Daten kompromittiert wurden. Veritas Technologies, ein Unternehmen im Bereich Datensicherung und Datenverfügbarkeit, hat deutsche Verbraucher zum Thema Ransomware befragt [1]. Demnach…

Ransomware: Gestern, heute und morgen

Gezielte Ransomware-Angriffe nehmen weiter zu und sie werden noch schlimmer. Ein einziger Ransomware-Angriff kann ein Unternehmen komplett lahmlegen. Bei Ransomware ist nach wie vor der menschliche Faktor das größte Problem.   Fortinet brachte drei Mitglieder seines FortiGuard Labs-Teams – Derek Manky, Aamir Lakhani und Douglas Santos – zu einem digitalen Interview über Ransomware zusammen. Zu dritt diskutierten…

Deutlicher Zusammenhang zwischen Ransomware, Kaufverhalten und Markentreue der Verbraucher

  Umfrage deckt auf, dass Verbraucher in der Regel Unternehmen meiden, die bereits einen Cyberangriff erlebt haben. Konsumenten tolerieren keine durch Ransomware verursachten Service-Unterbrechungen oder Sicherheitsverletzungen. Mehrheit der Verbraucher wendet sich bereits nach einer einzigen fehlgeschlagenen Online-Transaktion oder unzulänglichen Informationen an Konkurrenzanbieter.   Arcserve veröffentlichte die Ergebnisse einer neuen Studie, die den Einfluss von Cyberkriminalität…