Ransomware bleibt eine der größten Gefahren für die IT-Sicherheit von Unternehmen und Behörden. Weil Ransomware-Angriffe in den letzten Jahren einen enormen Schaden angerichtet haben und auch durch die Medien viel Aufmerksamkeit erfahren haben, haben die meisten IT-Sicherheitsverantwortlichen und die Unternehmensleitung das Problem inzwischen erkannt. Und doch reichen die Abwehrmaßnahmen in vielen Bereichen nicht aus, weil sie der Tatsache nicht gerecht werden, dass die Ransomware-Angreifer ihre Ziele ausgeweitet haben.
Früher verschlüsselten die Cyberkriminellen »lediglich« Unternehmensdaten und rückten den Schlüssel gegen eine Lösegeldzahlung heraus. Wer nicht erpressbar sein wollte, konzentrierte sich entsprechend darauf, häufig und regelmäßig Backups zu erstellen, diese effektiv von den Produktivsystemen abzukoppeln und im Ernstfall die Daten schnell wiederherzustellen. In den letzten Jahren gehen Ransomware-Kriminelle allerdings verstärkt dazu über, auch Spionage zu betreiben und/oder Daten zu stehlen. Dagegen hilft kein noch so gutes Backup. Und Maßnahmen, die gegen moderne Ransomware-Attacken wirken, werden von deutschen Unternehmen weitgehend vernachlässigt.
Deutsche Unternehmen nicht gewappnet. Laut der Studie »Cybersecurity in Deutschland: Menschen und Daten besser schützen«, die techconsult im Auftrag von Proofpoint erstellt hat, setzen nur 40 Prozent der Unternehmen eine Software zur Verhinderung von Datenverlusten (DLP: Data Loss Prevention) ein [1]. Nur 48 Prozent der Unternehmen sperren den Zugang zu sensiblen Daten für bestimmte Mitarbeiter oder Mitarbeitergruppen und knapp ein Viertel der Unternehmen (24,5 Prozent) hat nicht einmal einen genauen Überblick darüber, wo seine sensibelsten Daten gespeichert sind. Wer aber nicht weiß, wo seine Daten zu finden sind, kann sie auch nicht schützen.
Der Faktor Mensch. Eine Strategie zur Abwehr moderner Ransomware-Attacken sollte mehrere Faktoren berücksichtigen beziehungsweise verschiedene Maßnahmen kombinieren. Zuallererst sollte der Faktor Mensch bedacht werden, weil für Ransomware-Attacken dasselbe gilt wie für andere Cyberangriffe: Laut Global Risk Report 2022 des Weltwirtschaftsforums erfordern über 95 Prozent der erfolgreichen Cyberangriffe eine menschliche Aktion. Um ihre Mitarbeiter und sich selbst zu schützen, sollten Unternehmen daher regelmäßige und wirksame Security-Awareness-Trainings für ihre Belegschaft durchführen. Das ist laut der techconsult-Studie immerhin in 82 Prozent der Unternehmen der Fall. Darüber hinaus sollten Unternehmen ihre Mitarbeiter zusätzlich durch eine Targeted Attack Protection (TAP) schützen. Eine solche Lösung hilft, zu identifizieren, welche Mitarbeiter am häufigsten angegriffen werden, und bietet Schutz vor hochentwickelten URL-, Dateianhangs- und cloudbasierten E-Mail-Bedrohungen. Wenn die IT-Security-Verantwortlichen erkannt haben, wer angegriffen wird, wissen sie, wo eine gezieltere Awareness-Schulung und zusätzliche Sicherheitskontrollmaßnahmen erforderlich sind.
Den Posteingang schützen. Erstaunlicherweise nutzen laut der erwähnten Studie nur 54 Prozent der Unternehmen eine E-Mail-Sicherheitstechnologie. Während immerhin 80 Prozent der Banken und Versicherungen diese Technologie bereits einsetzen, sind es im Handel nur 41 Prozent. Das ist ein besorgniserregendes Manko, denn die E-Mail ist das Mittel der Wahl für Cyberkriminelle, entweder direkt für den Transport von Malware oder als bevorzugtes Kommunikationsmittel für Phishing-Versuche und die Erbeutung von Zugangsdaten.
Eine moderne E-Mail-Sicherheitslösung kann das Einfallstor E-Mail weitgehend schließen. Eine solche Lösung bietet mehrere Sicherheitsebenen, die Ransomware und Malware-Downloader erkennen und blockieren. Sie kann durch Absicherung interner E-Mails Schutz vor kompromittierten Konten bieten und mithilfe von Machine Learning schädlichen Code erkennen und abwehren. Auch schädliche E-Mails, die nach der Übermittlung zeitverzögert »scharf geschaltet« werden, kann eine moderne E-Mail-Sicherheitslösung erkennen und unter Quarantäne stellen. Zudem kann sie richtiges Verhalten der Mitarbeiter fördern, indem sie darüber informiert werden, ob gemeldete Nachrichten tatsächlich schädlich waren.
Sicher im Netz. Um Mitarbeiter auch beim Surfen und beim Gebrauch von Cloud-Apps zu schützen, sollte ein Unternehmen eine Kombination aus Web Security, Browser-Isolierung und Cloud App Security Broker (CASB) einsetzen. Eine Web-Security-Lösung nutzt Information aus einer aktuellen Bedrohungsdatenbank, um schädliche und unzulässige Websites zu erkennen und zu blockieren. Sie kann auch private Webmails und nicht genehmigte SaaS-Anwendungen abdecken. Eine Lösung zur Browser-Isolierung überwacht Browseraktivitäten und verhindert Ransomware-Downloads und Diebstahl von Anmeldedaten auf gefährlichen oder verdächtigen Websites. Sie leitet den Datenverkehr mit den riskantesten URLs in isolierte Browsersitzungen mit risikoabhängigen Isolierungskontrollen um.
Ein CASB korreliert verdächtige Anmeldungen und Aktivitäten nach dem Zugriff, um laterale Bewegungen oder ein Risiko für Daten durch kompromittierte Konten zu verhindern. Er schützt Anwender und Cloud-Anwendungen vor Kontoübernahme, schädlichen Dateien, schädlicher Datenexfiltration und allzu freizügiger Weitergabe vertraulicher Informationen. Ein leistungsstarker CASB stellt eine detaillierte Übersicht der gefährdeten Anwender und Daten bereit. IT-Sicherheitsverantwortliche erhalten einen personenorientierten Überblick über Cloud-Zugriffe und die Nutzung vertraulicher Daten. Der CASB erkennt gefährdete SaaS-Dateien, ihre Eigentümer, deren Aktivitäten und Freigabestatus und warnt vor verdächtigen Anmeldungen.
Schutz gegen Datenverlust. Eine letzte wichtige Komponente im Kampf gegen moderne Ransomware-Angriffe ist eine Data-Loss-Prevention-Lösung. Lei-der setzen laut der techconsult-Untersuchung, wie erwähnt, nur 40 Prozent der Unternehmen eine solche Lösung ein. Soll sie effektiv sein, muss auch sie dem Faktor Mensch Rechnung tragen, denn Daten verlieren sich nicht von selbst. Menschen verlieren Daten, sei es durch Nachlässigkeit, Absicht oder ihre kompromittierten Anmeldedaten. Eine DLP-Lösung muss darum Inhalte, Verhalten und Bedrohungen sowie personenorientierte Erkenntnisse zum Schutz vor Datenverlust in einen gemeinsamen Kontext setzen. Indem sie Telemetriedaten aus E-Mails, Cloud-Anwendungen und Endgeräten kombiniert kann sie alle personenorientierten Datenverlust-Szenarien abdecken.
Ist das alles? Die genannten Komponenten sind entscheidend für eine erfolgversprechende IT-Sicherheitsstrategie gegen mo-derne Ransomware-Attacken, auch wenn es sich nicht um eine komplette Liste handelt. Neben einem stark segmentierten und gut überwachten Netzwerk sollte ein Unternehmen beispielsweise auch eine moderne Lösung zum Schutz der Endgeräte einsetzen. Mit den genannten Komponenten sind allerdings die wesentlichen Elemente einer Anti-Ransomware-Strategie benannt.
Bert Skaletski,
Resident CISO für die EMEA-Region
bei Proofpoint
[1] https://www.proofpoint.com/de/resources/analyst-reports/cybersecurity-deutschland