Illustration: Absmeier, TheDigitalArtist

Im März konnten wir erleben, wie fast über Nacht die Anzahl von Homeoffice-Nutzern von knapp 20 Prozent in vielen Branchen und Unternehmen (sogar solchen, von denen man es am wenigsten vermutet hätte) auf nahezu 100 Prozent anstieg. Ehemals langfristige ausgelegte Strategien für die Cloud-Einführung wurden auf wenige Wochen komprimiert. Die verbreitete Aussage, Covid-19 hätte die digitale Transformation beschleunigt, mutet da fast wie eine Untertreibung an. Innerhalb weniger Monate sind wir stärker vom Internet, der Cloud und der digitalen Zusammenarbeit abhängig geworden als man es für die kommenden fünf Jahre prognostiziert hatte. Menschen, die wir früher persönlich getroffen haben – Ärzte, Lehrer und Kollegen – begegnen wir jetzt auf dem Bildschirm. Wir sind nun gleichzeitig an verschiedenen Orten und dennoch digital verbunden und nutzen immer häufiger Inhalte und Dienste, die über die Cloud verfügbar gemacht werden. Dies führt dazu, dass jede Störung kostspielig und potenziell gefährlich ist.

Dies ist die Stunde von kriminellen Hacker-Vereinigungen. Sie wissen, wie abhängig wir sind, und sie nutzen diesen Vorteil voll aus. Sie übernehmen die Kontrolle über Daten und Infrastruktur, auf die Unternehmen angewiesen sind, und zwingen diese mit einem Ransomware-Angriff dazu, dafür zu bezahlen, dass sie sie zurückerhalten. Angesichts einer ungewissen oder langwierigen Wiederherstellung entscheiden sich viele Unternehmen dafür, viel Geld zu zahlen, um wieder einsatzbereit zu sein. Durch die Zahlung von »Lösegeld« ist nicht jedoch gewährleistet, dass auch alle Daten wieder hergestellt werden können.

Immer noch unvorbereitet

Trotz all der Schreckensmeldungen der letzten Zeit sind die meisten Unternehmen immer noch nicht adäquat auf Ransomware-Angriffe vorbereitet. Der aktuelle Lagebericht des BSI weist ausdrücklich Ransomware als eine der größten Cyberbedrohungen aus: »Die durch Ransomware verursachten Schäden können existenzbedrohend sein.« Hinzu kommt, dass sich die Taktik der Cyberkriminellen verändert hat: Die früheren, ungezielten Angriffe zielten auf eine reine Verschlüsselung der Daten und bedrohten damit die Verfügbarkeit. Diese ist zweifellos (nach wie vor) von entscheidender Bedeutung, doch das neue Angriffsszenario bedroht zusätzlich auch die Vertraulichkeit der Daten. Die Angreifer verschlüsseln nicht nur Dateien, sie stehlen sie auch und drohen damit, sie zu veröffentlichen. Entsprechend höher sind mittlerweile auch die Lösegeld-Forderungen, die teilweise in die Hunderttausende oder gar Millionen Euro gehen.

Man sollte meinen, dass das Aufspüren von ungewöhnlichen digitalen Transaktionen inzwischen längst zur Routine geworden ist wie das Aufspüren von ungewöhnlichen Finanztransaktionen. Der »Erfolg« der Ransomware-Angriffe beweist jedoch das Gegenteil. Die Hacker entwenden häufig zehntausende Dateien, bevor der Angriff überhaupt bemerkt wird. In einem berühmt gewordenen Fall brauchte der Insider Greg Chung Jahrzehnte, um etwa 200.000 Papierakten zu stehlen. Die heutigen kriminellen Hacker-Gruppen können innerhalb von Tagen oder Wochen eine solche Beute machen. Es scheint mittlerweile schwieriger zu sein, einen Kugelschreiber aus einem Büro zu stehlen als tausende vertrauliche, digitale Dateien. Und es geht nicht nur um Dateien: Bis zu dem Zeitpunkt, an dem organisierte Hacker beginnen, auf Daten zuzugreifen oder sie zu verschlüsseln, haben sie in der Regel kritische Konten und Systeme übernommen sowie Hintertüren geschaffen, damit sie weiterhin die Kontrolle behalten können.

Um die Problematik zu verstehen und daraus resultierend Schutzmaßnahmen ergreifen zu können, muss einem klar sein, wie Angreifer auf Daten zugreifen. Sie tun das im Grunde, wie jeder andere (legitime) Nutzer: mit einem Konto, das sich in die Unternehmenssysteme einloggen kann. Im Hinblick auf die Daten spielt es dabei kaum eine Rolle, ob sie sich in der Cloud befinden oder lokal gespeichert sind. Was kann man also tun, um sich wirkungsvoll vor Ransomware zu schützen?

Risiken verstehen

Viele Unternehmen, die Opfer eines Ransomware-Angriffs werden, sind überrascht, wie viele Dateien ein einziger infizierter Benutzer oder Computer verschlüsseln konnte. Schon die recht einfachen, ungezielten Ransomware-Angriffe können verheerende Schäden anrichten, da oftmals Mitarbeiter Zugriff auf weit mehr Dateien haben, als sie für ihre Arbeit benötigen. So zeigte der Data Risk Report, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und in jedem zweiten Unternehmen (53 Prozent) alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen können. Diese Daten stellen somit eine sehr breite Angriffsfläche dar. Hinzu kommt, dass in den meisten Fällen keine Systeme vorhanden sind, die verfolgen beziehungsweise analysieren, welche Dateien oder Systeme jeder Benutzer verwendet. Und genau dies ist der Grund, weshalb Angreifer so viele Dateien entwenden und verschlüsseln können, bevor es bemerkt wird. Zeit ist hierbei ein kritischer Faktor. So bemerkte kürzlich der Sicherheitsverantwortliche eines US-Bezirks: »Wenn Sie mit einem Lösegeldangriff konfrontiert werden, haben Sie weniger als fünf Minuten Zeit, um zu reagieren, bevor Ihre gesamte Umgebung in Gefahr ist.«

Eine breite und poröse Angriffsfläche, die nicht beobachtet wird, ist nicht zu verteidigen. Unternehmen sollten deshalb ihre Daten einer Risiko-Bewertung unterziehen. Auf diese Weise lässt sich feststellen, wer Zugriff auf welche (kritischen) Datenspeicher hat. Wie oft wird der Zugriff überprüft? Wie wird ungewöhnliches Nutzerverhalten erkannt? Man könnte auch mit einem informellen Test beginnen, indem das Sicherheitsteam einen Benutzer nach dem Zufallsprinzip auswählt und ein Testskript ausführt, das einfach jede Datei öffnet und schließt, auf die der Benutzer zugreifen kann. Anhand der Datei-Aktivitätsprotokolle erkennt man die Ransomware-Angriffsfläche dieses Benutzers. Gleichzeitig kann man auf diese Weise überprüfen, ob dieses (offensichtlich abnormale) Verhalten von einem der eingesetzten Sicherheits-Tools erkannt wird.

Zugriffsrechte reduzieren

Angreifer schaffen es immer hinter den »klassischen« Perimeter. Deshalb gilt es, sich auf diesen Fall vorzubereiten und die Daten, als das Hauptziel der meisten Angriffe, ins Zentrum der Verteidigungsstrategie zu stellen. Die Daten sind somit der neue Perimeter. Wesentlich ist es, die Qualität und Quantität der Dateien, auf die die einzelnen Mitarbeiter zugreifen, richtig zu dimensionieren. Erhält jeder Mitarbeiter nur den Zugriff, den er tatsächlich für seine Arbeit benötigt (Least-Privilege-Prinzip), reduziert sich die Angriffsfläche signifikant. Und ist man in der Lage, ungewöhnliche Aktivitäten zu erkennen, kann man (automatisiert) Sitzungen abbrechen, bevor ein verheerender Schaden entsteht.

Konten überwachen

Cyberkriminelle greifen fast immer über ein (kompromittiertes) Konto auf Unternehmensdaten zu. Diese Konten werden zumeist zentral in Systemen wie Active Directory (AD) gespeichert. Wenn also Daten der neue Perimeter sind, ist Active Directory die neue DMZ. Entsprechend müssen die Konten in Active Directory überwacht und hier alle Schwachstellen beseitigt werden.

Zusammenhänge erkennen

Je mehr Informationen zur Verfügung stehen, desto präziser lassen sich ungewöhnliche Aktivitäten identifizieren. Ist man in der Lage, unübliche Datenzugriffe mit AD-Aktivitäten und weiteren Ereignissen, etwa am Netzwerkperimeter, zu korrelieren, können auch fortschrittliche Angriffe frühzeitig erkannt und gestoppt werden.

Um wirklich langfristig erfolgreich gegen Ransomware zu sein, muss die Verteidigungsstrategie komplett überdacht werden. Wir sollten zukünftig eine datenzentrierte Sicherheit durchsetzen. Dieser Ansatz hilft nicht nur im Kampf gegen organisierte Hacker-Gruppen und Erpresser-Malware, er ist auch die einzige realistische Verteidigung gegen Insider wie Greg Chung.

Michael Scheffler, Country Manager DACH von Varonis Systems