Illustration Absmeier foto freepik

800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste – all dies sind direkte Folgen der jüngsten Ransomware-Attacken aus den vergangenen 15 Tagen. Die Ransomware-Pandemie wütet ungebremst und die Politik diskutiert strengere Regeln. In UK wird diskutiert, ob Firmen gezwungen werden sollten, Attacken und Ransom-Zahlungen zu melden. Die EU hat mit NIS2 und DORA bereits strenge Meldepflichten definiert.

Der Fall von Synnovis legt offen, wie selbst kritische Infrastrukturen anfällig bleiben und wie komplex Firmen heute miteinander verwoben sind. Dadurch entstehen ungewisse Ausfallrisiken. Synnovis ist als Pathologielabor mit seinen Dienstleistungen wie Bluttests eng mit einigen Krankenhäusern verzahnt. Der Ransomware-Angriff gegen das Labor zwang die Krankenhäuser, insgesamt rund 800 Operationen zu verschieben. Mark Dollar, CEO von Synnovis, eines am 4. Juni gehackten Gesundheitsdienstleisters aus UK, sagte: »Angriffe dieser Art können jederzeit jedem passieren und die dahinter stehenden Personen haben beunruhigenderweise keinerlei Skrupel, wen ihre Aktionen treffen könnten.«

Die Zeitungen meldeten weitere Angriffe gegen kommunale Einrichtungen wie Michigan’s Traverse City und New York’s Newburgh in den USA, der Videodienstleister Niconico ist ebenfalls offline. Dies sind vier Beispiele für erfolgreiche Angriffe aus den vergangenen 15 Tagen, die Dunkelziffer ist wahrscheinlich x-fach höher. Und hier wollen Politiker aus Großbritannien ansetzen und Firmen zu mehr Transparenz zwingen.

Diskutiert werden erste Ideen, ob man alle Opfer verpflichten soll, Vorfälle der Regierung zu melden. Opfer sollen sich auch vor Erpressungszahlungen eine Lizenz besorgen müssen.

Ebenfalls vorgeschlagen werden soll ein vollständiges Verbot von Lösegeldzahlungen für Organisationen, die an kritischer nationaler Infrastruktur beteiligt sind. Das Verbot soll Hackern den Anreiz nehmen, diese kritischen Dienste zu stören, indem es sie daran hindert, Angriffe zu monetarisieren.

In den USA hat die Biden-Administration bereits im März 2022 mit ihrem Gesetz »Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)« klar geregelt, dass Betreiber kritischer Infrastruktur einen Cybervorfall innerhalb von 72 Stunden melden müssen. Ransomware-Zahlungen müssen sogar 24 Stunden nach der Zahlung kommuniziert werden.

Globale Standards schimmern durch

Die Vorschriften und Gesetze, mit denen Regierungen mehr Licht in Cybergefahren und -risiken bringen wollen, orientieren sich zusehens an strengen zeitlichen Vorgaben bei der Meldepflicht. 72 Stunden sind hier der globale Standard, der sich nun zu etablieren scheint.

Auch bei dem Digital Operational Resilience Act (DORA), auf die Finanzindustrie fokussiert, und der NIS-2 Direktive sind 72 Stunden das Maß der Dinge. Mit beiden Regelwerken will die EU Firmen in Europa zu mehr operativer Cyberresilienz drängen.

Die obligatorischen Meldepflichten bei Datenschutzverletzungen haben es in sich und stellen klare Anforderungen:

Innerhalb von 24 Stunden muss die Organisation eine Frühwarnung geben, wenn der Verdacht besteht, dass ein schwerwiegender Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte.
Innerhalb von 72 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls muss die Frühwarnung mit einer ersten Bewertung, einschließlich seiner Schwere und Auswirkungen, aktualisiert werden. Die Organisation sollte dem nationalen CERT auch alle Indikatoren für eine Gefährdung im Zusammenhang mit dem Angriff mitteilen.
Auf Anfrage eines nationalen CERT oder einer Aufsichtsbehörde muss die Organisation Zwischenstatusaktualisierungen bereitstellen.
Innerhalb eines Monats nach Einreichung der Vorfallmeldung muss die Organisation einen Abschlussbericht vorlegen.

Selbst mehr Transparenz schaffen

Das Risiko erfolgreicher Cyberattacken auf das Wohl und Leben der Bürger wird die Politik weiter antreiben, neue Regeln und Vorschriften zu erlassen mit dem Ziel, das Sicherheitsniveau und die Cyberresilienz zu stärken. Da wird also wahrscheinlich noch mehr kommen.

Firmen sollten entsprechend reagieren und intern mehr Transparenz und Kontrolle über ihre Daten und Dienste schaffen. Dazu sind folgende Schritte elementar.

Daten genau verstehen – Firmen müssen genau wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann können sie in den Behörden berichten, welche Daten bei einer erfolgreichen Attacke korrumpiert wurden. Auf diesem Gebiet können KI-Lösungen wie Cohesity Gaia massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen automatisiert klassifizieren. Business Owner können beispielsweise direkte Fragen zu bestimmten Daten stellen und bekommen automatisch von Gaia eine entsprechende Antwort mit einer Liste aller betroffenen Dokumente.
Zugriffe reglementieren: Wer seine Daten richtig eingestuft und klassifiziert hat, kann automatisch Regeln und Rechte durchsetzen, die den Zugriff darauf regeln. Daten-Management-Plattformen wickeln das automatisiert ab und reduzieren die Risiken für menschliche Fehler. Eine Firma kann durchsetzen, dass bestimmte Daten niemals an externe Speicherorte oder KI-Module weitergegeben werden dürfen.
Angriffe überstehen – Damit eine Firma die Berichte für die Behörden überhaupt erstellen kann, muss sie handlungsfähig bleiben. Bei Ransomware oder einem Wiper-Angriff aber funktioniert im Worst Case nichts mehr. Die IT-Teams der CIOs und CISOs werden auf diese Attacke nicht einmal reagieren können, da alle Sicherheitstools offline, Beweise in Logs und auf den Systemen verschlüsselt sind. Firmen sollten daher unbedingt Clean-Room-Konzepte implementieren, wo ein Notfallset an Tools und System- und Produktionsdaten liegt, um einmal einen Notbetrieb der Gesamt-IT zu schaffen. Darin liegen alle essenziellen Tools für die Security-Teams, damit diese mit dem essenziellen Incident-Response-Prozess beginnen können. Dieser Prozess ist essenziell, um richtige und aussagekräftige Berichte für NIS2, DORA und DSGVO-Verstöße zu generieren.

»Die Regeln für IT werden strenger, denn unsere Abhängigkeiten von der IT werden größer und damit der Schaden für die Wirtschaft und Gesellschaft, wenn wichtige Dienste ausfallen,« erklärt Mark Molyneux, EMEA CTO bei Cohesity. »Wer die Vorgaben von 72 Stunden bei den Berichten einhalten will, muss all jene Prozesse und Workflows gegenchecken, die mit Daten hantieren. Cohesity kann diese Aufgabe als zentrale KI-getriebene Plattform für Datenmanagement mit Kernfunktionen massiv abdecken, um möglichst große operative Cyberresilienz zu schaffen.

1708 Artikel zu „Ransomware“

NEWS | IT-SECURITY | KOMMENTAR

Lockbit: Kurzfristiger Erfolg im Kampf gegen Ransomware – Beunruhigend schnelles Comeback

10. April 2024

Als im Februar dieses Jahres die Meldung über die erfolgreiche Zerschlagung der Lockbit-Ransomware-Gruppe um die Welt ging, schien es, als wäre den internationalen Ermittlungsbehörden ein entscheidender Schlag gegen die Cyberkriminalität gelungen. Doch gerade einmal eine Woche später, Anfang März, meldete sich die gefährliche Hackergruppe auch schon wieder zurück: In einem Statement gab sie eigene Fehler…