In den vergangenen Monaten wurden vermehrt Attacken mit Ransomware, also Angriffe durch Online-Erpresser, gemeldet. Ransomware ist im Wesentlichen Malware, die Daten auf PC- und Netzwerk-Laufwerken verschlüsselt, bis eine Zahlung geleistet wird. Zuletzt stand das Gesundheitswesen im Rampenlicht, mit einigen spektakulären Vorfällen, bei denen sogar Kliniken Opfer von Cyberattacken wurden. Allerdings ist auch Finanzdienstleistungsbranche nicht immun gegen diese Bedrohung.
Bereits Mitte 2014 fiel eine Broker-Agentur in den USA einem Ransomware-Angriff zum Opfer: In diesem Fall wurden Daten der Institution durch CryptoWall verschlüsselt und exfiltriert. Obwohl nicht viele Ransomware-Vorfälle bei Finanzinstituten öffentlich wurden, galt Crypto-Ransomware sowohl im Jahr 2014 als auch 2015 als eine der Top 3 Bedrohungen der Branche. Zu diesem Ergebnis kommen Untersuchungen von Unit 42, dem Malware-Analyseteam von Palo Alto Networks. Alles spricht dafür, dass Ransomware auch in diesem Jahr seiner Rolle als eine der Top-Bedrohungen für die Finanzbranche beibehalten wird. Deswegen sollten die Unternehmen darauf vorbereitet sein, Angriffe dieser Art abzuwehren.
Um sich vor den Auswirkungen von Ransomware zu schützen, sollten die Finanzinstitute regelmäßige Backups der Daten auf PCs, freigegebenen Laufwerken und alle anderen Speichersystemen durchführen. Darüber hinaus gilt es die Daten auf dem Backup-System zu überprüfen, damit es keine bösen Überraschungen gibt, wenn eine Wiederherstellung erforderlich wird. Dies sollte ohnehin bereits eine regelmäßige Praxis im Rahmen der Geschäftskontinuitätsplanung sein. Es lohnt sich dennoch, hier besonders sorgfältig vorzugehen, da lückenlose Backups integraler Bestandteil jeglicher Maßnahmen zur Behebung von Ransomware-Vorfällen sind.
Prävention, also das Verhindern von Ransomware-Infektionen, ist eine noch bessere Vorgehensweise. Dadurch lassen sich verlorene Produktivität und Auswirkungen auf die Geschäftstätigkeit sowie der Aufwand für das Entfernen von Malware und die Wiederherstellung verschlüsselter Datendateien vermeiden. Durch die Einrichtung mehrerer Verteidigungsebenen im Netzwerk kann die Abwehrfähigkeit gegen Ransomware-Angriffe erheblich verbessert werden. Palo Alto Networks empfiehlt die folgenden Schritte:
1) Scannen und Blockieren verdächtiger Dateien (zum Beispiel portable ausführbare Dateien) beim gesamten eingehenden E-Mail oder Web-Browsing-Verkehr
2) Eindringen von Malware verhindern mittels Intrusion-Prevention-Systemen (IPS) für bekannte Bedrohungen und Sandbox-Analyse für Zero-Day-Bedrohungen
3) Blockieren von ausgehendem Datenverkehr zu bösartigen URLs oder Websites, die Teil eines Ransomware- Angriffslebenszyklus sein könnten.
4) Verhindern der Ausführung von Exploits und Malware auf PCs und Servern mittels Endpunktschutz-Funktionen, die weit über Anti-Virus und Host-IPS hinausgehen.
5) Bedrohungen isolieren durch Segmentierung des internen Netzwerks, um seitliche Bewegungen zu verhindern und den kompromittierten Bereich zu minimieren.
»Next-Generation-Sicherheitsplattformen bieten Finanzdienstleistern einen mehrschichtigen Ansatz, um die Infizierung mit Ransomware zu verhindern. Alle wichtigen Funktionen können in einen umfassenden Verteidigungsplan gegen Ransomware eingebunden werden. Viele Unternehmen aus der Finanzbranche vertrauen bereits auf einen modernen Plattformansatz zur Abwehr von Cyberbedrohungen aller Art«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. »Weitere Informationen über die Entwicklung von Ransomware werden im neuen Report von Unit 42 mit dem Titel ‚Ransomware: Unlocking the Lucrative Criminal Business Model‘ ausführlich erläutert.«
[1] https://www.paloaltonetworks.com/resources/research/ransomware-report
Ransomware ist kein »Malware-Problem«, sondern kriminelles Business