Man darf Ransomware nicht auf die leichte Schulter nehmen. Moderne „Multi-Ransomware-Attacken“ stellen für die Unternehmen noch immer die gefährlichste Bedrohung aus dem Internet dar. Unterstützt durch neue Verschlüsselungsmöglichkeiten und die verbreiteten Kryptowährungen sind die Ransomware-Angriffe nochmals massiv angestiegen und haben sich zu einem lukrativen Geschäftsmodell etabliert.
Unternehmen jeder Grösse werden heute flächendeckend durch Ransomware-Angriffe bedroht. Durch bewährte Methoden wie Phishing-Mails oder Malware findet die mittlerweile hochprofessionelle Täterschaft selbst den Zugang in ein Netzwerk oder sie erkaufen sich den Zugang über den „Initial Access Broker“-Markt.
Ransomware-Täter konzentrieren sich aufs Geldverdienen. Sie setzen auf eine mehrstufige Vorgehensweise (Double-Extortion), bei der sie Daten zuerst stehlen, bevor sie verschlüsselt werden. Wollen die Opfer nicht für die Entschlüsselung bezahlen, wird der Druck erhöht und gedroht, die Daten zu veröffentlichen. Eine Kostprobe wird schon mal im Darkweb publiziert. Oder noch besser, hat man bereits für den Entschlüsselung-Key Geld bezahlt, wird man für das Nichtveröffentlichen der Daten nochmals zur Kasse gebeten. Als Triple-Extortion bezeichnet man die Erweiterung der Attacken mit einem DDoS-Angriff, um das bedrohte Unternehmen noch mehr unter Druck zu setzen.
Mittlerweile werden Ransomware-Attacken als SaaS Dienst zur Verfügung gestellt, gewissermassen als „Ransomware-as-a-Service“ angeboten. So ist es für kriminell motivierte Täter heute relativ einfach einen Ransomware-Angriff zu lancieren, ohne selbst spezifische Fachkenntnisse zu haben.
Das Nationale Zentrum für Cybersicherheit in der Schweiz (NCSC National Cyber Security Centre) empfiehlt betroffenen Unternehmen auf keinen Fall ein Lösegeld zu bezahlen. Es gibt bei Bezahlung des Lösegeldes einerseits keine Garantie, dass die Daten nicht weiter im Umlauf bleiben oder dass man für die verschlüsselten Daten auch wirklich einen Entschlüsselungscode bekommt. Andererseits werden mit den Lösegeldzahlungen das Geschäftsmodell und die Weiterentwicklung der kriminellen Tätigkeiten weiter unterstützt.
Ungebremste Weiterentwicklung
Im offiziellen Bericht des 1. Halbjahres 2021 wurden 94 Fälle beim Nationalen Zentrum für Cybersicherheit gemeldet. Das ist 3-mal mehr als im Vorjahr und wohl nur die Spitze des Eisbergs. Die Dunkelziffer wird massiv höher vermutet. Gerade die Schweizer sind ein beliebtes Ziel geworden, denn die Täter wissen, dass Schweizer Unternehmen liquide sind. Mittlerweile werden Erpressungsbeträge verhandelt, die sich bei 4 % bis 5 % von deren Jahresumsatz bewegen. Trotz der Empfehlung der Behörden, nicht auf die Lösegeldforderung einzugehen, bezahlen mehr als 30 % der Unternehmen.
International für Aufsehen sorgte die Attacke auf Colonial Pipeline Company, wo im Mai 2021 das Unternehmen den Betrieb ihrer Öle und Gas befördernden Rohrleitungen unterbrach, nachdem ihre administrativen IT-Systeme einer Infektion der «Darkside69»-Ransomware zum Opfer gefallen waren.
Der CEO sagte später vor einem Senatsausschuss aus, dass das Unternehmen Lösegeld in Höhe von 5 Millionen Dollar gezahlt habe. Dies war exakt einen Tag nachdem die Cyberkriminellen das IT-Netzwerk gehackt und die Kraftstofflieferungen lahmgelegt hatten.
Wenn also Unternehmen nicht mehr auf ihre geschäftsrelevanten Daten zugreifen können, ist an produktives Arbeiten nicht mehr zu denken. Dies tangiert auch Mittelstandkunden, Fabrikations- und Handwerker-Betriebe. Da rechnet man dann schon mal durch, was es kostet, wenn es einem nicht mehr möglich ist, zu fabrizieren, anstehende Aufträge ausführen, die Angestellten nicht arbeiten und die Kunden nicht mehr bedient werden können. Die finanziellen Einbussen durch einen möglichen Reputationsschaden nach einer Cyberattacke lassen sich noch schwerer abschätzen.
Wie kann man sich bestmöglich schützen?
Die Angriffe haben verschiedene Ausprägungen und zielen auf unterschiedliche Bereiche der IT-Infrastruktur ab. Die E-Mail ist nach wie vor der häufigste Eintrittspunkt für Ransomware. Des Weiteren werden bewusst Schwachstellen bei Servern und Endgeräten genutzt, daher ist aktives Patchen (Maintenance) genauso wichtig, wie organisatorische Massnahmen mit entsprechenden Zugriffs- und Berechtigungs-Konzepten. Auch die kontinuierlichen Schulungen der Angestellten helfen, um ihre Mitarbeiter für die Gefahren zu sensibilisieren und sich vor Cyberangriffen zu schützen.
Die Lösung heisst: Protection, Detection & Response
Auf der technischen Seite gibt es Gateway Security-Lösungen wie Firewall, Spam-Filter (Mail Protection) und Web -Filter, die das Eindringen verhindern sollen. Da die Angriffe immer raffinierter werden, sind aber klassische Perimeter-Sicherheitslösungen allein nicht mehr ausreichend. Für ein permanentes Security-Monitoring kommen vermehrt auf künstlicher Intelligenz (KI) basierende XDR-Lösungen (Detection und Response) zum Einsatz. Diese Techniken ermöglichen, dass sicherheitsrelevante Daten zeitnah korreliert und analysiert werden, um schnell und effektiv auf einen Vorfall reagieren zu können.
Wie steht es um Ihr Backup und Ihre Recovery-Planung?
Ein korrektes Backup ist oft die letzte Absicherung, um ein Unternehmen vor der Handlungsunfähigkeit zu schützen. Nur so können die Daten wiederhergestellt werden, ohne dafür Lösegeld zahlen zu müssen. Um die Wiederherstellung zu verhindern, versuchen die Angreifer auch die Backup-Systeme zu finden und sie zu verschlüsseln. Ein umfassendes Backup und Desaster Recovery-Konzept ist daher die einzige Lösung, um kritische Daten vor Ransomware und anderen komplexen Bedrohung zu schützen. Dabei überwachen moderne Analyse-Tools die Backup-Daten und identifizieren verdächtige Aktivitäten und garantieren intakte Datensätze für die Wiederherstellung.
Können Cyberrisiken versichert werden?
Eine Cyber-Risikoversicherung besteht aus kombinierten Paketen und bietet zum Beispiel eine finanzielle Absicherung für Ansprüche und Forderungen Dritter im Zusammenhang mit Cyberrisiken und finanziellen Schäden infolge Täuschung durch Dritte (Cyber Crime Social Engineering).
Auch ein Umsatzausfall des Versicherungsnehmers (Betriebsunterbruch) und allfällige Dienstleistungen im Schadensfall (Notfallkosten, forensische Leistungen, Krisenmanagement) können durch eine Cyber-Risikoversicherung aufgefangen werden.
Aber aufgepasst – viele Versicherer haben ihre Vertragsbedingungen verschärft und formulieren konkrete Vorgaben an die Cybersecurity, damit Unternehmen überhaupt eine seriöse Police abschliessen können. Dazu gehören Transparenz über die digitalen Assets, eine starke Passwort-Regelung, Einsatz von Multi-Faktor-Authentifizierung (MFA), Sensibilisierungsmassnahmen der Angestellten und Patch-Management sowie eine solide Backup-Strategie inklusive Recovery-Planung.
Wer trägt schlussendlich die Verantwortung zum Schutz vor Ransomware?
In einer unternehmerischen Risiko-Analyse ist die Cyberbedrohung eine von vielen Gefahren, welche es zu berücksichtigen gilt. Konkrete Auswirkungen und mögliche Implikationen zu beurteilen und eine Risikoabwägung zu machen, bleibt immer in der Verantwortung der Geschäftsleitung und kann nicht weiter delegiert werden.
Für eine gesamtheitliche Sicht ist ein Information Security Management System (ISMS) zu empfehlen, dass die Leitlinien (Guidelines), Konzeption und Prozesse definiert, um die Informationssicherheit in einem Unternehmen gesamtheitlich zu gewährleisten. Ein Unternehmen muss in der Lage sein, schnell und effektiv auf Cyber-Angriffe zu reagieren. Die wichtigsten Stichworte dazu sind: Business Continuity (Resilience), Notfallplanung und Desaster-Recovery-Prozesse.
Gerne unterstützen wir Sie beratend
Heute ist es existenziell, einen kompetenten Partner an seiner Seite zu wissen. Wir bringen Sie mit den richtigen Experten in Verbindung und unterstützen Sie gerne mit innovativen Sicherheitslösungen und Dienstleistungen aus unserem Cyber Defence Framework (NOP).
Interessiert? Fragen beantwortet Ihnen:
Michael Ulrich
Senior Business Development Manager
E-Mail: michael.ulrich@datastore.ch