Vorbereitung auf Ransomware – Methoden zur Prävention

Dieser Artikel erschien auch auf LinkedIn.

In einem Sketch von Saturday Night Live aus dem Jahr 1991 spielte der Moderator Joe Mantegna einen Beamten der Stadt New York, dem die Aufgabe zufiel, Gewaltverbrechen zu bekämpfen. Er verteilte Broschüren mit Titeln wie „Auf Sie wurden also geschossen“, „Auf Sie wurde also eingestochen“ und „Sie wurden also mit Benzin übergossen und angezündet“. Die satirische Botschaft: Opfer eines Verbrechens zu werden, lässt sich nicht vermeiden, aber das „ist eben der Preis, den man dafür zahlt, in der dynamischsten und aufregendsten Stadt der Welt zu leben“.

In IT-Kreisen ist man weithin der Ansicht, dass jedes Unternehmen früher oder später Opfer eines Ransomware-Angriffs wird und es daher die wichtigste Aufgabe eines jeden CIO/CISO/CTO/CEO ist, sich auf die Wiederherstellung nach einem solchen Vorfall vorzubereiten. Im besten Fall führt diese Einstellung dazu, dass sich Unternehmen noch stärker auf ihre unzureichenden perimeterbasierten Sicherheitsmodelle fokussieren. Im schlimmsten Fall akzeptieren Unternehmen dadurch ihre Niederlage im Vorfeld und sehen von jeglicher Gegenwehr ab, ganz nach dem Motto: „Von Ransomware werden wir so oder so betroffen sein, aber das ist der Preis, den wir dafür zahlen, dass wir an unseren veralteten Sicherheitsmodellen festhalten und möglichst wenig ändern müssen.“
 

Vorbereitung auf Ransomware: mehr als nur Lösegeldzahlungen

Im vergangenen Jahr sponserte die WSJ Cybersecurity Group ein Webinar, in dem vermittelt wurde, dass Ransomware-Angriffe unvermeidlich sind. Mehrere Teilnehmer waren bereits Opfer solcher Angriffe geworden, und es wurde ausführlich diskutiert, wie Unternehmen auf diese Vorfälle reagieren sollten. Wenig Zeit wurde hingegen darauf verwendet zu erläutern, wie Ransomware-Angriffe proaktiv verhindert werden können. Ein Podiumsteilnehmer empfahl CIOs, an ihren Verhandlungsfertigkeiten zu arbeiten und in Bitcoin zu investieren, um die Auszahlung von Lösegeldern zu erleichtern. Ein anderer Redner berichtete von Verhandlungen mit einem wirklich „freundlichen“ Hacker, einem „Familienmenschen“, den der Moderator sogar als „Gentleman-Dieb“ beschrieb. (Es fehlte nur noch die Folie „Sie wurden also gehackt“ …)

Eigentlich ist es offensichtlich, aber ich möchte es trotzdem nochmals betonen: Es ist naiv, davon auszugehen, dass manche Cyberkriminelle – besonders im Zusammenhang mit Ransomware – ehrenhaft handeln. Unabhängig von ihren Methoden haben die Hacker sehr simple, materielle Motive. Sie versuchen, Ihre Daten zu exfiltrieren, oder sperren den Zugriff auf darauf, verlangen ein Lösegeld und versprechen, sie bei Zahlung weder zu löschen noch zu veröffentlichen. Auf solche Versprechungen sollten Sie sich allerdings besser nicht verlassen.
 

Leichtes Spiel für Angreifer durch veraltete Infrastruktur

Legacy-Netzwerke, Legacy-Sicherheitsarchitekturen und überholte Denkweisen erhöhen den potenziellen Schaden durch Ransomware-Angriffe.

Sicherheitsmodelle nach dem sogenannten „Festung-mit-Burggraben“-Prinzip wurde vor mehr als einem halben Jahrhundert entwickelt, um lokale LANs ohne Internetverbindung abzusichern. Heutzutage können solche Modelle Mitarbeiter außerhalb des Netzwerkperimeters nicht mehr wirksam schützen. Wie sollte es auch möglich sein, einen Perimeter rund um das offene Internet zu errichten? Des Weiteren ist es für einen Hacker relativ einfach, die Firewall eines herkömmlichen Unternehmensnetzwerks zu überwinden. Genau genommen muss ein Cyberkrimineller nur eine einzige Chance ergreifen, um einen Perimeter zu durchbrechen. Das sieht oft einfach so aus, dass ein ahnungsloser Mitarbeiter auf einen Anhang in einer Phishing- oder Spear-Phishing-E-Mail klickt, der Hacker errät ein Passwort oder aber „vertrauenswürdige“ Software ausnutzt, um ins Netzwerk zu gelangen. Sobald die Malware des Hackers den „Burggraben“ überwunden hat, kann sie sich relativ ungestört lateral durch das Unternehmensnetzwerk bewegen und Daten, Systeme oder Anwendungen innerhalb der „Festung“ infizieren und daraufhin exfiltrieren oder sperren. 
 

Ransomware-Angriffe: kostspielig für Unternehmen, lukrativ für Hacker

Unternehmen müssen Unsummen investieren, um ihre Systeme nach einem Ransomware-Angriff wiederherzustellen. Doch für Hacker entstehen bei der Durchführung dieser Angriffe kaum Kosten: Ransomware ist einfach und lukrativ. Aus diesem Grund entwickeln Cyberkriminelle immer raffiniertere Angriffsmethoden und komplexere Geschäftsmodelle. Einige Hackergruppen bieten sogar „Ransomware-as-a-Service“-Kits an, um neue Angreifer zu rekrutieren.

Auch die Auswirkungen dieser Angriffe sind verheerender geworden: Einige Hacker sind dazu übergegangen, ihre Gewinnmarge zu verdoppeln, indem sie zunächst ein Lösegeld fordern, um die verschlüsselten Daten eines Unternehmens zu entschlüsseln, und dann ein weiteres Lösegeld verlangen, um ebendiese Informationen nicht an den Höchstbietenden im Dark Web zu versteigern. Und dann vernichten sie Ihre Daten vielleicht trotzdem. Echte Gentlemen eben.
 

Optimale Vorbereitung auf Ransomware mit Zero Trust

Wenn wir wirklich etwas gegen Ransomware-Bedrohungen unternehmen wollen – und zwar etwas Sinnvolleres, als sich mit digitaler Währung einzudecken, um die Zahlung an die nächste Gruppe wie Sandworm zu erleichtern – müssen wir uns darauf konzentrieren, dass Ransomware weniger profitabel wird. Der Wert unternehmenseigener Ressourcen lässt sich zwar nicht mindern, aber wir können dafür sogen, dass diese Ressourcen – Daten, Anwendungen und Systeme – für Hacker deutlich schwerer zugänglich sind. 

Hacker konzentrieren sich in der Regel auf Ressourcen, die sie sehen können. Die meisten Unternehmen verbergen ihre IP-Adressen nach wie vor nicht vor dem offenen Internet und jede öffentlich sichtbare IP-Adresse stellt einen potenziellen Angriffsvektor dar. In einer Legacy-Netzwerkumgebung bergen auch Cloud-Anwendungen ein Risiko, denn durch ihre Veröffentlichung in der öffentlichen Cloud werden sie für Hacker bei Verwendung einer herkömmlichen Firewall sichtbar, was die Angriffsfläche eines Unternehmens vergrößert. 

Es gibt zwei Möglichkeiten, Ransomware-Angriffe zu unterbinden: Sie können die Angriffsfläche des Unternehmens verbergen oder laterale Bewegungen verhindern. Beide Optionen lassen sich durch die Einführung einer Zero-Trust-Architektur (ZTA) umsetzen. ZTAs ersetzen das herkömmliche Netzwerkmodell durch kurzlebige, direkte Verbindungen zwischen Usern und Anwendungen, Usern und Rechenzentren oder einzelnen Anwendungen. Die Sicherheit wird über Richtlinien gewährleistet, ist userspezifisch und proxybasiert und wird inline über Cloud-Edge-Services bereitgestellt. Keinerlei Ressourcen sind für Außenstehende einsehbar. Zudem verhindert eine ZTA laterale Bewegungen: Ohne ein herkömmliches MPLS-Netzwerk ist es Hackern – selbst wenn sie ein Endgerät infiltrieren – nicht möglich, benachbarte Systeme zu infizieren. Ohne die Option, sich lateral auszubreiten, können sich Hacker nicht mehr im Netzwerk fortbewegen, können keine wertvollen Ressourcen erbeuten und haben letztlich keinen wirklichen Grund mehr für einen Angriff.

Wir dürfen Bedrohungen oder Angreifer niemals als Selbstverständlichkeit hinnehmen. Jeder muss sich auf Ransomware vorbereiten, doch dabei sollte man nicht davon ausgehen, dass diese unvermeidlich ist. CXOs, die so weitermachen wie bisher, setzen ihr Unternehmen einem unnötigen Risiko aus und öffnen Cyberangriffen Tür und Tor. Wir alle sollten uns höhere Ziele setzen, als eine Broschüre mit dem Titel „Sie wurden also gehackt“. Mithilfe einer Zero-Trust-Architektur können wir endlich aufhören, uns nur auf einen Ransomware-Angriff vorzubereiten, und damit beginnen, sie im Keim zu ersticken.