Tipps zur Vermeidung und Begegnung von Ransomware-Attacken
Autor:in
Dr. Frank StummerWas klingt wie ein schlechter Krimi, ist zur Realität im digitalen Raum geworden: Kriminelle Banden verschließen die Werkstore und lassen uns erst wieder hinein, wenn wir Lösegeld bezahlen. Immer wieder werde ich in meiner Arbeit als Digital-Forensiker gefragt: Was sollte ich aber tun, um mich zu schützen? Und was, wenn es leider doch passiert ist?
Was ist eine Ransomware-Attacke?
Es geht um die Erpressung von Lösegeld. Kriminelle Banden – meist erstaunlich arbeitsteilig organisiert – dringen in die IT-Infrastruktur einer Organisation (Unternehmen jeglicher Größenordnungen, Verwaltungen, Banken, Kliniken, ... kurz: alle) ein und verschlüsseln die Daten und Server, und legen damit die normale Arbeit lahm. Erst bei Bezahlung eines Lösegeldes wird der Schlüssel geliefert, um alles wieder zu entschlüsseln – was allerdings auch nicht immer wirklich funktioniert. Immer häufiger werden außerdem wichtige, geheime Daten auch gestohlen und deren Veröffentlichung angedroht, um den Erpressungsdruck zu erhöhen.
Ohne weitere Vorbereitung auf diesen Fall, steht meist alles für Tage oder Wochen still. Der Schaden und der Aufwand zur Bereinigung der Attacke und dem Wiederstart sind sehr hoch. Es gibt mittlerweile leider viele Beispiele (hier nur eines) aus allen Bereichen. Ich finde es aber gut, dass viele Beispiele auch öffentlich gemacht werden. Daraus kann man nur lernen.
Die drei wichtigsten Tipps zum Schutz vor Ransomware-Attacken
Das Wichtigste gleich als Erstes: Aufmerksame Mitarbeitende sind der beste Schutz. Und vielleicht noch wichtiger aus dem umgekehrten Blickwinkel, sind auch die sichersten technischen Vorkehrungen nicht viel wert, wenn die Mitarbeitenden unaufmerksam sind.
Es müssen nicht alle Mitarbeitenden Cybersecurity-Expert:innen werden. Es geht mehr um grundlegend angemessen vorsichtige Verhaltensweisen. So ähnlich wie ich nach links und rechts schaue, bevor ich die Straße überquere, überlege ich nochmal kurz, ob wirklich der Admin mit einer E-Mail mein Passwort abfragen würde. Auch die gesamte Kultur in der Organisation ist gefragt: Es ist immer besser, etwas Verdächtiges schnell an die richtigen Personen zu melden, selbst wenn ich damit zugeben muss, doch auf den so verführerischen Link im vermeintlichen Preisausschreiben geklickt zu haben.
Eine regelmäßige Schulung – die auch mit gut gemachten Kampagnen durchaus viel Spaß machen kann – und eine offene Kultur sind für die Sicherheit essenziell – das kann gar nicht überbetont werden!
Zweitens sind natürlich auch sichere Prozesse und geeignete Sicherheitswerkzeuge notwendig. Insbesondere zählen hierzu hinreichend sichere Anmeldeprozesse und der Schutz am Perimeter, also dort, wo Daten in die Organisation herein- und herausfließen. Das Schöne ist: Hier gibt es eine sehr gute Auswahl an jeweils geeigneten Mitteln. Es ist immer die Kombination aus dem ausgewählten Werkzeug und dem Einsatz in den Prozessen, die für die Sicherheit zählt. Eine Firewall nutzt nichts, wenn die Regeln in ihr zu löchrig gesetzt sind. Ein noch so rigider Passwortschutz mit mehrfachen Faktoren zur Authentifizierung nutzt nichts, wenn vergessen wird, beim Ausscheiden eines Mitarbeitenden die Zugänge auch zu löschen.
Drittens spielt auch die Beachtung von Sicherheit bei Lieferant:innen und Dienstleistenden eine große Rolle. Viele Attacken gehen nicht direkt auf meine eigene IT-Infrastruktur, sondern werden über meine Partner:innen im Geschäft quasi getunnelt. Dies ist sicherlich der Bereich, der mit am schwierigsten erscheint. Standards, wie z. B. die IEC 62443 im Industriebereich und ähnliche in anderen Bereichen, können hier sehr gut helfen. Alle Glieder in der Lieferkette sind angehalten, für ein hinreichendes Sicherheitslevel zu sorgen und vertrauensvoll miteinander zu kommunizieren. Und diese Sicherheit in der Lieferkette wird auch zunehmend kontrolliert.
Neben diesen drei Bereichen, um die man sich als Pflicht kümmern muss, gibt es noch weitere Maßnahmen, die als Kür auch sehr sinnvoll sein können bzw. je nach Sicherheitsbedarf genauso notwendig werden.
Hierzu zählen beispielsweise die ständige Beachtung von Hinweisen auf neue Angriffe und Angriffsmethoden sowie auf Schwachstellen durch Sicherheitsdienstleistende, Verbände oder staatliche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ebenso kann eine regelmäßige Beobachtung von einschlägigen Informationsseiten und Plattformen auf eventuell bereits stattfindende Extraktion von Daten oder die Veröffentlichung von Zugängen zur eigenen Organisation frühzeitige Hinweise auf Angriffe und Gefahren bringen. Diese Informationsquellen findet man entweder selbst im sogenannten Dark Web, also dem nicht öffentlich durchsuchbaren, aber durchaus zugänglichen Teil des Web, oder man nutzt dafür darauf spezialisierte Sicherheitsdienstleistende.
Was aber, wenn es doch zu einer Attacke gekommen ist?
Nicht nur Ransomware-Attacken und andere digitale Angriffe können geschehen, es können auch Naturereignisse oder technische Fehler zu gravierenden Problemen im normalen Arbeitsablauf führen. Im Sinne eines Risiko- und Geschäftsfortführungsmanagements sollte man – manchmal muss man auch anhand der einschlägigen Regularien – auf eine Unterbrechung vorbereitet sein. Und damit ist nicht einfach nur der Abschluss einer Betriebsunterbrechungsversicherung gemeint.
Dazu zählen immer auch regelmäßige Backups (also die Speicherung von Daten, von Produktionsprogrammen, von Rezepturen etc. pp.). Dies muss unabhängig vom normalen Betriebsablauf geschehen und es darf keine Rückkopplungen geben. Praktisch ausgedrückt: Eine laufende Ransomware-Attacke darf nicht den Speicherort meiner Backups auch gleich mit verschlüsseln. Und die Verschlüsselungssoftware darf nicht durch ein Wiederaufspielen mit den Backups wieder und wieder hereinkommen. Aber auch hier gilt: Es gibt eine große Auswahl an jeweils geeigneten Möglichkeiten.
Last, but not least: Notfallpläne und deren regelmäßige Übung sind wichtig – fehlen aber in der Praxis häufig! Im Falle eines Falles wird es dann schnell chaotisch. Auch hierfür gibt es eine Reihe von einschlägigen Standards in den einzelnen Sektoren und viele erprobte Methoden, Herangehensweisen und Unterstützung von Verbänden oder Dienstleistenden. Generell betrifft Informationssicherheit nicht nur die IT, sondern alle Bereiche des Unternehmens. Zu den Notfallplänen gehören also z. B. auch die Unternehmenskommunikation.
Tatsächlich sehe ich in meiner Arbeit immer wieder, dass diejenigen Organisationen – bei allem Ärger und bei allem verbleibenden Aufwand – sogar relativ wenig Schaden durch Ransomware-Attacken genommen haben, die ein gutes (und auch gut eingeübtes) Backup- und Wiederherstellungsmanagement besitzen.
Zum Schutz vor einem Angriff:
1. Aufmerksame Mitarbeitende
2. Sichere Anmeldeprozesse und Perimeterschutz
3. Sichere Lieferant:innen und Dienstleistende
Zur Vorbereitung auf den Angriffsfall:
4. Backup und Notfallpläne (plus Übungen dazu)