SECURITY27. August 2021

Ransomware: kein Finanz-Unternehmen bleibt vor Angriffen verschont – 10 wichtige Maßnahmen

Ransomware WannaCry aus dem Jahr 2017<q>Wikipedia/ CC BY-SA 4.0/ http://thegear.co.kr/14501
Ransomware WannaCry aus dem Jahr 2017Wikipedia/ CC BY-SA 4.0/ http://thegear.co.kr/14501

Ransomware hat sich zu einem ernsthaften Risiko für Unternehmen auf der ganzen Welt entwickelt. Mit Hilfe dieser Schadprogramme, auch als Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner bekannt, kann ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern. Ihr Einsatz ist inzwischen ein florierendes Geschäft, das nicht mehr nur von wenigen hochspezialisierten Hackern betrieben wird, sondern zunehmend von deutlich weniger technisch versierten Kriminellen.

von Paul Arndt, Managing Director der Ginkgo Cybersecurity

Im Bereich der Finanzindustrie müssen aufgrund der Anforderungen der BaFIN grundsätzlich die Standardwerkzeuge der IT-Sicherheit implementiert werden. Dazu zählen ein Informations-Risikomanagement, Informations-Sicherheitsmanagement und Benutzer-Berechtigungsmanagement. Auch wenn diese Branche hinsichtlich Cybersicherheit bereits auf einem höheren Niveau als andere agiert, reichen die etablierten Maßnahmen für einen zuverlässigen Schutz vor Ransomware oft nicht. Doch das muss nicht so sein.

Ransomware
Paul Arndt, Ginkgo CybersecurityGinkgo

Ausgangsbasis: Jede IT-Organisation sollte sich auf Ransomware einstellen

Bei Ransomware handelt es sich um eine spezielle Art von Schadsoftware, die den Zugriff auf Daten durch Verschlüsselung verhindert. Diese Funktion wird von Angreifern dazu eingesetzt von Ihren Opfern ein Lösegeld für die verschlüsselten Daten zu fordern.

Derartige Angriffe verursachen weltweit Kosten im zweistelligen Milliarden-Dollar-Bereich.”

Ein typischer Ransomware-Angriff beginnt an einem einzigen Punkt in der IT-Infrastruktur eines Unternehmens. Hat die Ransomware sich erfolgreich auf einem ersten System aktivieren können, dann ist ihre zweite Funktion neben der Verschlüsselung möglichst aller erreichbarer Daten das Infizieren möglichst vieler anderer Systeme. Dazu werden oftmals bekannte Schwachstellen von verbreiteten Softwarepakten oder aber auf Systemen gespeicherte Benutzerinformationen genutzt.

Umfangreiche Frameworks, darunter Ransomware-as-a-Service-Angebote, ermöglichen es auch technisch nicht versierten Angreifern, in diesem Feld aktiv zu werden. Nichts deutet darauf hin, dass die Bedrohung durch Ransomware verschwinden wird. Vielmehr sollte jede IT-Organisation beginnen, sich darauf einzustellen, früher oder später Ziel eines solchen Angriffes zu werden und mit der Vorbereitung der Verteidigung beginnen.

Beispiel
Im Juli 2021 wurden eine große Zahl von Unternehmen, darunter auch zahlreiche Banken und Zahlungsdienstleister, Opfer eines Ransomware-Angriffes. Die Angreifer nutzten eine Sicherheitslücke in der Software „VSA-Server“ des amerikanischen Anbieters Kasaya, um auf die Rechner der Kaseya-Kunden zu gelangen. Das Unternehmen hatte zu diesem Zeitpunkt 36.000 Kunden, viele davon auch Banken und Zahlungsdienstleister. Die als russische Hackervereinigung „REvil.“ identifizierten Täter forderten von den Betroffenen insgesamt ein Lösegeld von 70 Millionen US-Dollar. Der Angriff verursachte erheblich Schäden, so musste die schwedische Supermarktkette Coop alle ihre 800 Filialen schließen, da ihr Zahlungsdienstleister Visma Esscom von der Attacke getroffen war.

Eine erfolgreiche Verteidigungsstrategie gegen Ransomware sollte sich daher auf drei Säulen stützen:

  1. Schutz: also das Verhindern von Infektionen mit Ransomware
  2. Begrenzung: die Verhinderung der Ausbreitung von Infektionen über die IT-Infrastruktur
  3. Wiederherstellung: die Minimierung von Schäden durch die Möglichkeit der Datenwiederherstellung

Zehn Maßnahmen, um einer gezielten Ransomware-Attacke widerstehen zu können:

1. Säule: Schutz

Die erste Säule zur Vertreibung gegen Ransomware Angriffe muss wie gesagt der Schutz vor Infektionen darstellen.

Awareness Training

Die erste Infektion findet oft über eines der mächtigsten Werkzeuge, die Cyber-Kriminelle zur Verfügung haben, statt, das sogenannte Social-Engineering. Dieses verwendet Täuschungen und Tricks, um ahnungslose Benutzer davon zu überzeugen, sensible Daten bereitzustellen oder gegen Sicherheitsrichtlinien zu verstoßen. Es nutzt Schwächen im menschlichen Urteilsvermögen aus. Die meisten Malware-Angriffe beginnen mit Benutzern, die Sicherheitsregeln nicht befolgen, weil sie die Regeln und möglichen Konsequenzen nicht kennen. Der Zweck eines sogenannten Awareness Trainings besteht darin, Aufmerksamkeit auf das Thema IT-Sicherheit zu lenken. Awareness-Präsentationen ermöglichen es Einzelpersonen, IT-Sicherheitsprobleme zu erkennen und entsprechend zu reagieren. Sensibilisierungs-Kampagnen sollten alle Mitarbeiter auf allen Karrierestufen ansprechen. Ein gutes Security-Awareness-Programm muss die wichtigsten Botschaften in unterschiedlichen Formaten wiederholen und ständig aktuell gehalten werden. Eine der effektivsten Möglichkeiten, Menschen zu schulen, sind simulierte Angriffe, z. B. durch vorgetäuschte Phishing-Kampagnen oder durch gezielte Penetrationstests.

Autor Paul Arndt, Ginkgo Cybersecurity
Paul Arndt ist Managing Director der 2020 gegründeten Ginkgo Cybersecurity (Website), ein auf Cybersecurity spezialisiertes Beratungshaus und Tochterunternehmen der Ginkgo Management. In dieser Funktion berät er Kunden unterschiedlichster Branchen national und international zu den Themen Cybersecurity. Bereits seit seinem Informatik-Studium an der Technischen Universität Darmstadt beschäftigt Arndt sich mit dem Thema IT-Sicherheit. Vor seinem Start bei Ginkgo war der gebürtige Frankfurter in unterschiedlichen Positionen für die internationale Technologieberatung Invensity tätig zuletzt als Leiter des Bereichs Cybersicherheit und Datenschutz.

Endpoint Protection

Neben dem Schutz vor gezielten Angriffen auf die Systembenutzer durch Social-Engineering müssen auch die technischen Systeme gegen gezielte Angriffe geschützt werden. Um Infektionen mit Ransomware zu vermeiden, sind zuverlässige und aktuelle Endpoint-Protection-Technologien alternativlos. Die Verbindung von Laptops, Tablets, Telefonen, IoT und anderen Geräten mit Unternehmensnetzwerken schafft die primären Angriffspfade für Ransomware. Endpoint Protection ist ein Ansatz, um den Schutz von Computernetzwerken zu gewährleisten, indem diese Client- oder Endbenutzergeräte gesichert werden. In der Vergangenheit war der Begriff Endpoint Protection gleichbedeutend mit Antivirensoftware. Heute umfasst diese Technologie unter anderem auch Funktionen zur Geräteverwaltung und zum Schutz vor Datenlecks, Data Loss Prevention (DLP).

Patch Management

Ein ausgereiftes Patch-Management ist eine entscheidende Komponente, um die technische Angriffsfläche zu reduzieren und alle Systeme mit den für sie verfügbaren Patches (patch = Flicken, in der Bedeutung von Reparatur bzw. Nachbesserung) zu versorgen. Fehlende Patches machen einen Großteil der technischen Angriffsvektoren aus.

Studien zeigen, dass bis zu 57% der externen Datenschutzverletzungen auf ein schlechtes Patch-Management zurückgeführt werden können.”

Patch-Management ist ein Prozess, der verwendet wird, um die Software, Betriebssysteme und Anwendungen eines Assets rechtzeitig, risikobestimmt und änderungskontrolliert zu aktualisieren. Die Patch-Entscheidung sollte auf einer Risikoanalyse der zusätzlichen Sicherheit und potenzieller Nebenwirkungen (Inkompatibilitäten) basieren.

Privileged Access Management

Immer wieder kann Ransomware sich durch die Nutzung von Benutzerzugängen mit privilegierten Rechten verbreiten. Privileged Access Management (PAM) ist ein Konzept zur Kontrolle und Überwachung aller privilegierten Identitäten und Aktivitäten in einer IT-Umgebung. Mit PAM können typische Szenarien, wie sie im Zusammenhang mit Ransomware Angriffen auftreten, wie der Diebstahl von Anmeldedaten und der Missbrauch von Privilegien, effektiv verhindert werden.

2. Säule: Begrenzung

Eine Infektion einzelner Systeme mit Ransomware lässt sich nicht vollständig verhindern und wird immer wieder vorkommen. Entscheidend ist, dass solche Angriffe auf einzelne Systeme oder bestenfalls möglichst kleine Bereiche einer IT-Infrastruktur begrenzt bleiben. Die Begrenzung von Angriffen ist daher die zweite Säule bei der Verteidigung gegen Ransomware.

Secure Network Architecture

Vom Standpunkt der Netzwerkarchitektur aus betrachtet ist die Implementierung eines Defense-in-Depth-Ansatzes Grundlage für ein sicheres Netzwerkdesign. Ein zentrales Element der Defense-in-Depth Netzwerkarchitektur ist die Netzwerksegmentierung. Dabei wird das Netzwerk in definierte, voneinander getrennte Zonen unterteilt und die Kommunikation zwischen diesen Zonen auf definierten Datenverkehr beschränkt. Dieser Netzwerkaufbau ermöglicht eine zuverlässige Netzwerkkommunikation innerhalb der Zonen und begrenzt den potenziellen Einfluss einer Sicherheitsverletzung, z.B. durch einen Ransomware-Angriff, auf das Gesamtnetzwerk.

Intrusion Detection Systems

Systeme zur Erkennung von Anomalien bzw. Angriffen sowohl auf System-, als auch auf Netzebene sind eine wichtige Komponente, um die Ausbreitung von Ransomware zu verhindern. Genauso wichtig wie die Identifikation auf technischer Ebene ist aber auch die Reaktion auf Ereignisse – gesammelte Meldungen, die zu keiner Reaktion führen, verhindern keinen Angriff.

Security Information and Event Management

Das Konzept des Security Information and Event Managements (SIEM) setzt an dieser Schwachstelle komplexer IT-Architekturen an. Riesige Mengen an Systemen generieren Log-Daten, die auf Angriffe hinweisen können. Zum einen lässt sich die Verarbeitung dieser Daten mit SIEM-Systemen zentralisieren und sicherstellen, dass alle zur Verfügung stehenden Daten ausgewertet werden, zum anderen lassen sich viele Angriffe erst aus der Kombination verschiedener Ereignisse erkennen. Eine zentrale Sammlung und Auswertung, die verschiedene Ereignisse in Beziehung zueinander setzen kann, verbessert die Ausgangslage bei der Verteidigung gegen Ransomware enorm.

Security Operations Center

Ein Security Operations Center (SOC) ist eine permanente Einrichtung, die sich aktiv um die IT-Sicherheit eines Unternehmens kümmert. Die Reaktion auf IT-Sicherheitsvorfälle kann durch eine derartige Leitwarte deutlich verkürzt und Angriffe idealerweise durch aktive Gegenmaßnahmen bereits im Keim erstickt werden.

3. Säule: Wiederherstellung

Aufgrund der Attraktivität des Geschäftsmodells Ransomware und der großen Anzahl der versuchten Angriffe werden immer wieder mindestens einzelne Systeme mit Ransomware infiziert. Der professionelle Umgang mit solchen Ereignissen und die zuverlässige Wiederherstellung von Daten bilden die dritte Säule der Ransomware-Verteidigungs-Strategie.

Data Backup and Restore

Die Fähigkeit, Daten wiederherstellen zu können, ist in Bezug auf Ransomware aktueller als jemals zuvor. Entscheidend ist aber nicht nur, das Daten regelmäßig gesichert werden, sondern vor allem das die Wiederherstellung auch tatsächlich ohne weiteres möglich ist. Um dies sicherzustellen, muss die Datenwiederherstellung regelmäßig getestet werden.

Einige häufig genutzte Techniken zur Datensicherung versagen gegen Ransomware.”

Bei einem Angriff handelt es sich nicht um ein lokales Ereignis wie zum Beispiel einen Brand oder eine Überschwemmung, sondern um einen gezielten Angriff, der standortübergreifend Wirkung zeigt. Alle Backup-Technologien, die mit permanent angebunden Speichern arbeiten, sind daher nicht geeignet, Daten vor Ransomware-Angriffen zu schützen.

Incident Response Management

Das Ziel des Incident Response Management ist es, mit IT-Sicherheit Vorfällen professionell und routiniert umgehen zu können. Zu diesem Zweck müssen Strukturen geschaffen werden, die im Falle eines IT-Sicherheitsvorfalls, wie etwa einem Ransomware-Angriff, aktiv werden. Ein Incident Respone Plan muss Vorgehensweisen dokumentierten, Verantwortlichkeiten festlegen und dafür sorgen, dass die benötige Ausrüstung vorgehalten wird.

Fazit

Jedes Unternehmen der Finanzindustrie muss heute und in Zukunft mit Angriffen durch Ransomware rechnen. Je früher diese Angriffe erkannt und abgewehrt werden können, desto weniger Kosten entstehen durch Schäden. Alle Strategien zur Verhinderung einer Ausbreitung können scheitern. Eine letztendliche Sicherheit vor Ransomware kann also nur erreicht werden, wenn alle Daten jederzeit zuverlässig aus physikalisch getrennten Quellen wiederhergestellt werden können.Paul Arndt, Ginkgo Cybersecurity

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert