Der rasante technologische Fortschritt, die Polykrise und eine angespannte geopolitische Lage: Für Cyberkriminelle waren die vergangenen Monate wahrlich Sternstunden. Immer wieder gelang es Hackern – darunter viele mittlerweile sehr professionell organisierte Banden – Unternehmen und Behörden in der Bundesrepublik digital außer Gefecht zu setzen. Erst im vergangenen Jahr musste ein Landkreis in Sachsen-Anhalt den bundesweit ersten Cyberkatastrophenfall ausrufen. Nach Angaben des BSI waren nach einer Ransomware-Attacke bürgernahe Dienstleistungen über 207 Tage lang nicht oder nur eingeschränkt verfügbar. Einfallstor war vermutlich eine Sicherheitslücke im Druckersystem. Eine Lösegeldzahlung lehnten die Verantwortlichen kategorisch ab – Spezialisten und Experten aus Bundes- und Landesbehörden analysierten und bekämpften das Virus aus eigener Kraft.
Was versteht man unter Ransomware
Wie dem Sachsen-Anhaltinischen Landkreis geht es jedes Jahr tausenden von Unternehmen: Cyberkriminelle beschaffen sich Zugang zu ihren Systemen und legen diese mit einer Schadsoftware vom Typ Ransomware lahm. Per Definition versteht man unter Ransomware Schadprogramme, die auf die Blockade des Computersystems oder die Verschlüsselung der Betriebs- und Nutzerdaten abzielen. Für die Freigabe der Daten und Systeme wird dann ein Lösegeld (englisch: Ransom) in der Kryptowährung Bitcoin verlangt. Experten raten Unternehmen eindringlich davon ab, im Angriffsfall auf solche Forderungen einzugehen – auch, da eine anschließende Freigabe der Daten keinesfalls garantiert ist –, und empfehlen stattdessen die Inanspruchnahme von Incident Response Services.
Ransomware-Angriffe: Darauf müssen Unternehmen 2023 vorbereitet sein
Wie die meisten Schadprogramme entwickelt sich auch Ransomware kontinuierlich weiter. Die ersten Angriffe dieser Art traten nach Angaben des BSI im Jahr 2005 auf. Studien zufolge wurden 2022 weltweit über 623 Millionen Ransomware-Attacken verzeichnet – die Dunkelziffer dürfte noch deutlich höher liegen. Cyberkriminelle sind heute häufig in fast schon mafiösen Strukturen organisiert und nutzen auch die Vorteile künstlicher Intelligenz, um ihre perfiden Angriffsmuster stetig weiterzuentwickeln. Dabei gehen viele mittlerweile so weit, nicht nur die Systeme ihrer Opfer zu verschlüsseln und Lösegeld für die Entschlüsselung zu verlangen – hier spricht man von einer so genannten „Single Extortion“ –, sondern auch sensible Kunden- und Unternehmensdaten zu stehlen und mit deren Veröffentlichung im Darknet zu drohen („Double Extortion“).
Aktuelle Gefahr: Ransomware-as-a-Service
Der technologische Fortschritt spielt Cyberkriminellen eindeutig in die Hände. „Durch automatisierte Tools ergeben sich für Hacker neue Möglichkeiten, das Volumen und die Intensität von Angriffen zu steigern,“ sagt Matthias Nehls, geschäftsführender Gesellschafter und Gründer der Deutschen Gesellschaft für Cybersicherheit (DGC). Auch Ransomware-as-a-Service gewinnt vor diesem Hintergrund an Bedeutung. Bei diesem kriminellen Geschäftsmodell kann Ransomware gegen Bezahlung genutzt werden – ein Software-Abo der Unterwelt. Somit müssen Cyberkriminelle nicht zwingend selbst über technische Expertise verfügen, um Unternehmen angreifen zu können.
Folgen von Ransomware-Angriffen für Unternehmen
Die Folgen von Ransomware-Angriffen für Unternehmen sind verheerend. Durch die Verschlüsselung von Daten und Systemen werden Abläufe und Produktionsketten oftmals erheblich gestört, auch vor- und nachgelagerte Dienstleistungen sind häufig betroffen. Zudem droht dem Unternehmen ein massiver Imageschaden, wenn etwa Kunden um ihre sensiblen Daten fürchten müssen oder Patente dem Wettbewerber in die Hände fallen. Die Kosten, die durch solch einen Supergau entstehen, sind kaum zu beziffern. Schlimmer: Sind KRITIS-Unternehmen wie Elektrizitäts- und Wasserversorger, militärische Einrichtungen oder Krankenhäuser betroffen, sind im Ernstfall sogar Menschenleben bedroht.
Im Falle des oben zitierten Ransomware-Angriffs auf den deutschen Landkreis ging das Ausmaß der Attacke etwa so weit, dass viele Zahlungen und bürgernahe Dienstleistungen über Wochen nicht oder nur sehr eingeschränkt ausgeführt werden konnten.
Ransomware-Recovery: So erholt man sich von einem Angriff
„Mit den passenden Maßnahmen sowie Präventionen lassen sich Angriffe abwehren oder in ihrem Ausmaß begrenzen.“ weiß Matthias Nehls. Wird ein Unternehmen Opfer einer Ransomware-Attacke bzw. beobachtet Anomalien in ihrer IT, ist schnelles Handeln gefragt. Experten unterscheiden zwischen kurz- und mittelfristigen Maßnahmen, die das Unternehmen selbst ergreifen kann, und externer Expertise, die in der Regel über leistungsstarke Software und umfangreiches Knowhow verfügt, um den Cyberkriminellen schnell das Handwerk zu legen und die entstandenen Schäden möglichst gering zu halten. Dabei fließen natürlich auch Learnings aus der aktuellen Angriffssituation mit ein, so dass das Unternehmen in Zukunft noch besser geschützt ist und präventiv agieren kann.
Ransomware erkennen: Darauf sollten Sie und Ihre Mitarbeitenden achten
Studien von Microsoft haben gezeigt, dass 97 Prozent der Ransomware-Attacken binnen vier Stunden die angegriffenen Systeme infiltrieren. Das Perfide an Ransomware ist jedoch, dass die Datenverschlüsselung zunächst im Hintergrund geschieht. So bemerken betroffene Unternehmen anfangs häufig gar nichts davon. Je nach Art der Ransomware kann es nach “erfolgreicher” Verschlüsselung passieren, dass etwa der Computerbildschirm schlagartig schwarz wird und das Gerät auf keine Eingaben durch Maus und Tastatur mehr reagiert. Daraufhin folgt häufig ein bedrohlich geschriebener Text, in dem die Angreifer ein Lösegeld fordern oder mit der Löschung bzw. Weitergabe der verschlüsselten Daten drohen.
1. Backups Ihrer Daten
Experten empfehlen, regelmäßig Sicherungskopien (so genannte Back-ups) der Daten und Systeme zu machen – und diese, etwa auf USB-Sticks oder externen Festplatten, möglichst extern zu lagern. Wichtig: Nachdem der Sicherungsvorgang abgeschlossen ist, sollte das Speichermedium umgehend vom Rechner getrennt werden.
2. Virenscanner und Inhaltsfilter
Unternehmen wird dringend empfohlen, Virenscanner und Inhaltsfilter für ihre Mail-Server zu benutzen. Der Vorteil: Durch den Einsatz der professionellen E-Mail- und Websicherheitstools können Anhänge, Websites und Dateien auf Schadsoftware untersucht und potenziell gefährliche Werbung und Social-Media-Seiten ohne Relevanz blockiert werden.
3. Apps und Betriebssysteme regelmäßig aktualisieren
Auch Betriebssysteme und Anwendungen sollten regelmäßig aktualisiert werden, um zu verhindern, dass Ransomware und andere Malware in Ihre Geräte eindringen. Nur so kann gewährleistet werden, dass aktuelle Sicherheitsupdates der Hersteller immer verfügbar sind und keine ggf. bereits behobenen Sicherheitslücken Cyberkriminellen als Einfallstore dienen.
4. Keine Apps aus unbekannten Quellen herunterladen
Ein wichtiger Tipp, den alle Mitarbeitenden beherzigen sollten, ist das Gebot, niemals Apps aus unbekannten Quellen herunterzuladen. Gut zu wissen: Die Nutzung sogenannter Anwendungs-Whitelists kann das unerlaubte Herunterladen und Ausführen von Anwendungen verhindern.
5. Zuverlässige Antiviren-Software installieren
Eine zuverlässige Antiviren-Software kann die Systeme zumindest vor bekannten Schädlingen schützen. Auch hier ist eine regelmäßige Aktualisierung der Antivirenprogramme, Intrusion Prevention Systems (IPS) und Anti-Malware-Tools für Geräte und Netzwerke essentiell.
6. Netzwerk in Sicherheitszonen unterteilen
Experten empfehlen dringend, das eigene Netzwerk in Sicherheitszonen zu unterteilen. Diese Segmentierung, bei der besonders sensible Systeme in speziell gesicherte Netzwerkzonen ausgelagert werden, gewährleistet, dass ein infizierter Bereich nicht ohne Weiteres auf einen anderen übergreifen kann.
7. Verschlüsselung zuhause nach dem WPA3-Standard
Auch zu einer Verschlüsselung drahtloser Netzwerke nach dem aktuellen WPA3-Standard wird ausdrücklich geraten. Dies gilt insbesondere für Home Office Netzwerke, bei denen die Grenzen privater und geschäftlicher Kommunikation häufig verschwimmen und Sicherheitsstandards in der Regel nicht so stark überwacht werden, wie es im Unternehmen selbst der Fall ist.
8. Vorsicht bei E-Mailanhängen oder Links
Immer wieder mahnen Experten, unter keinen Umständen Anhänge von E-Mails unbekannter Absender zu öffnen. Es könnten sich versteckte Programme darin befinden, die automatisch ausgeführt werden, ohne dass die Anwender es überhaupt bemerken.
9. Erstellen und Einhaltung von Zugriffrechten
Nicht jeder Mitarbeitende muss und sollte auf alle Systeme zugreifen können. Um das Sicherheitsrisiko so gering wie möglich zu halten, ist die Erstellung und Einhaltung von Zugriffsrechten eine wichtige Maßnahme. Nur so kann gewährleistet werden, dass so wenige Benutzer wie möglich geschäftskritische Anwendungen infizieren können.
10. Durchführung regelmäßiger Security Awareness Trainings
Leider wahr: Der „Faktor Mensch“ bleibt das schwächste Glied in jeder Sicherheitskette. Durch regelmäßige Security Awareness Trainings kann das Sicherheitsbewusstsein Ihrer Mitarbeitenden deutlich erhöht werden. Dabei werden die Teilnehmenden durch zahlreiche Beispiele und aktuelle Hinweise für die Gefahren und die Notwendigkeit von umsichtigem Nutzungsverhalten sensibilisiert.
Ransomware-Angriffe verhindern mit einem starken Partner an Ihrer Seite
Wenn es um den optimalen Schutz vor Ransomware und anderen Cyberangriffen geht, können die skizzierten Maßnahmen eine gute Basis für die Prävention bilden. Doch auch externe Expertise in Form eines renommierten IT-Sicherheits-Dienstleisters wie der DGC macht sich bezahlt. Der Vorteil: Die Experten kennen die Angriffsmuster und können im Ernstfall schnell reagieren. Im Falle eines konkreten Angriffs steht der Incident Response Service rund um die Uhr bereit – Anfragen werden binnen 30 Minuten beantwortet.
Um auf die individuellen Bedürfnisse von Unternehmen einzugehen, bietet die DGC zudem verschiedene modulare Cyber Security Partnerschaften an. Enthalten ist grundsätzlich der selbst in Deutschland entwickelte Schwachstellenscanner cyberscan.io®, der aktuelle Cyberrisiken erkennt und Auswirkungen von IT-Schwachstellen minimieren kann. Auch regelmäßige Penetrationstests – simulierte Hackerangriffe – und die erwähnten Security Awareness Trainings tragen zu einem vollumfänglichen 360 Grad-Schutz bei.