Ransomware – ist der Staat gefragt?

Aktuelle Bedrohungen durch Ransomware zeichnen sich darüber hinaus durch eine Reihe von Kennzeichen aus In letzter Zeit infizieren erfolgreiche Ransomware-Angriffe Unternehmensnetzwerke mit einer Kombination aus Malware und „manuellen“ Methoden, die Fehlkonfigurationen im Netzwerk auszunutzen und Mitarbeiter ins Visier nehmen, um an Daten zu gelangen. Der Angriff über die Kaseya Software ist eine Ausnahme, da die hier genutzte Sicherheitslücke nicht dazu diente, Unternehmen direkt zu infizieren, sondern über deren MSP-Software.

Auch ist zu beobachten, dass Ransomware-Banden zunehmend eine „doppelte Erpressungstaktik“ anwenden, bei der sie Lösegeld sowohl dafür fordern, die verschlüsselten Daten zu entschlüsseln als auch dafür, dass sie diese nicht online veröffentlichen.

Die Tatsache, dass sich mit Ransomware glänzende Geschäfte machen lassen, haben in letzter Zeit auch dazu geführt, dass die Kriminellen den Bogen zu überspannen beginnen, wie es scheint. Die Attacken auf die Colonial Pipeline ebenso wie der Kaseya-Hack haben dazu geführt, dass etliche Regierungen das Problem nun ernster nehmen und wirksame Gegenmaßnahmen erwägen. Auch wenn diese noch nicht in Kraft getreten sind, zeichnen sich bereits nachteilige Folgen für Ransomware-Akteure ab. So beobachten wir bereits, dass das Interesse an Erwerb und Verkauf von Ransomware in einigen Hackerforen bereits gesunken ist.

Gegenmaßnahmen

Auch wenn die Situation für Cyberkriminelle aktuell nicht nur rosig ist, müssen Unternehmen doch ihre Schutzmaßnahmen gegen Ransomware verstärken. Dabei sollten sie vor allem die folgenden Empfehlungen beachten:

1. Nehmen Sie eine Bestandsaufnahme ihrer Daten vor, um sie zu klassifizieren und je nach Wichtigkeit mit zusätzlichen Maßnahmen zu sichern.
2. Reduzieren Sie unnötige Zugriffsrechte und Berechtigungen für Benutzerkonten, sodass der Schaden begrenzt bleib, sollten Endgeräte infiziert werden.
3. Erstellen Sie einen Disaster-Recovery-Plan für Ransomware-Attacken, um schnell interne Ressourcen zur Schadensbegrenzung zu mobilisieren (z. B. eine Checkliste, wer anzurufen ist, was zu isolieren ist und was zu dokumentieren ist).
4. Verwenden Sie ein System zur Sicherung der Endpunkte, die eine Remote-Isolierungsfunktion für Administratoren bietet.
5. Verwenden Sie verhaltensbasierte Erkennungstechnologien, um Ransomware-Bedrohungen anhand von Aktivitäten und nicht anhand von Signaturen zu identifizieren.
6. Halten Sie ein Ransomware-Wiederherstellungs-Tool bereit, nur für den Fall.
7. Halten Sie Ihre Systeme auf dem neuesten Stand ebenso wie die Apps auf den Endgeräten.
8. Reduzieren Sie Dienste, die Fernzugriff auf Systeme erlauben oder treffen Sie zusätzliche Vorkehrungen, um die Zugangs-Ports abzusichern.

Was kann der Staat tun?

Wenn ein Unternehmen die genannten Empfehlungen befolgt, ist schon Einiges gewonnen, schon weil es dadurch nicht mehr zu den einfachsten Zielen gehört. Cyberkriminelle gehen schließlich effizient vor und wollen den Aufwand so gering wie möglich halten. Schlussendlich ist aber ein konsequenteres staatliches Eingreifen erforderlich, um Ransomware-Attacken weniger attraktiv zu machen und in großem Maßstab einzudämmen. Glücklicherweise sind zunehmend mehr Regierungen weltweit bereit, ernstzunehmende Maßnahmen zu ergreifen. Aus unserer Sicht haben hierfür vor allem die folgenden Punkte Priorität:

1. Eine verstärkte Zusammenarbeit von Regierungen mit den Anbietern von IT-Sicherheitslösungen.
2. Eine intensivierte Kommunikation und weitreichender Informationsaustausch zwischen staatlichen Strafverfolgungsorganisationen und Anbietern von IT-Sicherheitslösungen.
3. Sammlung und Bereitstellung detaillierter Informationen über Angriffe, die von den betroffenen Unternehmen stammen. Aktuell schweigen betroffene Unternehmen noch viel zu häufig, Fälle wie die des Regal- und Einrichtungsspezialisten Berger zählen zu den löblichen Ausnahmen. Informationen dieser Art müssen zudem zentral gesammelt werden.
4. Gezielte Maßnahmen gegen die Ransomware-Infrastruktur, z. B. die Hosting- und Payment-Server, sowie eine gezielte Verfolgung von Zahlungen, um Angriffe weniger lukrativ zu machen.
5. Die Gefahr beim Einsatz von Ransomware für Kriminelle steigern, indem Sie deren Versteckmöglichkeiten reduzieren. Dazu bedarf es u.a. internationaler Zusammenarbeit und der Bereitschaft, Sanktionen gegen bestimmte Staaten, die Cyberkriminellen Unterschlupf bieten, konsequenter durchzusetzen.

Zum Schluss

In der aktuellen Situation sollte Selbsthilfe oberste Priorität für Unternehmen haben. Weil sich die Gefahr durch Ransomware aber auf diese Weise nicht nachhaltig eindämmen lässt, sollten Unternehmen zusätzlich ihren Einfluss gelten machen und verstärkt auf staatliche Maßnahmen gegen Ransomware-Kriminelle drängen. Dass allein schon die Diskussion staatlicher Maßnahmen zu negativen Folgen für Cyberkriminelle geführt haben, sollte uns optimistisch stimmen.