Mögliche Reaktionen auf Ransomware-Attacken - 52 Digitalisierung und IT Sicherheit IV - DICO ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
52 Digitalisierung & Transformation
Digitalisierung und IT-Sicherheit IV
Mögliche Reaktionen
auf Ransomware-Attacken
Auch wenn es keinen einhundertprozentigen Schutz gegen Ransomware gibt, ist es den
noch hilfreich, wenn sich Unternehmen mit einem Notfallplan für den Ernstfall rüsten. Der
Beitrag beschreibt, wie Ransomware in das Unternehmen gelangen kann, welche Folgen sie
haben kann und wie Unternehmen darauf reagieren können.
› Daniel Heinrichs
Im Jahr 2021 wird alle elf Sekunden ein Forderungen und assoziierten Kosten Geschäftsfeld also für Internet-Krimi-
Unternehmen von Ransomware befallen. eines Ransomware-Befalls gut mehrere nelle, welches sich immer weiter aus
Durchschnittlich wird der Schaden eines Millionen Euro betragen. Ein lukratives breitet und professionalisiert. So werden
solchen Angriffs etwa 150 000 Euro be- Angriffe auf Unternehmen oft von langer
tragen und das betroffene Unternehmen Hand sorgfältig geplant und werden von
!›
16,2 Tage stilllegen – zusätzlich zum Re- kurz & bündig cyberkriminellen Organisationen über
putationsschaden. Dennoch haben nur einen längeren Zeitraum in mehreren
50 Prozent der von KL Discovery On- Ransomware ist eine Form von Stufen ausgeführt.
track befragten Unternehmen einen Not- Malware – «bösartige» Software
fallplan für den Ernstfall. Es gibt einige also, die programmiert wird, um Das Spektrum von Ransomware ist also
Schritte, wie sich Unternehmen gegen Schäden an Daten und Systemen äusserst facettenreich: Von Open Source
Ransomware schützen können, vollkom- zu verursachen. Sie ist zusätzlich Ransomware, die jeder herunterladen
men ausschliessen kann auch die beste darauf ausgelegt, «Lösegeld und einsetzen kann, bis zu «Ransomware
IT-Sicherheit einen Angriff jedoch nicht. zahlungen» für die Entschlüs as a Service», bei dem die Ransomware
Was tun also, wenn das Unternehmen selung der Daten zu erzwingen. verkauft wird, um von Dritten eingesetzt
Opfer einer Ransomware-Attacke wird? › Ransomware kommt, ähnlich zu werden, etablieren sich immer mehr
wie die meisten Viren und Mal neue und kreative Geschäftsfelder mit
ware, über Aktionen oder Unter immer ausgeklügelterer Schadsoftware.
Was Ransomware ist lassungen der Mitarbeiter in das
System eines Unternehmens. Arten von Ransomware
Ransomware ist eine Form von Malware › Ein regelmässiges, weitreichen Grob unterscheidet man zwischen zwei
– «bösartige» Software also, die program- des Backup aller Unternehmens Formen von Ransomware, wobei sich
miert wird, um Schäden an Daten und daten ist unerlässlich. Zusätzlich diese kontinuierlich weiterentwickeln
Systemen zu verursachen. Sie ist zu ist es sinnvoll, einen Plan für den und zusehends raffinierter werden. Die
sätzlich darauf ausgelegt, «Lösegeldzah- Ernstfall zu haben – wichtige In erste ist ein sogenannter Locker. Hier-
lungen» für die Entschlüsselung der Da- formationen, wie Kontaktdaten bei handelt es sich um vergleichsweise
ten zu erzwingen. Bei Privatpersonen von Mitarbeitern und externen simple Software, die auch relativ leicht
verlangen die Erpresser häufig Beträge im Spezialisten, in einer zentralen zu umgehen ist und lediglich den Zu-
dreistelligen Bereich, bei grösseren oder Liste zu speichern. gang zum System versperrt. Weitaus
öffentlichen Unternehmen können die komplexer und bedrohlicher ist Ransom-
KMU-Magazin Nr. 4/5, April/Mai 2021
Digitalisierung & Transformation 53
ware, bei der die Daten und/oder Sys- schädliche Websites zu locken, oder nut- liche Kommunikation, CRM, Finanzsys-
teme des befallenen Unternehmens ver- zen Social Engineering – eine Methode, bei teme, SAP, Personal- und Kundendaten
schlüsselt werden und für die anschlies der durch den Aufbau zwischenmenschli- können in manchen Fällen nicht mehr
sende Entschlüsselung ein Lösegeld ge- cher Beziehungen versucht wird, dem Mit aufgerufen werden und jeder weitere
fordert wird. Einige Formen von Ransom- arbeiter vertrauliche Informationen zu Versuch, an die Daten zu kommen, führt
ware kopieren zusätzlich Dateien aus entlocken. In manchen Fällen wurden Mit- dazu, dass die Ransomware sich noch
dem Unternehmen heraus. Dann werden arbeiter sogar dazu gebracht, USB-Sticks weiter im Unternehmen ausbreitet.
weitere Lösegeldforderungen gestellt, mit Schadsoftware an den firmeneigenen
um die Veröffentlichung der Daten zu Rechner anzuschliessen. (Der erste be- Immer beliebter werden Angriffe, die
verhindern. kannte Fall von Ransomware fand bereits nicht nur Daten verschlüsseln, sondern
1989 statt – Dr. Joseph Popp versandte diese auch auf die Server der Angreifer
Wie Ransomware 20 000 infizierte Disketten an Kollegen auf kopieren. Die Erpresser drohen dann zu-
ins Unternehmen kommt der gesamten Welt unter der Prämisse, die dem mit der Veröffentlichung sensibler
Ransomware kommt, ähnlich wie die Software auf den Disketten würde dazu Firmendaten – oder sie warten, bis das
meisten Viren und Malware, über Aktio- beitragen, die HIV-Gefahr einer Person Lösegeld für die Entschlüsselung bezahlt
nen oder Unterlassungen der Mitarbeiter feststellen zu können.) wurde, und verlangen dann eine weitere
in das System eines Unternehmens. So Zahlung für die Löschung der gestohle-
werden beispielsweise Sicherheitsricht- Folgen und Kosten nen Kopien. Hierbei gibt es wiederum kei-
linien für sichere Passwörter nicht be- Die Folgen eines Befalls durch Ransom- nerlei Garantie, dass einige Monate spä-
folgt oder Mitarbeiter begehen durch fal- ware sind bestenfalls die Unbenutzbar- ter nicht erneut Lösegeld gefordert wird.
sches Verhalten Fehler, wie etwa durch keit eines Gerätes, etwa eines Laptops
Öffnen eines E-Mail-Anhangs mit schäd- oder Mobilgerätes. Problematischer wird Nicht selten ist der Imageverlust des Un-
lichem Inhalt. Häufig wird Ransomware die Situation, wenn sich die Ransomware ternehmens der grösste Schaden, ins
per E-Mail als harmloser Anhang getarnt innerhalb des Unternehmens ausbreiten besondere, wenn im grossen Umfang
verschickt und breitet sich von dort im kann und kritische Systeme verschlüsselt. Kundendaten verloren gehen oder sogar
Unternehmen aus. Nicht selten sind auch Backup- oder Ar- öffentlich gemacht werden. Teilweise
chivsysteme mit betroffen. verpflichten die Datenschutzbehörden
Mittlerweile gibt es immer ausgefeilte- betroffene Unternehmen zusätzlich zu
re Methoden, Nutzer aufs Glatteis zu Schlimmstenfalls kann das gesamte Un- Strafzahlungen, nachdem diese sich von
führen. Die Angreifer versuchen, sie auf ternehmen nicht mehr arbeiten. Sämt dem Angriff erholt haben.
KMU-Magazin Nr. 4/5, April/Mai 2021
54 Digitalisierung & Transformation
Häufig wird Zahlung über Bitcoin oder auf lange Sicht, den Schaden einzudäm- bedeuten würde. Denn auch das ist
eine andere Kryptowährung gefordert, men und weiteren Ausfällen vorzubeu- eine weit verwendete Strategie der An-
welche es für die Strafverfolgungsbe gen. Es empfiehlt sich, einen Experten he- greifer: Sie warten nach der Infektion
hörden sehr schwierig macht, die Täter ranzuziehen. Dies können interne oder einige Monate, bis die Ransomware
zu fassen –so wird die Wahrscheinlichkeit externe Berater sein, die sich mit derarti- schliesslich «aktiv» wird.
verringert, dass Unternehmen ihr Geld gen Situationen auskennen.
je zurückbekommen. › Reparatur/Wiederherstellung:
› Entschlüsselung: In einigen Fällen Ist das Backup nicht ausreichend oder
lassen sich Daten «leicht» entschlüs- ist es ebenfalls infiziert, kann man ver-
Mögliche Reaktionen seln. Das Ziel von Ransomware ist es, suchen, die befallenen Dateien und/
so schnell wie möglich so viele Daten oder Systeme zu reparieren. Jeder
Bezahlen wie möglich zu verschlüsseln. In eini- Befall von Ransomware kann anders
Die erste Möglichkeit als Antwort auf ei- gen Fällen verändert die Schadsoft- ausfallen – von unterschiedlicher Ran-
nen Ransomware-Angriff ist relativ ein- ware nur jedes einzelne Dokument nur somware zum Ausbreitungsmuster und
leuchtend: der Forderung nachkommen minimal. Das kann mit der richtigen den befallenen Systemen. Es gibt also
und das Lösegeld bezahlen. Eventuell ist Expertise schnell wieder rückgängig keine «Standard-Software» die für sol-
die Zahlung sogar über eine Cyber-Ver gemacht werden. che Fälle zum Einsatz kommt. Hier
sicherung abgedeckt. Doch hier ist zur wird daher auf jeden Fall ein Spezialist
Vorsicht geraten. Man sollte bedenken, Für etwa 130 verschiedene Ransom- benötigt, der mit Datenrettung nach
dass man es hier mit Kriminellen zu tun ware-Arten wurde bereits der Ver- Ransomware-Angriffen vertraut ist.
hat. Es gibt also keine Garantie, dass man schlüsselungscode öffentlich gemacht
den Entschlüsselungscode wirklich er- und kann so vergleichsweise einfach
hält. Oder dass dieser – nach Erhalt – angewandt werden. Das Entschlüsseln Prävention
auch funktioniert und wirklich alle Da- der Daten selbst sollte niemals am akti-
ten wieder entschlüsselt werden können. ven System vorgenommen werden. Informationssicherheit sollte bei allen
Eine Umfrage von KL Discovery Ontrack Nach der Entschlüsselung muss zudem Unternehmen, egal welcher Branche, von
ergab etwa, dass in nur 51 Prozent aller sichergestellt werden, dass die Daten äusserster Bedeutung sein. Es existiert
Fälle, in denen Unternehmen das Löse- vollständig entschlüsselt wurden und zwar kein hundertprozentiger Schutz ge-
geld bezahlt hatten, die Daten auch tat- die Ransomware vom System getilgt gen einen Ransomware-Angriff. Aber es
sächlich wieder erfolgreich entschlüsselt wurde. Nur so kann vermieden werden, gibt einige einfache Massnahmen, die Un-
wurden. dass die Ransomware weiteren Scha- ternehmen zu einem schwierigeren Ziel
den anrichtet. und somit unattraktiv für einen Angriff
Gleichzeitig wird das bezahlende Unter- machen:
nehmen in Insiderkreisen als leichtes › Systemwiederherstellung: Die zu-
Ziel bekannt und fördert so ein kriminel- verlässigste Verteidigung gegen Ran- › Regelmässige Backups und Sicherheits
les Geschäftsmodell. Zum Glück gibt es somware ist eine regelmässige Siche- updates für alle Geräte und Systeme
Methoden, ein Unternehmen schnell rung der Unternehmensdaten über › Sämtliche Geräte mit komplexen Pass-
wieder zum Laufen zu bringen und Löse- Backups. Hier sollte die 3-2-1-Regel wörtern schützen
geldzahlung und Reputationsschaden angewandt werden – mindestens drei › Kritische Systeme mit 22FA-(Zwei-
zu verhindern. Kopien der Daten an mindestens zwei Faktor-)Identifikation schützen
verschiedenen Orten mit mindestens › Regelmässige Sicherheitsschulungen
Datenrettung einem Backup an einem Ort ausserhalb aller Mitarbeiter
Wird ein Ransomware-Angriff im Unter- des Unternehmens, ohne direkte Ver-
nehmen bekannt, sollte sofort reagiert bindung zum Rest der Unternehmens-
und sollten die betroffenen Rechner systeme. Fazit
vom Netz genommen werden. Wenn un-
klar ist, ob sich die Schadsoftware bereits Sollte das Unternehmen nun also infi- Es ist wichtig, gut vorbereitet zu sein und
weiter im Unternehmen verbreitet hat, ziert werden, kann man die verschlüs- einen Plan für den Ernstfall zu haben. Ein
empfiehlt es sich, alle Systeme herunter- selten Daten auf den Stand des letzten regelmässiges, weitreichendes Backup
zufahren. Diese zunächst drastisch er- Backups zurücksetzen – sollte aber hier aller Unternehmensdaten sowie dessen
scheinende Massnahme führt zwar zu ei- dringend sicherstellen, dass dieses regelmässige Kontrolle sind unerlässlich.
nem kurzzeitigen Erliegen des Geschäfts- Backup nicht auch von der Ransom- Zusätzlich ist es sinnvoll, einen Plan für
betriebes, hilft aber dem Unternehmen ware befallen ist, was weitere Infektion den Ernstfall zu haben – wichtige Infor-
KMU-Magazin Nr. 4/5, April/Mai 2021
Digitalisierung & Transformation
Anzeige
mationen, wie beispielsweise Kontakt dert und wie das Unternehmen schnellst-
daten von Mitarbeitern und externen möglich wieder hochgefahren werden
Spezialisten, in einer zentralen Liste zu kann. Zudem sollte ein Unternehmen
speichern. überlegen, beizeiten einen externen
Dienstleister als festgelegten Berater zu
Weiter sollten genaue Anweisungen er- etablieren. Dieser kann im Ernstfall so-
fasst sein, wie das Unternehmenssystem fort reagieren und dem betroffenen Un- Praxisnah,
heruntergefahren, wie die Ausbreitung ternehmen helfen, den Schaden auf ein
von einem System zum nächsten verhin- Minimum zu beschränken. « wirkungsvoll,
zukunftsorientiert
Quellenhinweis Ganzheitlich führen
Steve Morgan, Cybersecurity Ventures, 2021.
https://cybersecurityventures.com/global-ransomware-damage-costs-
predicted-to-reach-20-billion-usd-by-2021/
Coveware, Ransomware Costs, 2020.
www.coveware.com/blog/2020/1/22/ransomware-costs-double-in-q4-
as-ryuk-sodinokibi-proliferate Vernetzt denken, strategisch
handeln, ganzheitlich führen.
Evolution of ransomware; P O’Kane, S Sezer, Excellence Leadership Seminar
D Carlin – IET Networks, 2018 – IET. Operative Excellence Seminar
https://ietresearch.onlinelibrary.wiley.com/doi/pdf/10.1049/iet-
net.2017.0207
Wirkungsvoll führen
KL Discovery Ontrack,
Ransomware Data Recovery for the Enterprise, 2019.
https://resources.ontrack.com/whitepaper-the-global-impact-of-ransomware
Porträt
Mitarbeiterzufriedenheit und
Leistungsfähigkeit erhöhen.
Daniel Heinrichs Nutzen Sie unsere Führungs
Business Development Manager Unternehmen und instrumente.
Kanzleien, KL Discovery
Swiss Ethics Award
Die KL Discovery Ontrack GmbH in Böblingen bei
Stuttgart hilft Unternehmen seit über 30 Jahren bei
komplexen Datenproblemen und dem Management
der Unternehmensdaten, zum Beispiel bei Daten-
verlust, internen Untersuchungen und Compliance-Audits, Auskunftsersuchen
nach DSGVO oder anderen Anfragen der Behörden. Die hauseigene
Entwicklungsabteilung ermöglicht Lösungen zum Beispiel bei Datenwieder
herstellung von Altdaten auf Bändern oder nach Verschlüsselung der Die Anerkennung für besondere
Unternehmensdaten durch Ransomware. ethische Leistungen in der
Wirtschaft.
Eingabefrist: 30. September 2021
Jetzt bewerben.
Kontakt
Anmeldung & Infos: 041 229 30 40
daniel.heinrichs@kldiscovery.com
swiss-excellence-forum.ch
www.kldiscovery.de
KMU-Magazin Nr. 4/5, April/Mai 2021Sie können auch lesen
