Die aktuellen Statistiken zu Ransomware-Angriffen bestätigen schlimmste Befürchtungen. Im Sophos-Bericht „The State of Ransomware 2022“ gaben 66 Prozent der 5.600 befragten IT-Experten aus 31 Ländern an, im vergangenen Jahr von Ransomware betroffen gewesen zu sein.
Bei 65 Prozent dieser Angriffe wurden die Daten des Unternehmens sogar verschlüsselt. In 46 Prozent der Fälle wurde Lösegeld gezahlt, aber nur 4 Prozent derjenigen, die gezahlt haben, bekamen ihre Daten zurück.
Ransomware hat erhebliche Auswirkungen auf das Gesamtergebnis von Unternehmen. Dem Sophos-Bericht zufolge betrugen die durchschnittlichen Kosten für die Behebung eines Ransomware-Angriffs 1,4 Millionen US-Dollar, und die durchschnittliche Zeit, die für die Wiederherstellung nach einem solchen Angriff benötigt wurde, betrug einen Monat.
IT-Transformationen bringen Komplikationen mit sich
Unternehmen müssen jetzt alles tun, um sich gegen Ransomware zu wehren. Aber das ist bei den immer komplizierter werdenden IT-Infrastrukturen von heute nicht gerade einfach. Möglicherweise nutzten die Mitarbeiter eines Unternehmens private Geräte für die Verbindung mit dem Netzwerk. Außerdem spielt das „Internet of Things“ in vielen Branchen eine wichtige Rolle, was möglicherweise die Angriffsflächen und Schwachstellen maximiert. Deshalb ist es unerlässlich, Server, Endgeräte, Netzwerke, Netzwerkspeicher, Clouds, Anwendungen u.v.m. vor Ransomware zu schützen.
Angesichts derartig vieler potenzieller Schwachstellen und sich weiterentwickelnder Angriffsszenarien, müssen IT-Experten ihre Herangehensweise ändern, denn der Kampf gegen Ransomware erfordert eine vielschichtige Präventionsstrategie. Es gibt kein Patentrezept, um Ransomware in Schach zu halten, insbesondere angesichts der vielen anderen Bedrohungen – von Malware bis hin zu Naturkatastrophen.
Drei Säulen einer umfassenden Strategie zur Ransomware-Prävention
1. Technologien für die Cybersicherheit
Cybersicherheit ist ein wichtiger Aspekt einer vielschichtigen Strategie zur Ransomware-Prävention. Dazu gehört, dass Endgeräte, Netzwerke, Server und andere Infrastrukturelemente mit den neuesten Schutzmaßnahmen ausgestattet sind.
Auch lohnt sich der Einsatz von Identity Access Management (IAM)-Tools, um unbefugte Benutzer fernzuhalten, und Privileged Access Management (PAM)-Lösungen, um den Zugriff auf sensible Daten rollenbasiert zu beschränken. Unternehmen, die ihre Verteidigungsmaßnahmen verstärken, indem sie etwa für den Datenschutz ein Zero-Trust-Modell mit erweiterten Überwachungsfunktionen einsetzen, sind zusätzlich geschützt. Backup-Administratoren können damit schnell auf Bedrohungen oder andere Probleme, welche die primäre oder Backup-Infrastruktur und -Operationen betreffen, reagieren. Ein weiteres Schutzkonzept kann auch Software zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) umfassen. Sie erkennt sowohl potenzielle Datenschutzverletzungen als auch Datenexfiltrations-Aktivitäten und blockiert den Zugriff auf sensible Daten während der Nutzung, in Bewegung und im Ruhezustand.
Endpoint Detection and Response (EDR) ist ein weiteres leistungsstarkes Cybersecurity-Tool. Es überwacht Endbenutzergeräte kontinuierlich, um Cyberbedrohungen zu identifizieren und darauf zu reagieren. Gerade für Unternehmen, die ein Remote- oder hybrides Arbeitsmodell verfolgen, ist EDR von unschätzbarem Wert.
2. Datensicherung und orchestrierte Wiederherstellung
Da Ransomware inzwischen viel häufiger auf Backups abzielt als früher, ist die alte 3-2-1-Backup-Regel überholt. Diese Regel war einfach: Man erstellte drei Kopien seiner Daten, speicherte zwei Kopien lokal auf zwei Formaten (Band, Netzwerkspeicher oder lokales Laufwerk) und bewahrte eine Kopie außerhalb des Unternehmens auf, wobei die Cloud hierfür die größte Flexibilität bietet. Um heutigen Bedrohungen wirksam zu begegnen, müssen die Verantwortlichen auf eine 3-2-1-1-Strategie setzen, wobei die zusätzliche 1 für die Unveränderlichkeit der Daten steht.
Backups in einem unveränderlichen Objektspeicher werden in einem einmalig beschreibbaren und mehrfach lesbaren Format erstellt. Diese Sicherungen können weder geändert noch gelöscht werden. Deshalb bieten sie maximale Sicherheit vor Ransomware, egal was passiert.
Sollte es allerdings trotzdem zu einem erfolgreichen Ransomware-Angriff oder einem anderen Datenverlust kommen, hilft eine orchestrierte Notfallwiederherstellung bei der effizienten Wiederherstellung. Eine solche Orchestrierungslösung stellt sicher, dass kritischen Systeme – Server, Anwendungen und sensible Daten – automatisch in der richtigen Reihenfolge wieder online gestellt werden. Das nimmt der Wiederherstellung einen Großteil der Komplexität. Angesichts der zahlreichen Aufgaben, die bei einem manuellen Failover anfallen, gewährleistet die Orchestrierung ein schnelles und skalierbares Disaster Recovery.
3. Sicherheitsprozesse
Die letzte Säule der Ransomware-Prävention ist möglicherweise die kritischste, denn 85 Prozent der Sicherheitsverletzungen des Jahres 2021 sind auf menschliches Versagen zurückzuführen. Schulungen zur Cybersicherheit sollten das Kernelement eines jeden Plans zur Prävention und Wiederherstellung sein. Die CISA (Cybersecurity & Infrastrure Security Agency) bietet beispielsweise ein Sensibilisierungsprogramm für Cybersicherheit an, das sowohl ein Toolkit und als auch Ressourcen umfasst. Damit lässt sich sicherstellen, dass Mitarbeiter wissen, wie man Phishing-Methoden und verdächtige Links rechtzeitig erkennt. Und gerade dieses Wissen ist es, womit man Ransomware und anderen Sicherheitsverletzungen entgegentreten kann.
Es ist auch erforderlich, die Effektivität eines Wiederherstellungsplans zu testen. Dabei darf man auch die physische Sicherheit nicht vernachlässigen, einschließlich der Durchführung von Hintergrundüberprüfungen.
Ein einheitlicher Ansatz
Damit Unternehmen den Kampf gegen Cyberkriminelle wirksam aufnehmen können, ist ein einheitlicher und ganzheitlicher Ansatz für den Datenschutz erforderlich. Dieser sollte auf den oben genannten Säulen aufgebaut sein. Durch diesen Ansatz entsteht eine umfassendere und vollständigere Verteidigungslinie, die es Ransomware und anderen Angriffsmethoden erschwert, Lücken zu finden und sich unerkannt in ein Unternehmensnetzwerk hineinzuschleichen.