Arcserve, ein Anbieter von Lösungen für Daten- und Ransomware-Schutz, warnt vor der gestiegenen Bedrohung durch Ransomware und stellt einen Strategie-Fahrplan zum Schutz vor Cyber-Attacken vor. Ransomware ist seit der Corona-Krise zu einer noch größeren Bedrohung für die Cybersicherheit von Unternehmen geworden.
Der Schaden, der durch diese Art von Malware verursacht wird, reicht vom Blockieren des Zugriffs von Benutzern auf benötigte Ressourcen bis hin zur Offenlegung oder Vernichtung sensibler Unternehmensdaten.
- Zentralisierte Sicherheitstechnologie
- 3-2-1 Backup-Strategie
- Aktualisierte Betriebssysteme und Software-Versionen
- Sensibilisierung aller Mitarbeiter für das Sicherheitsthema
Fast jedes Unternehmen war schon von einem Ransomware-Angriff betroffen. Einer Prognose des Marktforschungsunternehmens Cybersecurity Ventures zufolge wird bis zum Jahr 2021 alle 11 Sekunden ein Unternehmen einem Ransomware-Angriff zum Opfer fallen. Im Jahr 2016 waren es noch alle 40 Sekunden, was darauf hinweist, dass Cyber-Kriminelle auf immer professionellere Weise Schwachstellen im Unternehmensnetzwerk auszunutzen. Auch sind nicht nur Unternehmen gefährdet, auch Einrichtungen der öffentlichen Hand, Krankenhäuser, Universitäten und in jüngster Zeit auch Energie- und Wasserbetriebe sind immer öfter Opfer von Cyberattacken. Solche Angriffe bewirken im schlimmsten Fall nicht nur einen enormen wirtschaftlichen Schaden, sondern stellen im Extremfall auch eine Sicherheitsbedrohung für die Bevölkerung dar.
Die Zunahme erfolgreicher Ransomware-Angriffe hat enorme finanzielle Auswirkungen. Im Jahr 2019 wurden die weltweiten Schäden durch diese Cyber-Attacken auf 11,5 Milliarden Dollar geschätzt, im Jahr 2021 wird die Zahl wohl bereits bei 20 Milliarden Dollar liegen. Sicherheitsexperten haben in Zusammenhang mit der COVID-19-Epidemie einen Anstieg von Lösegeld- und anderen Phishing-Angriffen beobachtet. Gerade jetzt ist es für Unternehmen wichtig, einen Ransomware-Schutzplan zu erstellen und strategisch vorzuplanen, insbesondere im Hinblick auf verstärktes Remote-Arbeiten.
So werden IT-Systeme mit Ransomware infiziert
Ransomware gelangt primär durch User-Aktionen ins Firmennetzwerk, wie z.B. durch Klicken auf infizierte E-Mail-Links oder das Herunterladen infizierter Anhänge. Sie verbreitet sich auch durch schädliche Links in gefälschten Anzeigen oder Websites und Social-Media-Anwendungen. Diese übertragen die Malware dann innerhalb einer Anwendung oder auf andere Rechner im System. Durch die ständige Weiterentwicklung der Ransomware-Taktiken wird es immer schwieriger, die Malware zu identifizieren. Die Angreifer nutzen sogar Drive-by-Downloads, um in Netzwerke einzudringen und Ransomware zu installieren, ohne dass die User überhaupt den Link angeklickt haben.
Die wichtigsten Schritte bei einer Ransomware-Attacke
Beim Erhalt einer Lösegeldforderung sollte man versuchen, ohne Panik zügig folgende Maßnahmen zu ergreifen, um den Schaden so gering wie möglich zu halten:
- Alle verdächtigen Geräte vom Netzwerk trennen: Sobald der Verdacht besteht, dass ein Gerät mit Ransomware infiziert ist und so in das Firmen-Netzwerk eindringen könnte, muss dieses schnellstmöglich von allen Netzwerkkontakten getrennt werden, um die Infektionskette zu unterbrechen.
- Lokalisierung des “Patienten Null“: Nach Entdeckung der Malware muss der Eintrittspunkt der Ransomware so schnell wie möglich lokalisiert werden. Zur Wiederherstellung ist es für die IT-Abteilung nun essentiell zu wissen, ob die Sicherheitsverletzung auf einen User-Fehler oder auf eine Schwachstelle in der Netzwerksicherheit zurückzuführen ist.
- Identifizierung der Ransomware: Verschiedene Arten von Ransomware haben ihre eigenen Methoden zur Verbreitung und Verschlüsselung von Daten. Die schnelle Identifizierung der Ransomware beschleunigt Recovery-Maßnahmen und kann den Schaden geringhalten.
- Schadensanalyse: Sobald die Art der Ransomware bekannt ist, kann abgeschätzt werden, wie groß der Schaden ist oder möglicherweise sein wird. Einige Ransomware-Typen sperren nur Daten, andere verschlüsseln Dateien und machen sie bei Nichtzahlung des Lösegeldes unbrauchbar. Wenn sich Unternehmen nicht erpressen lassen wollen und somit kein Lösegeld zahlen, stellt man alle Daten mit der eigenen Backup-Lösung wieder her. Bei Unternehmen, die keine Backup-Lösung im Einsatz haben, sind die Daten allerdings in der Regel vernichtet.
- Schadensbericht: Gleich nach dem Angriff sollten die Behörden benachrichtigt werden, um weitere Angriffe zu verhindern. Viele Unternehmen sind nach Compliance-Richtlinien gesetzlich verpflichtet, Ransomware-Angriffe zu melden. Als Beweismittel für den Polizeibericht und für die Versicherungsleistungen ist ein Foto/Screen Shot der Lösegeldforderung erforderlich.
- Desaster Recovery-Plan: Nachdem der Angriff entschärft und der Schaden bewertet wurde, sollte zügig mit dem Recovery-Prozess begonnen werden, um die Auswirkungen auf die User und den Betriebsablauf so gering wie möglich zu halten. Unternehmen, die keinen umfassenden, aktuellen Desaster-Recovery (DR)-Plan haben, sollten sich spätestens zu diesem Zeitpunkt nach einer umfassenden DR-Lösung umsehen, um weitere Verluste durch zukünftige Angriffe zu vermeiden.
Das Experten-Team von Arcserve hat vier Strategien zum Schutz vor Ransomware und anderen Cyberattacken erstellt: