Ist „Zero Ransomware“ möglich?

Ransomware bleibt das dominierende Problem der Cybersecurity: 2020 nahmen die Angriffe erneut zu und verursachten Kosten in Milliarden-Höhe. Aber ist eine Welt ohne Ransomware überhaupt denkbar? Wie könnte „Zero Ransomware“ erreicht werden?

Wir leben im – für Cyberkriminelle – goldenen Zeitalter der Ransomware. Die Zahl der Attacken ist 2020 um 40 Prozent gestiegen, die Gesamtkosten für Ransomware werden für 2021 auf 20 Milliarden US-Dollar geschätzt. In diesem Jahr wurde zudem die bisher höchste Lösegeldforderung gestellt: Die Angreifer, die Kaseya kompromittiert haben, verlangten eine Zahlung von 70 Millionen US-Dollar. In Deutschland wurden zuletzt etwa MediaMarkt/Saturn, die Funke Mediengruppe und der Medizin-Dienstleister Mediatixx Opfer entsprechender Angriffe. 

Anzeige

Während der Corona-Pandemie haben Regierungen und Wissenschaftler oft über das Konzept von „Zero Covid“ diskutiert, d. h. über einen Ansatz, der sicherstellen soll, dass die Zahl der Infektionen auf null sinkt oder zumindest in diese Richtung geht. Mittlerweile hält zwar nur noch China an diesem Ansatz fest, gleichwohl könnte das Konzept möglicherweise auf den Bereich der Ransomware übertragen werden. Ist eine Welt ohne Ransomware vorstellbar oder handelt es sich dabei lediglich um eine nicht zu erreichende Utopie? Aber wie alle Utopien könnte sie ein Schlaglicht auf unsere Gegenwart werfen und interessante Antworten geben. Indem wir über eine Welt ohne Ransomware nachdenken, können wir die besten Strategien identifizieren, die das Risiko so weit wie möglich auf null reduzieren. Wie könnte also eine „Zero-Ransomware“-Strategie aussehen?

Explosionsradius reduzieren

Untersuchungen zeigen, dass ein Benutzer durchschnittlich auf 17 Millionen Dateien bzw. 20 Prozent der Daten seines Arbeitgebers zugreifen kann – offensichtlich wesentlich mehr Dateien, als er für seine Arbeit tatsächlich benötigt. Wenn ein Konto mit derartig weitgefassten Zugriffsrechten kompromittiert wird, können Angreifer auf diese Weise einen enormen Schaden verursachen.

Für Unternehmen stellt es eine enorme Herausforderung dar, die Kontrolle über ihren Datenbestand zu behalten, zumal dieser jeden Tag umfangreicher wird. Wenn sie unbeaufsichtigt bleiben, können Dateien übermäßig exponiert werden, da zu weit gefasste Berechtigungen zu vielen Personen den Zugriff darauf ermöglichen. Gerade der Einsatz von Collaboration-Tools und dem dadurch geförderten Teilen von Dokumenten erschwert die Situation dabei nachhaltig.

Anzeige

Ein erster Schritt auf dem Weg zu „Zero Ransomware“ wäre daher die Einführung eines Zero-Trust- oder Least-Privilege-Modells. Die Identifizierung und Behebung von übermäßigen bzw. unnötigen Berechtigungen ist eine Aufgabe, die für menschliches Personal zu zeitaufwändig ist. Durch intelligente Automatisierung kann dies jedoch schnell und umfassend umgesetzt und so der Explosionsradius von Ransomware rasch drastisch reduziert werden. Dabei werden zunächst die Dateisystemberechtigungen sowie der Benutzer- und Gruppenbeziehungen analysiert sowie übermäßiger Zugriff durch globale Gruppen wie „Jeder“, „Authentifizierte Benutzer“ und „Domänenbenutzer“ identifiziert und eliminiert. Hierdurch reduziert sich das Risiko bereits erheblich.

Schnelligkeit entscheidend

Wie beim Ausbruch aller Infektionen, ist auch bei der Ransomware Geschwindigkeit ein entscheidendes Kriterium. Entsprechend benötigt man ein Erkennungssystem, das die ersten Anzeichen von Angriffen erkennt, um sie zu stoppen, oder sogar Angriffe vorhersagen kann, bevor sie überhaupt stattfinden. Eine zuverlässige Methode zur Erkennung eines laufenden Angriffs ist die Überwachung der Dateiaktivitäten. Idealerweise geschieht dies über eine Plattform, die Audits über ihre APIs anbietet, und mithilfe von Dateisystemfiltern, um Metadaten in gängigen Plattformen zu erfassen, die keine eingehenden Audits anbieten, wie Windows oder Sharepoint.

Abnormales Nutzerverhalten kann auf einen laufenden Angriff hindeuten, während eine umfangreiche Verschlüsselung ein eindeutiges Indiz ist. Sobald Ransomware einen Endpunkt überwunden hat und anfängt, Dateien auf zentralen IT-Systemen zu verschlüsseln, sollten kompromittierte Konten abgeschaltet werden, bevor sie ernsthaften Schaden anrichten. Auch dieser Prozess sollte automatisiert werden.

Ein wirkungsvolles Erkennungs- und Reaktionssystem muss dabei intelligent genug sein, um mit Zero-Days fertig zu werden, und fortschrittliche Verhaltensanalysen nutzen, um ungewöhnliches Verhalten schnell zu identifizieren und automatisiert entsprechende Maßnahmen einzuleiten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wiederherstellung vorbereiten

Die Prozesse, die eine erfolgreiche Reaktion ermöglichen, sind eine gute Möglichkeit, die allgemeine Sicherheit zu erhöhen. Die Daten sollten regelmäßig gesichert und überprüft werden. Wenn ein Backup so schnell wiederhergestellt werden kann, dass die Geschäftskontinuität nicht für eine problematische Zeitspanne unterbrochen wird, ist ein herkömmlicher Ransomware-Angriff im Grunde sinnlos. Kein Unternehmen wird für die Freigabe seiner Daten zahlen, wenn es einfach eine Backup-Wiederherstellung durchführen kann.

Durch Double-Extortion-Techniken, bei denen die Angreifer zunächst die Daten entwenden, bevor sie sie verschlüsseln, werden reine Backup-Schutzmaßnahmen jedoch obsolet. Andererseits sind durch diese Angriffe gut ausgestattete Sicherheitsteams auch in der Lage, Angreifer noch weit vor der Verschlüsselung und der damit einhergehenden Unterbrechung des Geschäftsbetriebes zu identifizieren und Attacken abzuwehren. 

Wenn Unternehmen sich richtig vorbereitet und Maßnahmen wie die Überprüfung ihrer Daten ergriffen haben, können sie sich schneller von einem Angriff erholen. Der Schlüssel dazu ist die Transparenz. Der Zugriff auf alle Dateiveränderungen, die von den Benutzern im Laufe der Zeit vorgenommen wurden, ermöglicht beispielsweise eine schnellere Wiederherstellung, da lediglich die betroffenen Dateien wiederhergestellt werden müssen.

Ist „Zero Ransomware“ möglich? 

Im Moment lautet die Antwort darauf wahrscheinlich „nein“. Aber „Zero Ransomware“ ist dennoch ein lohnendes Ziel, zumal die Problematik aktuell eher größer als kleiner wird. Prognosen bestätigen dies: Eine Schätzung besagt, dass Ransomware Unternehmen bis 2031 weltweit insgesamt 265 Milliarden US-Dollar kosten wird. 

Möglicherweise gibt es in der Zukunft einen technologischen Entwicklungssprung, der Ransomware dauerhaft besiegen kann. Allerdings zeigen Cyberkriminelle eine enorme Anpassungsfähigkeit und werden stets versuchen, andere Wege zu finden. Etwa, indem sie ihre Opfer und die entsprechenden Daten noch gezielter auswählen. Wir konnten bereits beobachten, dass der Anstieg von Ransomware zu einer Veränderung des kriminellen Verhaltens geführt hat, da die Banden ihre Aufmerksamkeit verstärkt auf große, profitable Ziele richten („Big Game Ransomware“).

Und auch im Bereich der nicht-technologischen Strategien sind positive Entwicklungen möglich: Sei es durch Verpflichtungen, kein Lösegeld zu zahlen, oder durch ein international abgestimmtes Vorgehen gegen Ransomware-Gruppen. Nur wenn der mögliche Gewinn den Aufwand nicht mehr rechtfertigt und sich Cyberkriminelle einer ernsthaften Verfolgung ausgesetzt fühlen, wird das Zeitalter der Ransomware zu Ende gehen. 

Michael

Scheffler

Country Manager DACH

Varonis Systems

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.