100-prozentige Cybersicherheit gibt es nicht. Im Falle von Bedrohungen wie Ransomware, die es auf Daten abgesehen haben, richtet sich alle Hoffnung auf Backups, doch was ist zu beachten?
Vor 20 Jahren am 4. Mai begann mit der auf den ersten Blick harmlosen Botschaft „I love you“ der bis dato größte, weltweite Cyberangriff auf Unternehmen und Privathaushalte. Es war nicht der erste Cyberangriff, aber ein in Wucht und Umfang bis dahin nicht gekanntes Ereignis in einer Welt, in der E-Mail, Internet & Co. für viele noch Neuland waren. Würmer und Viren sind seither zu anhänglichen Begleitern in der digitalen Welt geworden. Die Cybersicherheitsbranche stellt sich der Vielfalt an Bedrohungen mit einer Vielzahl an Hard- und Softwarelösungen mehr oder weniger erfolgreich entgegen.
Im Juni 2017 folgte der nächste große Paukenschlag: Ransomware, bis dato eher ein Thema für Insider, war plötzlich in aller Munde. Der extrem breit angelegte Angriff mit der Erpressersoftware Petya/NotPetya infizierte binnen weniger Tage die IT-Systeme von kleinen Unternehmen und Großkonzernen sowie die Rechner unzähliger Privatpersonen. Seither folgten in regelmäßigen Abständen weitere Angriffe mit Ransomware – vor allem auf Behörden, Unternehmen, Betreiber kritischer Infrastruktur sowie Einrichtungen im Gesundheitswesen.
Gezielte Cyberangriffe auf das Gesundheitswesen dürften weiter zunehmen, wie auch das BSI zuletzt warnte. Seit Beginn der Corona-Pandemie nehmen Cyberangreifer Kliniken und die Pharmaindustrie offenbar verstärkt ins Visier. Die jüngste Attacke traf das Medizintechnik- und Gesundheitsunternehmen Fresenius.
Quo vadis Ransomware?
Drei Dinge sollten Entscheidungsträger in Unternehmen aus den vergangenen Jahren gelernt haben, wenn es um Ransomware geht:
- Ransomware ist kein kurzfristiges Phänomen, sondern hat sich als effektives Werkzeug bei Cyberkriminellen etabliert.
- Die Angriffe werden zunehmend präziser und richten sich immer häufiger auf sorgsam ausgewählte Ziele.
- Sowohl klassische IT-Sicherheitslösungen wie Antivirus und Firewall als auch moderne KI-basierte Lösungen garantieren keinen 100%igen Schutz vor Ransomware.
Angesichts dieser drei unbestrittenen Fakten stellt sich eine zentrale Frage: Was tun, wenn ein Ransomware-Angriff erfolgt ist und die Cyberkriminellen Daten bereits gestohlen, manipuliert oder verschlüsselt haben? Zahlen oder nicht zahlen? Es geht dabei nicht um wenig Geld, was in der Summe umso deutlicher wird. Schätzungen gehen von weltweiten Schäden in Milliardenhöhe aus. Der Energieversorger EDP (Energias de Portugal) wurde kürzlich Opfer einer Variante von RagnarLocker. Die Erpresser drohten damit, 10 Terabyte sensibler Daten offenzulegen oder an Interessenten zu verkaufen, und stellten eine Forderung von zehn Millionen Euro. Vom Konzern bis zum KMU kann es jedes Unternehmen treffen – mit entsprechend angepasster Lösegeldhöhe.
Lösegeldzahlung, Sanierungsversuche oder solider Business-Continuity-Plan
Für Unternehmen, die keinen soliden Wiederherstellungsplan für den Fall eines Ransomware-Angriffs aufgestellt haben, kann die Lösegeldzahlung wie die einzige Option erscheinen. Eine Wiederherstellung kann umständlich und zeitaufwändig sein, und in vielen Fällen besteht die Gefahr, dass die Backups selbst beschädigt oder verschlüsselt sind. So erscheinen die Optionen für die Betroffenen dann meist wie die Wahl zwischen Pest und Cholera: Geht das Unternehmen auf die Lösegeldforderung ein, wird das cyberkriminelle Geschäftsmodell weiterhin finanziert. Zudem besteht die Gefahr, als attraktives Opfer im Visier der kriminellen Akteure zu bleiben. Die andere Möglichkeit ist eine riskante und zeitraubende Recovery, ohne zu wissen, wie es um die Qualität der wiederhergestellten Daten und Systeme bestellt ist.
Die besonnene Alternative zu hohen Lösegeldzahlungen und riskanten Wiederherstellungsversuchen ist eine schnelle und zuverlässige Recovery mittels einer zeitgemäßen Backup-Lösung. Erforderlich ist jedoch eine überzeugende Wiederherstellungsstrategie, die erstellt und erprobt werden muss, bevor ein Ransomware-Angriff stattfindet. Eine zentrale Rolle kommt einem soliden Business-Continuity-Plan zu. Unternehmen müssen hierfür ein umfassendes, funktionsübergreifendes Team für die erste schnelle Reaktion zusammenstellen. Dies sollte Experten aus den Bereichen Netzwerk, Datenspeicher, Informationssicherheit, Business-Continuity-Management und auch PR umfassen. Daneben ist es essentiell, dass die IT-Abteilung regelmäßig Daten sichert, die Integrität der Backups überprüft und den Wiederherstellungsprozess regelmäßig testet.
Wenn es den Cyberangreifern gelungen ist, die präventiven Sicherheitsmaßnahmen, also die klassische IT-Security, zu überwinden, ist ein rasches und präzises Vorgehen geboten. Zunächst gilt es dabei die infizierten Rechner und Komponenten vom Netzwerk zu trennen. Die Ausbreitung der Infektion via Netzwerkkabel, WLAN oder Bluetooth muss unterbunden sowie alle externen Speichergeräte wie USB-Sticks oder externe Festplatten isoliert werden. Geräte, die sich ohne weiteres nicht vom Netzwerk trennen lassen, sollten umgehend ausgeschaltet werden. Nun geht es daran zu prüfen, ob die Backups von den Angreifern bereits manipuliert wurden. Um dies von vornherein auszuschließen, sind unveränderliche Backups das Mittel der Wahl. Als nächsten Schritt sollte das IT-Team versuchen, die Malware zu identifizieren, um die Sicherheitslücke rasch zu schließen. So ist zu klären, ob es ein Fall von Phishing war, die Angreifer eine Internetschwachstelle ausgenützt oder gestohlene Benutzerdaten verwendet haben.
Mit unveränderlichen Backups Ransomware-Angriffe ins Leere laufen lassen
Der Deutsche Städtetag betonte jüngst, dass Behörden den Lösegeldforderungen nicht nachgeben sollen. Das BSI rät ebenfalls, kein Lösegeld zu zahlen und jede Erpressung anzuzeigen. Im Ernstfall sehen trotzdem immer noch viele Unternehmen darin den einzigen Ausweg. Damit ist aber auch nicht garantiert, dass sie wieder Zugang zu ihren Daten erhalten. Es gab bereits Fälle, in denen Ransomware-Opfer erneut angegriffen oder zur Zahlung einer zusätzlichen Summe aufgefordert wurden. Alternativ versuchen betroffene Unternehmen, die Malware zu entfernen oder eine Entschlüsselung anzuwenden. Es ist aber fraglich, ob sie eine Infektion komplett ausmerzen können. Ransomware ist immer raffinierter geworden und mutiert häufig. Somit ist es weniger wahrscheinlich, dass ein passendes Entschlüsselungsprogramm verfügbar ist oder sich die Ausbreitung vollständig stoppen lässt.
Bleibt somit die dritte und wohl plausibelste Option, den Angriff mit Hilfe zeitgemäßer Backups ins Leere laufen lassen. Mit einer modernen Backup-Strategie gelingt es Unternehmen, die Wiederherstellung aus dem letzten einwandfreien Backup extrem schnell durchzuführen. Eine auf Multi-Cloud Data Control basierende Lösung, bei der Unveränderlichkeit, Folgenabschätzung und sofortige Wiederherstellung integriert sind, erweist sich hier als überaus effektiv. Dadurch ist der entscheidende Aspekt gewährleistet, dass Backups während eines Angriffs unverändert bleiben. In Kombination mit einer schnellen und zuverlässigen Wiederherstellung wird das Backup so zum Rettungsanker, auf den man sich verlassen kann – in diesem Fall sogar zu 100 Prozent.