Auch in jüngster Zeit sind wieder etliche Ransomware-Vorfälle publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma “zahlen oder nicht zahlen” im Vorfeld eines Angriffs an?
Wie werden sich die unterschiedlichen Formen von Ransomware-Angriffen vermutlich weiterentwickeln (Abziehen von Daten, kriminelle Auktionsseiten, Public Shaming, Auswirkungen auf die Berichterstattung nach DSGVO usw.) und welches Risiko bergen sie für Unternehmen?
Boris Cipot: „Ransomware hat sich erheblich weiterentwickelt, und das wird sie auch weiterhin tun. Zumindest solange man damit Geld verdienen kann. Nehmen Sie die Reveton Ransomware als Beispiel. Sie beginnt mit Datenverschlüsselung und sperrt den betreffenden Computer, bis das Lösegeld gezahlt wird. Reveton war in verschiedenen Sprachen lokalisiert, auf lokale Informationen abgestimmt und bot sogar lokale Zahlungsoptionen, um digitale Zahlungen zu ermöglichen. Später kamen Bitcoins hinzu. Darüber hinaus hat sich Ransomware vom einfachen Prinzip des “Ein Verschlüsselungsschlüssel für alle!” endgültig verabschiedet. Hatten Experten dann nämlich den Schlüssel einmal identifiziert, wurde er veröffentlicht und allen Betroffenen zugänglich gemacht. Heute wird ein dynamisch zugewiesenes Schlüsselsystem verwendet, das “unmöglich” oder zumindest extrem schwer zu knacken ist. Diese Entwicklungen gäbe es nicht, wenn Ransomware für die Angreifer nicht ausreichend lukrativ wäre. Unternehmen müssen sich darüber im Klaren sein, dass sie im Fokus von Angriffen bleiben. Und darüber, dass Ransomware so weiterentwickelt werden wird, dass sie maximalen Gewinn verspricht.
Wie gehen CISOs und Vorstände das Dilemma “zahlen oder nicht zahlen” im Vorfeld eines Angriffs an?
Boris Cipot: “Das hängt davon ab, was auf dem Spiel steht. Wenn sich der Angreifer Zugang zu wertlosen Daten verschafft hat, kann ein Unternehmen es sich vermutlich sparen, ein Lösegeld zu zahlen. Wenn es sich bei den Daten aber um geistiges Eigentum des Unternehmens handelt, wird die ohnehin schwierige Diskussion noch komplizierter. Man muss die gesamte operative Struktur bedenken, die mit dem jeweiligen Angriff verbunden ist. Werden die Daten gebraucht, damit das Unternehmen seine Geschäftstätigkeit aufrechterhalten kann? Sind Kunden und / oder Partner betroffen? Spielen Kunden und/oder Partner eine Rolle bei der Entscheidung? Dieses Dilemma lässt sich nicht einfach mit Ja oder Nein aus der Welt schaffen und hängt nicht zuletzt auch vom geforderten Betrag ab.“
Das könnte Sie auch interessieren:
Software Quality & Testing
Automatisiertes Testen ist heutzutage kein Hexenwerk mehr. Jedes gute Unternehmen entwickelt Software mit automatisierten Unit-Tests und Integrationstests. Es ist klar, dass neue Programmiersprachen und Verfahren die tägliche Arbeit erleichtern. Egal ob DevOps, Low-Code und was auch immer da kommen mag, das Stichwort heißt Evolution.
Deutsch, 52 Seiten, PDF 8 MB, kostenlos
Was passiert, wenn ein Unternehmen sich entschließt, kein Lösegeld zu zahlen? Welche Schritte zur Wiederherstellung muss man bei einer fortgeschrittenen Bedrohung einkalkulieren?
Boris Cipot: „Wenn es bei der Wiederherstellung nur darum geht, verlorene Daten aus einem Backup abzurufen, das vor einigen Stunden oder einem Tag erstellt worden, haben wir quasi das Best-Case-Szenario vor uns. Wenn die Daten jedoch in irgendeiner Weise mit anderen Personen verbunden sind oder vertrauliche Informationen über Kunden und Partner (wie Benutzernamen, Passwörter, Verträge usw.) preisgeben, ist der Weg zur Wiederherstellung deutlich schwieriger. Bei der Wiederherstellung nach einem Angriff geht es ja nicht nur darum, die Daten wiederherzustellen, sondern auch den Ruf des Unternehmens. Mit der Wiederherstellung beseitigen Sie gleichzeitig die Gefahren, die eine Datenschutzverletzung dieser Art für alle betroffenen Parteien, inklusive von Kunden und Partnern, mit sich gebracht hat.“
Gibt es Anhaltspunkte für die Ansicht auf den Vorstandsetagen, ein „Lösegeldtopf“ sei die bessere, einfachere oder billigere strategische Option als in adäquate Sicherheitsmaßnahmen zu investieren?
Boris Cipot: „Meines Wissens nach nicht, und das sollte auch so bleiben. Wenn Daten nicht ausreichend geschützt werden, stellt das die gesamte Existenz des Unternehmens in Frage. Sie möchten ja selbst entscheiden, welche Daten weniger schützenswert sind als andere und bei denen man das Risiko einer Veröffentlichung eingehen kann. Das hält einen Angreifer aber letztlich nicht ab, wertvolle Kundendaten oder geistiges Eigentum ins Visier zu nehmen und damit entsprechend hohe Lösegeldforderungen zu verbinden. Sich auf eine solche Strategie zu verlassen, ist absurd. Unternehmen sollten ihre Infrastruktur, ohne Wenn und Aber schützen.“
Wie entscheidet ein Unternehmen, ob es *nach* einem erfolgreichen Angriff zahlt oder nicht, unabhängig von der Strategie vor dem Angriff? Und wie gestaltet sich der Prozess der Vorfallsreaktion bis zu dem Punkt, an dem die Entscheidung für die Lösegeldzahlung fällt?
Boris Cipot: „In Fällen, bei denen eine einzelne Person zum Opfer geworden ist, wird das Lösegeld normalerweise gezahlt, um eine öffentliche Demütigung zu vermeiden. Wenn größere Organisationen Opfer einer Ransomware-Attacke geworden sind (z.B. Städte, Universitäten, Unternehmen) und das Lösegeld hoch ist, sollten professionelle Vermittler und Verhandlungsführer in die Diskussion einbezogen werden. Wenn viel auf dem Spiel steht, muss man die letztendlich erfolgreiche Bekämpfung eines Angriffs gewährleisten können. Außerdem ist der Prozess weit komplexer als nur das Lösegeld zu zahlen und die Geschäfte wie gewohnt weiterzuführen. Man muss untersuchen, wie es zu dem Angriff gekommen ist, und dafür sorgen, dass alle, die gefährdet sind, benachrichtigt werden, und man sollte Maßnahmen zur Behebung erwägen, um weitere Sicherheitsverletzungen zu vermeiden. Eine zusätzliche wichtige Überlegung ist, ob die Daten lediglich verschlüsselt und unlesbar gemacht worden sind, oder die Daten heruntergeladen wurden und sich somit in den Händen des Angreifers befinden. Nicht selten veröffentlicht ein Angreifer einige der betreffenden Daten, um die Glaubwürdigkeit des Angriffs zu belegen.“
Angenommen, ein Unternehmen hat sich entschlossen zu zahlen – wie sieht das aus Sicht der Incident Response aus und wie läuft eine Ransomware-Verhandlung in der Realität ab?
Boris Cipot: „In jedem Fall (unabhängig davon, ob das Lösegeld bezahlt wurde oder nicht) muss man angemessen mit dem Vorfall gehen. Dafür gibt es Regeln. Das Opfer muss den Angriffsvektor identifizieren, Schwachstellen beheben und alle Betroffenen benachrichtigen. All das muss innerhalb eines gesetzlich festgelegten Zeitrahmens geschehen. Bei weitreichenderen Vorfällen werden in der Regel externe Berater zu Rate gezogen.“
Kann man sich darauf verlassen, dass die Entschlüsselung funktioniert, und zwar so, dass eine ordnungsgemäße Protokollierung und forensische Beweissicherung möglich ist und man sicherstellen kann, dass die Daten nicht durch schlechte Kodierung beschädigt wurden?
Boris Cipot: „Man kann nie zu 100% sicher sein, dass alle Schlüssel zur Freigabe der Daten funktionieren. Während des Verschlüsselungsprozesses können Fehler auftreten, die zu beschädigten Dateien oder Daten führen.“
Kann man Cyberkriminelle beim Wort nehmen, dass gestohlene Daten gelöscht und nicht verkauft oder weiter genutzt werden?
Boris Cipot: „Hier sprechen Sie ein großes Dilemma an. Eine Möglichkeit, es zu betrachten, ist das Geschäftsmodell des Angreifers. Wenn der Angriff nicht funktioniert, wird er zukünftige Kunden verlieren. Sein Ziel ist es, Geld zu verdienen. Daher sollten Unternehmen nicht auf professionelle Verhandlungsführer und Vermittler verzichten. Sie wissen, wie man mit solchen Situationen umgeht und wie man die Bedingungen der Vereinbarung am besten verhandelt.“
Wie sieht es mit der ethischen Seite solcher Verhandlungen aus? Ist das nicht eine Einladung zu weiteren Angriffen, die man dann sogar mitfinanziert
Boris Cipot: „Sich von einem Angriff zu erholen, ist eine Möglichkeit, Resilienz für zukünftige Angriffe aufzubauen. Wenn ein Angreifer eine neue Technik eingesetzt hat, um sich in den Besitz der Daten seiner Opfer zu bringen, sollte man diese Erkenntnisse über alle geeigneten Sicherheitskanäle verbreiten, um ähnliche Angriffe zu verhindern. Leider werden die gewonnenen Erkenntnisse längst nicht immer einbezogen. Wir haben oft genug Fälle beobachtet, bei denen Daten aufgrund einer Fehlkonfiguration im System ungeschützt waren. Dadurch war es den Angreifern möglich mit erweiterten Zugriffsberechtigungen innerhalb der kompletten Infrastruktur zu operieren.“