Die Einfallstore für Ransomware in Unternehmen gestalten sich sehr unterschiedlich: Unkontrollierte Schatten-IT, aber auch Phishing-Versuche per E-Mail, Telefon oder SMS sowie kompromittierte E-Mail-Accounts können Ransomware-Angriffe begünstigen.
Um sich davor zu schützen und die Cyberresilienz im Unternehmen zu stärken, sollte eine ganzheitliche Sicherheitsstrategie für On-Premises und Cloud-Nutzung etabliert werden. Dazu gehört eine durchdachte Data Protection mit integriertem Schutz vor Ransomware-Angriffen, KI-gestützter, automatisierter Prävention und einer Wiederherstellungsgarantie für den Notfall.
Für Ransomware-Attacken gegen Unternehmen oder Behörden setzen Kriminelle häufig bei den Mitarbeitern an: Social Engineering nutzt menschliche Schwächen und Fehlverhalten einzelner aus, um erfolgreich Angriffe zu platzieren. So gelingt es Angreifern zum Beispiel, dass Mitarbeiter präparierte Dokumente oder Dateien öffnen, manipulierte Webseiten besuchen oder unautorisierten Nutzern Zugang zum System gewähren.
Im erweiterten Sinn fällt auch Schatten-IT in diesen Bereich. Mitarbeiter greifen an der Firmen-Compliance vorbei auf nicht autorisierte Programme zusätzlich zur vom Unternehmen freigegebenen Software zurück, um Prozesse zu beschleunigen oder Lösungen für IT-Probleme zu finden. Oftmals sind es diese kostenlosen und cloudbasierten Programme, die dann neue Schwachstellen in der IT-Infrastruktur eröffnen. So kann Schatten-IT zwar scheinbar die Produktivität steigern und Innovationen schneller vorantreiben, doch über die Datenübermittlung und unkontrollierte Schnittstellen steigt rasch das Risiko für das gesamte Netzwerk, Opfer von Cyberattacken zu werden.
Das höchste Schadenspotenzial unter allen Malware-Arten hat laut dem Cybercrime Bundeslagebild 2022 des Bundeskriminalamts (BKA) die Ransomware. Von Angriffen mit 42 verschiedenen Ransomware-Varianten sei täglich durchschnittlich ein deutsches Unternehmen betroffen gewesen. Die Folgen können fatal sein und über mehrere Wochen andauern: finanzielle Schäden durch Produktionsausfälle, eingeschränkten Geschäftsbetrieb und Lösegeldforderungen der Täter. Weltweit beträgt laut BKA-Report die durchschnittlich gezahlte Summe an Lösegeld ca. 277.000 US-Dollar. Auch die Wiederherstellung der Geschäftsfähigkeit und die damit verbundenen Kosten sind ein wesentlicher Faktor auf dem Weg zurück in die Normalität: Ohne die Berücksichtigung von Lösegeldzahlungen beliefen sich laut dem Ransomware-Report 2023 von Sophos die durchschnittlichen Wiederherstellungs- und Bereinigungskosten pro Ransomware-Angriff auf 1,82 Mio. US-Dollar; im Einzelfall können sie weit höher liegen. Als häufigste Ursache für Ransomware-Angriffe nennt die Studie ausgenutzte Schwachstellen (36 Prozent), gefolgt von kompromittierten Anmeldedaten (29 Prozent).
Das Risiko lauert im Schatten
Doch warum fällt es Angreifern häufig so leicht, in Netzwerke einzudringen? Programme und Cloud-Dienste, die an der IT vorbei genutzt werden, sind ein Risiko für die Cybersicherheit oder erhöhen zumindest die Anzahl der potenziellen Angriffsvektoren. Denn diese individuellen IaaS-Abonnements werden nicht von lokalen IT-Teams verwaltet, sondern unterstehen mitunter den SLAs verschiedener Konzerne, Inhaber oder Entwickler. So ist es immer wieder der Fall, dass diese Technologien, insbesondere bei Cloud-basierten Anwendungen, nicht durchgehend die eigentlich erforderlichen Sicherheitsstandards und Compliance-Richtlinien erfüllen. Ransomware-Infektion können sich über ungepatchte Schwachstellen, aber auch durch die Datensynchronisation zwischen Rechenzentren auf die gesamte Infrastruktur ausbreiten.
Sollten Sicherheitsverstöße über die Cloud erfolgen, gilt: Die Verantwortung für die Cybersicherheit in der Cloud liegt beim Nutzer, also beim Unternehmen selbst, und nicht beim Cloud-Anbieter oder Hyperscaler. Der Anwender muss daher eigenverantwortlich Sicherheitsvorkehrungen treffen, wirksame Abwehrmechanismen implementieren und bei den Mitarbeitern selbst ansetzen.
Mitarbeiter auf allen Ebenen regelmäßig zu schulen und zum Beispiel für verdächtige Elemente im E-Mail-Postfach zu sensibilisieren, ist unerlässlich – neben ineinandergreifenden Abwehrmechanismen, den richtigen Tools und Protokollen ein weiteres Element, um die Cyberresilienz zu erhöhen. Einen weiteren empfehlenswerten Schutz vor Ransomware bietet das Zero-Trust-Konzept. In einer Zero-Trust-Infrastruktur gelten jeder Benutzer und jedes Programm als prinzipiell unzuverlässig. Alle Systemanfragen werden auf den Nachweis ihrer Legitimität überprüft. So wird es Kriminellen erschwert, unbefugt in das Netzwerk einzudringen.
Mit Prävention, Detektion und Backup zu besserer Cyberresilienz
Dies alles ist Teil der Prävention in einer datengetriebenen IT-Infrastruktur. Sollten die Sicherheitsmaßnahmen doch einmal überwunden werden, greift die nächste Komponente im Dreiklang der Cyberresilienz: die Detektion. Dafür sollten Unternehmen ihre Infrastruktur auf allen Speicherstandorten kontinuierlich überwachen – unabhängig davon, ob Daten in der Cloud, On-Premises oder in hybriden Umgebungen liegen. Bevor ein Angriff sein volles Potenzial entfaltet, können über den Schritt der Detektion verdächtige Handlungen identifiziert und unterbunden werden. Insbesondere KI und maschinelles Lernen sind für die automatisierte Abwehr von Schadware eine wertvolle Unterstützung. Sie scannen automatisiert die Systeme und schreiten bei verdächtigen Aktivitäten selbstständig ein, um bekannte schädliche Dateitypen sowie unautorisierte Zugriffe zu blockieren.
Der letzte Baustein der Cyberresilienz ist eine durchdachte Data-Recovery- beziehungsweise Backup-Strategie mit intelligenten Tools. Dies ist die Voraussetzung dafür, im Falle eines Falles rasch die Geschäftsfähigkeit wiederherstellen zu können. NetApps Ransomware-Recovery-Garantie kombiniert beispielsweise integrierte Sicherheits- und Ransomware-Schutzfunktionen und erweitert diese um das Versprechen der lückenlosen Wiederherstellung der verlorenen Daten im Falle eines Angriffs. Das System kann bekannte, schädliche Dateitypen und böswillige Nutzer automatisch blockieren sowie mittels Multi-Admin-Verifizierung nicht autorisierte Administratoren entkräften. Darüber hinaus ist es in der Lage, manipulationssichere Snapshots bereitzustellen, die auch vom Storage-Administrator nicht gelöscht werden können. Die platzsparenden Kopien benötigen nur wenig Speicherplatz und können auch auf einem laufenden System verwaltet werden, sodass eine höhere Sicherungs-Frequenz erreicht und die Zuverlässigkeit der Backups deutlich verbessert wird.
Zudem ist es ratsam, diese manipulationssicheren Snapshots und ihre Standorte flexibel in einer Cloud zu verwalten – und die Wiederherstellung realitätsnah zu testen. So kann ein Unternehmen im Ernstfall schnell den Betrieb wieder aufnehmen. Dem Ransomware-Report 2023 zufolge erhielten 97 Prozent der Unternehmen, deren Daten bei einem Angriff verschlüsselt wurden, ihre Daten zurück. Am häufigsten wurden sie über Backups wiederhergestellt (70 Prozent), 46 Prozent bekamen ihre Daten nach einer Lösegeldzahlung zurück und 2 Prozent setzten andere Methoden ein.
Die Zukunft der Ransomware-Abwehr: garantierte Wiederherstellung der Daten
Mit modernen Systemen gelingt es, diese drei Bausteine weitestgehend zu automatisieren. Das bedeutet weniger Aufwand für die IT-Abteilung und geringere Kosten bei gleichzeitig höherem Schutz. In fortschrittlichen Storage-Lösungen wie die von NetApp sind solche Sicherheits- und Ransomware-Schutzfunktionen bereits standardmäßig integriert. Unter Einsatz von KI und maschinellem Lernen werden böswillige oder irreguläre Handlungen proaktiv erkannt. Dadurch werden automatisch sofort zusätzliche Snapshots initiiert und eine eventuell benötigte Wiederherstellung kann innerhalb von Minuten erfolgen.
Unter Anbetracht der steigenden Ransomware-Angriffe kommen Unternehmen aller Branchen und Größen um eine umfassende IT-Sicherheitsstrategie nicht mehr herum. Mit einem Dreiklang aus Prävention, Detektion und Backup stärken sie ihre Cyberresilienz. Moderne Storage-Lösungen bieten solche Funktionen automatisiert, KI-gestützt und standardmäßig integriert an.
www.netapp.com/de