Die Regierung macht endlich ernst mit Ransomware, aber was passiert als nächstes?

Druckfreundlich, PDF & E-Mail

Die Bedrohung durch Ransomware hat über die Jahre hinweg immer weiter zugenommen. Doch erst in jüngster Zeit wird dieser Angriffsform die gebührende Aufmerksamkeit in den Mainstream-Nachrichten und damit auch von den Gesetzgebern geschenkt. Das liegt an einigen namhaften Sicherheitslücken, welche die für die IT-Sicherheit zuständigen Regierungsbeamten zunehmend nervös machen. Nach dem Angriff auf die Colonial Pipeline Anfang Mai scheint die US-Exekutive die Botschaft endlich verstanden zu haben: Sie fordert CEOs auf, die Bedrohung durch Ransomware ernster zu nehmen, und plant fortan, diesen Angriffen die gleiche Priorität einzuräumen wie Terrorismusangriffen.

Doch was bedeutet das für Unternehmen, insbesondere für KMUs? Für sie gibt es noch viel zu tun.

Was bisher geschah

Die Häufigkeit von Ransomware-Angriffen steigt bereits seit einiger Zeit, doch während der Pandemie haben sie einen bisher ungekannten Höhepunkt erreicht. Die schlechten Bedingungen – abgelenkte externe Mitarbeiter, schlecht gesicherte Heimarbeitsgeräte und -netzwerke, anfällige VPNs und falsch konfigurierte RDP-Endgeräte – wurden letztes Jahr rücksichtslos ausgenutzt. Krankenhäuser, Organisationen aus dem öffentlichen Sektor, Dienstleistungsunternehmen und die Lebensmittelindustrie waren besonders schwer betroffen.

Die Angriffe auf Organisationen des Gesundheitswesens waren ein Weckruf für viele, die diese Angriffe zuvor als „eine von vielen“ Cyber-Bedrohungen abtaten, für die man eben bestimmte Prozesse anpassen und für die man sich versichern musste. Krankenhäuser wurden erpresst und dadurch Leben aufs Spiel gesetzt. Diese Tatsache enthüllte das nihilistische Streben nach Geld, das die meisten Bedrohungsgruppen antreibt. Auch der jüngste Angriff auf eine große Treibstoffpipeline an der Ostküste der USA machte deutlich, welche Auswirkungen Cyberangriffe in der physischen Welt haben können: Die Lieferengpässe hielten über einen längeren Zeitraum an, sodass die Kraftstoffpreise für mehrere Tage stiegen.

Die Regierung wird aktiv

Ein Wechsel an der Spitze der US-amerikanischen Regierung hatte quasi über Nacht spürbare Auswirkungen auf diese Situation. Präsident Biden erließ eine der bisher detailliertesten und weitreichendsten Executive Orders (EOs) zur Cybersicherheit, um die Best Practices in der Bundesregierung und ihrer Lieferkette zu verbessern. Schritte wie Multi-Faktor-Authentifizierung (MFA), Endpoint Detection and Response (EDR), eine starke Verschlüsselung sowie eine obligatorische Ereignisprotokollierung sicherten ihm weitreichendes Lob aus der Cybersicherheitsbranche.

Darauf folgte die Schaffung einer DoJ Ransomware and Digital Extortion Task Force, die bereits einen großen Coup erzielen konnte, indem sie dazu beitrug, mehr als die Hälfte der an die Angreifer der Colonial Pipeline gezahlten Mittel zurückzugewinnen. Und wie bereits erwähnt, plant die Regierung künftig den Kampf gegen Ransomware zu verstärken.

Welche Auswirkungen haben diese Veränderungen? Künftig soll die Abwehr gegen Angriffe zentralisierter und durch die DoJ Task Force koordiniert werden, damit die verantwortlichen Akteure identifiziert und verfolgt und die Gegenmaßnahmen verbessert werden können. Das ist schon einmal ein guter Anfang, doch es gibt noch viel zu tun. Ein Großteil des Problems besteht darin, dass es immer noch Cyber-Versicherungen zur Finanzierung von Lösegeldzahlungen gibt. Solange ein solcher Mechanismus vorhanden ist, gibt es für Unternehmen nicht wirklich einen großen Anreiz, ihre grundlegenden Security-Vorkehrungen anzupassen. Dafür müssten die Versicherer in ihren Policen schon konkrete Einschränkungen aufstellen.

Es wäre auch schon viel geholfen, wenn die Regierung neben Evil Corp noch weitere Ransomware-Gruppen auf die Sanktionsliste des Office of Foreign Assets Control (OFAC) des Finanzministeriums setzen würde. Dadurch wäre es Versicherern und Opfern nicht erlaubt, bestimmte Akteure auszuzahlen. Das würde wiederum dazu beigetragen, die Eintrittsbarriere für angeschlossene Gruppen zu erhöhen, die heute die meisten Ransomware-Aktivitäten durchführen.

Schritte zur Abwehr dieser Angriffe – wie Multi-Faktor-Authentifizierung (MFA), Endpoint Detection and Response (EDR), eine starke Verschlüsselung sowie eine obligatorische Ereignisprotokollierung – erhalten weitreichendes Lob aus der Cybersicherheitsbranche.Twittern

Was Unternehmen tun sollten

Die Regierung kann auch mehr tun, um kleinen und mittelständischen Unternehmen zu helfen, auf diese Herausforderungen zu reagieren. Obwohl die großen Datenschutzverstöße natürlich auch die größte mediale Aufmerksamkeit erhalten, sind es kleinere Unternehmen, die heute die Mehrheit der Opfer bilden. Und deshalb liegt die durchschnittliche Lösegeldzahlung eher im Hunderttausender- als im Millionen-Bereich. Aus diesem Grund schrieb Deputy National Security Advisor for Cyber, Anne Neuberger, kürzlich einen offenen Brief an Wirtschaftsführer und forderte sie auf, aktiver zu werden.

Doch wenn Sie Inhaber eines KMU sind und nach der globalen Finanzkrise nur begrenzte Ressourcen zur Verfügung haben, können Sie dann überhaupt etwas tun? Die gute Nachricht ist, dass Best-Practice-Security nicht kostenaufwendig sein muss. Das britische National Cyber Security Centre (NCSC) hat hier einige nützliche Ratschläge zusammengestellt. Das Centre empfiehlt:

  • Regelmäßige Backups nach der Best-Practice-Regel 3-2-1
  • E-Mail- und URL-Filter zur Reduzierung der Bedrohung durch Phishing
  • Verbesserte Schulungen zur Cybersicherheit und Programme zur Schärfung des Sicherheitsbewusstseins
  • Multi-Faktor-Authentifizierung (MFA) an allen Remote-Netzwerkzugriffspunkten
  • Zeitnahes Patchen aller bekannten Schwachstellen
  • Anwendung des Prinzips der geringstmöglichen Zugriffsrechte für den Fernzugriff
  • Trennung veralteter Plattformen vom restlichen Netzwerk
  • Aufstellen und regelmäßiges Testen eines Incident-Response-Plans
  • Deaktivierung oder Einschränkung von Makros und Skriptumgebungen

Viele dieser Schritte können als Teil eines Zero-Trust-Ansatzes implementiert werden. Dieser Ansatz vereint verschiedene Methoden zur Risikominimierung – in einer Welt, in der verteiltes Arbeiten und Cloud-Anwendungen immer beliebter werden. Unabhängig von Ihrer zukünftigen Strategie ist es an der Zeit, Ransomware als eine Bedrohung ersten Ranges zu erkennen.

Nach oben scrollen
Twittern
Teilen
Teilen