Die Regierung macht endlich ernst mit Ransomware, aber was passiert als nächstes?

Die Bedrohung durch Ransomware hat über die Jahre hinweg immer weiter zugenommen. Doch erst in jüngster Zeit wird dieser Angriffsform die gebührende Aufmerksamkeit in den Mainstream-Nachrichten und damit auch von den Gesetzgebern geschenkt. Das liegt an einigen namhaften Sicherheitslücken, welche die für die IT-Sicherheit zuständigen Regierungsbeamten zunehmend nervös machen. Nach dem Angriff auf die Colonial Pipeline Anfang Mai scheint die US-Exekutive endlich die Botschaft verstanden zu haben: Die CEOs zu drängen, die Bedrohung ernster zu nehmen, und zu planen, Angriffen die gleiche Priorität wie dem Terrorismus einzuräumen.

Doch was bedeutet das für Unternehmen, insbesondere für KMUs? Für sie gibt es noch viel zu tun.

Was bisher geschah

Die Häufigkeit von Ransomware-Angriffen steigt bereits seit einiger Zeit, doch während der Pandemie haben sie einen bisher ungekannten Höhepunkt erreicht. Die schlechten Bedingungen – abgelenkte externe Mitarbeiter, schlecht gesicherte Heimarbeitsgeräte und -netzwerke, anfällige VPNs und falsch konfigurierte RDP-Endgeräte – wurden letztes Jahr rücksichtslos ausgenutzt. Besonders stark betroffen waren Krankenhäuser, Organisationen des öffentlichen Sektors, professionelle Dienstleistungsunternehmen und die Lebensmittelindustrie.

Die Angriffe auf Organisationen des Gesundheitswesens waren ein Weckruf für viele, die diese Angriffe zuvor als „eine von vielen“ Cyber-Bedrohungen abtaten, für die man eben bestimmte Prozesse anpassen und für die man sich versichern musste. Krankenhäuser wurden erpresst und dadurch Leben aufs Spiel gesetzt. Diese Tatsache enthüllte das nihilistische Streben nach Geld, das die meisten Bedrohungsgruppen antreibt. Auch der jüngste Angriff auf eine große Treibstoffpipeline an der Ostküste der USA machte deutlich, welche Auswirkungen Cyberangriffe in der physischen Welt haben können: Die Kraftstoffpreise stiegen mehrere Tage lang an, da die Engpässe anhielten.

Die Regierung wird aktiv

Ein Wechsel an der Spitze der US-amerikanischen Regierung hatte quasi über Nacht spürbare Auswirkungen auf diese Situation. Präsident Biden erließ eine der detailliertesten und weitreichendsten Executive Orders (EOs) zur Cybersicherheit, um die Best Practices in der Bundesregierung und ihrer Lieferkette zu verbessern. Schritte wie Multi-Faktor-Authentifizierung (MFA), Endpoint Detection and Response (EDR), eine starke Verschlüsselung sowie eine obligatorische Ereignisprotokollierung sicherten ihm weitreichendes Lob aus der Cybersicherheitsbranche.

Darauf folgte die Schaffung einer DoJ Ransomware and Digital Extortion Task Force, die bereits einen großen Coup erzielen konnte, indem sie dazu beitrug, mehr als die Hälfte der an die Angreifer der Colonial Pipeline gezahlten Mittel zu beschlagnahmen. Und wie bereits erwähnt, plant die Regierung künftig den Kampf gegen Ransomware zu verstärken.

Welche Auswirkungen haben diese Veränderungen? Künftig soll die Abwehr gegen Angriffe zentralisierter und durch die DoJ Task Force koordiniert werden, damit die verantwortlichen Akteure identifiziert und verfolgt und die Gegenmaßnahmen verbessert werden können. Das ist schon einmal ein guter Anfang, doch es gibt noch viel zu tun. Ein Großteil des Problems besteht darin, dass es immer noch Cyber-Versicherungen zur Finanzierung von Lösegeldzahlungen gibt. Solange ein solcher Mechanismus vorhanden ist, gibt es für Unternehmen nicht wirklich einen großen Anreiz, ihre grundlegenden Security-Vorkehrungen anzupassen. Dafür müssten die Versicherer in ihren Policen schon konkrete Einschränkungen aufstellen.

Die Regierung könnte viel tun, indem sie neben Evil Corp mehr Ransomware-Gruppen auf die Sanktionsliste des Office of Foreign Assets Control (OFAC) des Finanzministeriums setzt. Dadurch wäre es Versicherern und Opfern nicht erlaubt, bestimmte Akteure auszuzahlen. Das würde wiederum dazu beigetragen, die Eintrittsbarriere für angeschlossene Gruppen zu erhöhen, die heute die meisten Ransomware-Aktivitäten durchführen.

Was Unternehmen tun sollten

Die Regierung kann auch mehr tun, um kleinen und mittelständischen Unternehmen zu helfen, auf diese Herausforderungen zu reagieren. Obwohl die großen Datenschutzverstöße natürlich auch die größte mediale Aufmerksamkeit erhalten, sind es kleinere Unternehmen, die heute die Mehrheit der Opfer bilden. Aus diesem Grund liegt die durchschnittliche Lösegeldzahlung im Bereich von Hunderttausenden und nicht von Millionen von Dollar. Die stellvertretende Nationale Sicherheitsberaterin für Cyber, Anne Neuberger, schrieb kürzlich einen offenen Brief an die Wirtschaftsführer, in dem sie sie aufforderte, mehr zu tun.

Doch wenn Sie Inhaber eines KMU sind und nach der globalen Finanzkrise nur begrenzte Ressourcen zur Verfügung haben, können Sie dann überhaupt etwas tun? Die gute Nachricht ist, dass Best-Practice-Security nicht kostenaufwendig sein muss. Das britische National Cyber Security Centre (NCSC) hat einige weise Ratschläge. Das Centre empfiehlt:

• Regelmäßige Backups gemäß der Best-Practice-Regel 3-2-1


• E-Mail- und URL-Filter zur Reduzierung der Bedrohung durch Phishing


• Verbesserte Schulungen zur Cybersicherheit und Programme zur Schärfung des Sicherheitsbewusstseins


• Multi-Faktor-Authentifizierung (MFA) an allen Remote-Netzwerkzugriffspunkten


• Zeitnahes Patchen aller bekannten Schwachstellen


• Anwendung des Prinzips der geringstmöglichen Zugriffsrechte für den Fernzugriff


• Trennung veralteter Plattformen vom restlichen Netzwerk


• Aufstellen und regelmäßiges Testen eines Incident-Response-Plans


• Deaktivierung oder Einschränkung von Makros und Skriptumgebungen

Viele dieser Schritte können im Rahmen eines Zero-Trust-Ansatzes implementiert werden, der eine immer beliebtere Methode zur Risikominimierung in einer neuen Welt des verteilten Arbeitens und von Cloud-Anwendungen darstellt. Unabhängig von Ihrer zukünftigen Strategie ist es an der Zeit, Ransomware als eine Bedrohung ersten Ranges zu erkennen.