Cyberkriminelle greifen zu immer dreisteren Tricks. Ihre Angriffe - vor allem auf Unternehmen - häufen sich.
Gegen moderne Einbrecher schützen keine Alarmanlagen, Safes und Sicherheitstüren - denn die Bedrohung kommt heute zunehmend aus dem Internet. Neben Identitätsraub und CEO-Betrug greifen die Kriminellen auch auf Ransomware zurück. Dabei handelt es sich um Schadprogramme, die verhindern, dass der Computerinhaber auf private Daten auf seinem PC zugreifen kann. Für die Entschlüsselung oder Freigabe der Daten fordern die Kriminellen ein Lösegeld von den Betroffenen. Die Zahl solcher Angriffe steigt. Etwa die Hälfte der Unternehmen weltweit (49 Prozent) war 2016 mit mindestens einer Online-Erpressung konfrontiert, 39 Prozent davon wurden mittels Schadsoftware erpresst.
Meist Ransomware im Spiel
Ransomware und dadurch erpresstes Lösegeld wird mittlerweile als die für Cyberkriminelle einträglichste Angriffswaffe eingeschätzt - allein in den USA kommt diese "Wachstumsbranche" bereits auf eine Milliarde US-Dollar Jahresumsatz. Tendenz steigend, denn es gibt bereits Kriminelle, die sich nicht an Opfer, sondern an andere Kriminelle wenden und ihre Ransomware-Lösungen in den Tiefen des illegalen Darknets als Dienstleistung im Internet anbieten.
"Ransomware-as-a-Service" ist dabei umso gefährlicher - denn so brauchen die Betrüger nur ein geeignetes Opfer zu finden und können dessen IT auch gänzlich ohne Programmierkenntnisse lahmlegen. Den größten Gesamtschaden durch Ransomware erlitt bisher eine internationale Reederei: Der gesamte Gütertransport war für Tage unterbrochen, Kostenpunkt: rund 300 Millionen US-Dollar.
Hohe Dunkelziffer
Auch in Österreich schätzt das Bundeskriminalamt die Schadenssumme im dreistelligen Millionenbereich. Zugleich wird eine sehr hohe Dunkelziffer angenommen: Viele Opfer wenden sich gar nicht erst an die Polizei. Firmen, die in der Öffentlichkeit stehen, befürchten bei einem Online-Angriff immer auch einen Imageschaden und zahlen daher oft lieber das Lösegeld: Der Vertrauensverlust der Kunden könnte langfristig noch teurer kommen als der Produktionsausfall, wird in solchen Fällen intern wohl argumentiert.
So verständlich diese Überlegungen theoretisch sein mögen, so problematisch ist diese Einstellung in der Praxis: Nicht nur, weil man mit dem Lösegeld weitere kriminelle Aktivitäten mitfinanziert, sondern auch, weil ohne Zuhilfenahme externer Experten nicht gewährleistet werden kann, dass die schadhafte Software tatsächlich vollkommen entfernt wurde. Vielmehr muss das Vorgehen bei einem Angriff systematisch erfolgen und auch die Themenbereiche Vorbeugung und Schadensbegrenzung umfassen.
Zur rechtzeitigen Vorbereitung und richtigen Absicherung gegen Ransomware-Angriffe empfiehlt sich ein Fünf-Punkte-Plan. Dadurch können Unternehmen die Anfälligkeit für Ransomware-Attacken drastisch verringern und den Schutz der unternehmenseigenen IT-Systeme optimieren.
1.Gezielte Vorbereitung mit Experten
Durch gezielte Vorbereitung lassen sich Cyber-Angriffe erfolgreich abwehren. Wichtig ist es, an verschiedenen Punkten anzusetzen, um die Angriffskette zu unterbrechen.
Hier hilft es, Experten zu Rate zu ziehen. So können IT-Dienstleister durch gezielte Analysen des Darknets sowie potenzieller Branchen- oder Unternehmensziele Vorhersagen über bevorstehende Cyberangriffe machen und Unternehmen rechtzeitig davor warnen. Denn nicht jedes Unternehmen ist in gleichem Maße gefährdet: Die meisten Erpresser haben es auf Banken- und Finanzdienstleister abgesehen. Oftmals sind aber auch produzierende Betriebe unter den Angriffszielen - häufig sind es kleinere und mittlere Unternehmen.
2.Einrichtung einer umfassenden Zugriffskontrolle
Eine Firewall alleine ist zu wenig. Vielmehr braucht es Systeme für das Identitäts- und Zugriffsmanagement (IAM). Zudem sollte eine umfassende Netzwerkzugriffskontrolle sicherstellen, dass nur Geräte, die über ausreichende Sicherheitseinstellungen verfügen und die IT-Sicherheitsrichtlinien einhalten, auf Unternehmenssysteme zugreifen können. Das betrifft auch die Zugriffsrechte der Mitarbeiter: Jeder sollte über definierte Oberflächen beziehungsweise Schnittstellen Standardaufgaben erledigen können. Aber nicht jeder sollte Vollzugriff auf sensible Systeme und Daten haben. Auch hier gibt es Lösungen für alle Anforderungen, vom KMU bis zum Großkonzern - denn jedes Unternehmen hat andere potenzielle Schwachstellen.
3.Ständige Überwachung, um Gefahren zu erkennen
Unternehmen sollten Technologien implementieren, die Anomalien in der IT-Infrastruktur und eine Infiltration des Netzwerks durch Schadsoftware aufspüren - und diese ständig überwachen: Das Netzwerk muss hinsichtlich verdächtiger Anzeichen rund um die Uhr beobachtet werden, um potenzielle Angreifer zu identifizieren und abzuwehren. Zusätzliche Personalkosten entstehen dadurch nicht, denn die Arbeit übernehmen die Systeme selbst: Durch den Einsatz künstlicher Intelligenz kann die Überwachung des Datenverkehrs automatisiert und beschleunigt werden.
4.Im Ernstfall sofort reagieren und blockieren
Wenn ein Ransomware-Vorfall erkannt wird, schlägt die Stunde der Experten aus Fleisch und Blut. Sie müssen so schnell wie möglich die betroffenen Kommunikationskanäle blockieren und sämtliche infizierte Geräte unter Quarantäne stellen. Das gewährleistet, dass die Unternehmens-IT trotz eines Angriffsversuchs weiter lauffähig bleibt.
5.Daten über Back-up-
Systeme sichern
Daten, die gesichert sind, sind niemals unwiederbringlich weg: Die Einrichtung von Back-ups ist ein wichtiger Teil der Strategie für die schnelle Wiederherstellung blockierter oder entwendeter Daten. Wichtig ist es dabei aber auch, das Back-up regelmäßig auf Funktionstüchtigkeit zu überprüfen. Das Back-up-System muss zudem verhindern, dass von der Ransomware böswillig verschlüsselte Daten nach einem erfolgreich abgewehrten Angriff wieder ins System eingespielt werden. Auch das kann mit automatischen Tools erfolgen. Wichtig ist aber, sich von Experten beraten zu lassen sowie die Mitarbeiter zu sensibilisieren und entsprechend zu schulen. Die Faustregel lautet dabei: Auch die beste IT kann nur so gut sein wie der Mensch, der sie bedient.
Daniel Miedler ist IT-Sicherheitsexperte und Head of Business Unit Network Infrastructure & Security bei Dimension Data Austria, einem Service- und Lösungsanbieter für IT. Dimension Data.