Cyberattacken – die 10 größten Irrtümer über Ransomware & Co.

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Cyberattacken – die 10 größten Irrtümer über Ransomware & Co.

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Wir sind doch viel zu klein. Oder: Unser Endpoint-Schutz hält ja auch die Angreifer vom Server fern. Oder: Unsere Backups sind vor Ransomware sicher. Das Sophos Rapid Response Team trifft beim Kampf gegen Cyberattacken immer wieder auf Fehleinschätzungen. Nachfolgend die zehn größten Irrtümer.
Cyberattacken Endpoint-Management Compliance-Anforderungen Verschlüsselungsverfahren

Quelle: SWKStock/Shutterstock

Ob groß oder klein – in fast allen Unternehmen und Organisationen, die das Sophos Rapid Response Team zu Hilfe rufen, tauchen Irrtümer bezüglich der IT-Sicherheit auf. Die zehn häufigsten Fehleinschätzungen an der Front gegen gegen Cyberattacken im letzten Jahr haben die Experten von Sophos zusammengefasst und bewertet.

1. Wir sind als Opfer doch viel zu klein für Cyberattacken

Viele Opfer von Cyberattacken halten sich für zu klein, zu uninteressant oder wenig lukrativ, um bedroht zu sein. Kriminelle nehmen darauf wenig Rücksicht. Jede Person oder jede noch so kleine Firma mit digitaler Präsenz und Einsatz von Computern ist ein potenzielles Opfer. Die meisten Cyberattacken durch Hacker erfolgen kaum im spektakulären James-Bond-Style mit Nationalstaat-Einbindung. Vielmehr üben sie Opportunisten auf der Suche nach leichter Beute aus. Zu den beliebtesten Zielen zählen Unternehmen mit nicht gepatchten Sicherheitslücken oder Fehlkonfigurationen.

Wer denkt, er sei als Ziel zu unbedeutend, sollte noch heute sein Netzwerk nach verdächtigen Aktivitäten durchforsten – wie beispielsweise nach der Anwesenheit von Mimikatz (eine Open-Source-Anwendung, die es dem Anwender erlaubt, Authentifizierungsdaten anzusehen und zu speichern) auf dem Domain Controller, um frühe Anzeichen eines möglichen Angriffs zu bemerken.

2. Endpoint-Software schützt vor Cyberattacken

Wirklich? Die Haltung, dass Endpoint-Schutz ausreicht, um Gefahren zu stoppen und Server keine eigenen Sicherheitsmaßnahmen benötigen, nutzen Angreifern gern aus: Jeder Fehler in der Konfiguration, beim Patchen oder der Sicherheit, macht Server zu einem Ziel höchster Priorität für Hacker. Die Liste der Angriffstechniken, mit denen versucht wird, Endpoint-Security-Software zu umgehen oder zu deaktivieren und eine Erkennung durch IT-Sicherheitsteams zu vermeiden, wird von Tag zu Tag länger.

Beispiele hierfür sind von Menschen durchgeführten Cyberattacken, die Social Engineering und viele weitere Schwachstellen ausnutzen, um sich Zugang zu verschaffen. Im Gepäck: verschleierter Schadcode, der direkt in den Speicher injiziert wird, „dateilose“ Malware-Angriffe, das Laden von DLLs (Dynamic Link Library) sowie Angriffe, die neben alltäglichen IT-Admin-Tools und -techniken auch legitime Fernzugriffsagenten wie Cobalt Strike verwenden. Traditionelle Antiviren-Technologien haben Schwierigkeiten, solche Aktivitäten zu erkennen und zu blockieren.

Ebenso ist die Annahme, dass geschützte Endpoints Eindringlinge daran hindern können, sich ihren Weg zu ungeschützten Servern zu bahnen, eine Fehleinschätzung. Laut den vom Sophos Rapid Response Team untersuchten Vorfällen sind Server mittlerweile das Angriffsziel Nummer eins und Angreifer können mit gestohlenen Zugangsdaten leicht einen direkten Weg zu diesen „Kronjuwelen“ finden. Die meisten Angreifer kennen sich wenig überraschend auch mit einem Linux-Rechner aus, diese sind also genauso im Fokus.

Tatsächlich hacken sich Angreifer oft in Linux-Rechner ein und installieren dort Hintertüren, um sie als sicheren Hafen zu nutzen und den Zugriff auf das anvisierte Ziel-Netzwerk zu aufrechtzuerhalten. Wenn sich ein Unternehmen nur auf die Basissicherheit verlässt, ohne fortschrittliche und integrierte Tools wie verhaltens- und AI-basierte Erkennung plus ggfs. ein rund um die Uhr von Menschen geführtes Security Operations Center, dann ist es nur eine Frage der Zeit, bis Eindringlinge an diesen Verteidigungsmaßnahmen vorbeimarschieren.

3. Verwendung robuster Sicherheitsrichtlinien

Es ist wichtig, Sicherheitsrichtlinien für Anwendungen und Benutzer zu haben. Essentiell ist allerdings, dass diese auch der aktuellen IT-Infrastruktur entsprechen und nicht völlig veraltet sind. Security-Teams müssen diese ständig überprüfen und aktualisieren, wenn neue Features und Funktionen zu den mit dem Netzwerk verbundenen Geräten hinzugefügt werden. Hier helfen Techniken wie Pen-Tests, Tabletop-Übungen und Testläufe der Disaster-Recovery-Pläne.

4. Cyberattacken: Schutz der Remote Desktop Protocol (RDP)-Server

Remote Desktop Protocol (RDP)-Server können vor Angreifern geschützt werden, indem die Ports geändert und Multi-Faktor-Authentifizierung (MFA) eingeführt werden.Nicht ganz. Der Standard-Port für RDP-Dienste ist 3389, daher werden die meisten Angreifer diesen Port scannen. Beim Scannen nach Schwachstellen werden jedoch alle offenen Dienste identifiziert, unabhängig davon, auf welchem Port sie sich befinden. Das Ändern von Ports allein bietet also wenig oder keinen Schutz.

Außerdem ist die Einführung einer Multi-Faktor-Authentifizierung zwar wichtig, erhöht aber nicht die Sicherheit, wenn die Richtlinie nicht für alle Mitarbeiter und Geräte durchgesetzt wird. RDP-Aktivitäten sollten innerhalb der schützenden Grenzen eines virtuellen privaten Netzwerks (VPN) stattfinden, aber selbst das kann eine Organisation nicht vollständig schützen, wenn die Angreifer bereits in einem Netzwerk Fuß gefasst haben. Idealerweise sollte die IT-Sicherheit die Verwendung von RDP intern und so weit wie möglich einschränken oder deaktivieren, es sei denn, seine Verwendung ist unerlässlich.

5. Blockieren von IP-Adressen aus Hochrisiko-Regionen

Das Blockieren von IP-Adressen aus Hochrisiko-Regionen wie Russland, China und Nordkorea wird wahrscheinlich keinen Schaden anrichten, aber es könnte ein falsches Gefühl von Sicherheit vermitteln, wenn Unternehmen sich nur darauf verlassen. Angreifer hosten ihre schädliche Infrastruktur in vielen Ländern, beispielsweise mit Hubs in den USA, den Niederlanden oder anderen europäischen Ländern.

6. Backups bieten Immunität vor Ransomware

Backups von Daten sind entscheidend für den Fall eines Datenverlusts, einer technischen Störung oder von Cyberattacken. Sind diese Backup-Systeme jedoch mit dem Netzwerk verbunden, sind sie in Reichweite von Angreifern. Zugleich sind sie anfällig dafür, bei einem Ransomware-Angriff verschlüsselt, gelöscht oder deaktiviert zu werden. Auch gilt es zu bedenken, dass die Begrenzung der Anzahl von Personen mit Zugriff auf die Backups die Sicherheit nicht wesentlich erhöht, da die Angreifer diese im Netzwerk wahrscheinlich schon mit Zugangsdaten ausgespäht haben.

Weiterhin ist auch bei der Speicherung von Backups in der Cloud Vorsicht geboten. In einem vom Sophos Rapid Response Team untersuchten Fall schickten die Angreifer dem Cloud-Service-Provider eine E-Mail von einem gehackten IT-Administrator-Konto. Darin forderten sie ihn auf, alle Backups zu löschen. Der Anbieter kam dieser Aufforderung nach.

Der Industriestandard für sichere Backups zur Wiederherstellung von Daten und Systemen nach einem Ransomware-Angriff lautet 3-2-1. Drei Kopien unter Verwendung von zwei verschiedenen Systemen, von denen eines zusätzlich offline ist. Ein zusätzlicher Hinweis: Offline-Backups schützen die Daten nicht vor Ransomware-Angriffen, bei denen die Kriminellen die Daten stehlen und damit drohen, sie zu veröffentlichen, anstatt sie nur zu verschlüsseln.

7. Mitarbeiter kennen sich mit IT-Sicherheit aus

Laut dem Studie „State of Ransomware 2021“ glauben 22 Prozent der Unternehmen, dass sie in den nächsten zwölf Monaten Opfer von Ransomware werden. Der Grund: Es ist schwer, Endanwender davon abzuhalten, die Sicherheit zu gefährden. Social-Engineering-Taktiken wie Phishing-E-Mails sind immer schwieriger zu erkennen. Die Nachrichten sind oft von Hand verfasst, präzise geschrieben, überzeugend und sorgfältig ausgewählt. Die Mitarbeiter müssen genau wissen, wie sie verdächtige Nachrichten erkennen können und was zu tun ist, wenn sie eine solche erhalten. Wen benachrichtigen sie, damit andere Mitarbeiter in Alarmbereitschaft versetzt werden können?

Cyberattacken Sophos
Wie der „State of Ransomware 2021″ zeigt, hängt die Möglichkeit von der Branche ab, die Verschlüsselung zu stoppen. (Grafik: Sophos)

8. Incident-Response-Teams können Daten nach Ransomware-Angriff wiederherstellen

Leider ist das recht unwahrscheinlich. Angreifer machen heute viel weniger Fehler und der Verschlüsselungsprozess hat sich verbessert. Es ist leichtsinnig, sich darauf zu verlassen, dass die Security-Spezialisten eine Möglichkeit finden, den Schaden rückgängig zu machen. Automatische Backups sind von der meisten modernen Ransomware ebenfalls betroffen und ein Wiederherstellen der Originaldaten ist damit kaum noch möglich.

9. Daten werden nach Zahlung von Lösegeld wiederhergestellt

Dieser Trugschluss ist wohl der bitterste, zeigt die Studie „State of Ransomware 2021″. Denn ein Unternehmen, das das Lösegeld zahlt, kann im Durchschnitt nur etwa zwei Drittel (65 Prozent) seiner Daten wiederherstellen. Lediglich acht Prozent erhielten alle Daten zurück, und 29 Prozent konnten weniger als die Hälfte wiederherstellen. Die Zahlung des Lösegelds ist – auch wenn es die einfachste Option zu sein scheint und womöglich durch die Cyber-Versicherungspolice abgedeckt ist – keine Lösung, um wieder auf die Beine zu kommen.

Außerdem ist die Wiederherstellung der Daten nur ein Teil des Wiederherstellungsprozesses. In den meisten Fällen legt die Ransomware die Computer komplett lahm. Deshalb müssen die IT-Verantwortlichen Software und Systeme von Grund auf neu aufbauen, bevor sie die Daten wiederherstellen können. Die Studie „State of Ransomware 2021″ ergab zudem, dass die Wiederherstellungskosten im Durchschnitt zehnmal so hoch sind wie die Lösegeldforderung.

10. Überlebt ein Unternehmen Cyberattacken, ist es sicher

Wenn ein Ransomware-Angriff überlebt wird, sind wir sicher. Dies ist leider selten der Fall. Ransomware ist in den allermeisten Fällen nur der Punkt, an dem die Angreifer das Opfer darauf aufmerksam machen, dass sie da sind und was sie getan haben. Die Angreifer waren wahrscheinlich schon Tage, wenn nicht Wochen, im Netzwerk, bevor sie die Ransomware gestartet haben. Sie haben es erkundet und Backups deaktiviert oder gelöscht. Zudem haben sie Computer mit wichtigen Informationen oder Anwendungen gefunden, die sie verschlüsseln wollen, Informationen entfernt und zusätzliche Nutzdaten oder Backdoors installiert. Das Verbleiben in den Netzwerken der Opfer ermöglicht es den Angreifern, einen zweiten Angriff zu starten. Wann immer sie wollen. (sg)

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Andere Leser haben sich auch für die folgenden Artikel interessiert

Ninox, das auf No-Code-Software spezialisiert ist, positioniert sich mit einem neuen Management-Team für die Zukunft. Als neuer CEO wurde Jürgen Thiel, vormals Geschäftsführer der Intel GmbH in Deutschland, berufen, der die internationale Expansion von Ninox voranbringen soll.
Wer denkt, sein Unternehmen ist zu klein und daher für Hacker kein lohnendes Angriffsziel, liegt falsch. Denn nicht nur große Organisationen sind von Cyberangriffen betroffen. Auch kleinere Unternehmen fallen ihnen immer häufiger zum Opfer. Die Cloud kann hier Abhilfe leisten: Provider von Cloud-Software und -Infrastrukturen übernehmen das Absichern von Daten.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Aktuelle Ausgabe

Topthema: Communication & Collaboration

Wie der produktive Sprung in die neue Arbeitswelt gelingt

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.