Ransomware-Angriffe: 5 Gründe, warum ein Schutz davor wichtiger denn je ist

Die Angriffswelle per Ransomware ließ leicht ausnutzbare IT-Schwachstellen erkennen – und zwar überall auf der Welt. Auch Deutschland war von den Angriffen stark betroffen, einschließlich des Gesundheitswesens. Spätestens seitdem ist klar, dass Ransomware-Angriffe jeden treffen können. Wo stehen wir fünf Jahre später? Ransomware ist zu einer allgegenwärtigen Bedrohung geworden, mit der alle Akteure rechnen müssen – staatliche Stellen, Unternehmen und auch andere Institutionen wie NGOs.

Deshalb ist es an der Zeit zu fragen: Was hat sich eigentlich genau in den letzten fünf Jahren geändert? Es gibt einige Faktoren, die leider weitere Ransomware-Angriffe begünstigten. Auf der anderen Seite gibt es aber auch ein zunehmendes Bewusstsein für die Bedrohung durch Ransomware und Bemühungen von Institutionen, sich durch geeignete Mittel im Vorfeld zu schützen. Hier fünf wichtige Gründe, warum Ransomware-Schutz wichtiger denn je ist.

1. Cyberkriminelle perfektionieren Ransomware-Angriffe

Ein Grund für die verschärfte Bedrohungslage heute ist die zunehmende Raffinesse der Angriffe. Menschliches Versagen, häufig ohne böse Absicht, sorgt dafür, dass Phishing weiterhin das häufigste Einfallstor für Schadsoftware darstellt. Seit WannaCry wurden allerdings die Phishing-Angriffe immer durchdachter. Cyberkriminelle wurden immer erfolgreicher damit, E-Mails und Webseiten vertrauenswürdig erscheinen zu lassen.

Zwar gibt es Anti-Phishing-Trainings für Mitarbeiter, was auch durchaus Sinn ergibt. Gerade bei besonders professionell gefälschten elektronischen Dokumenten oder Webseiten sind sie aber weitgehend wirkungslos. Eine Studie von Cloudian im Jahr 2021 kam zu dem Ergebnis, dass 65 Prozent derjenigen, die sich durch Phishing täuschen ließen, zuvor ein Anti-Phishing-Training belegt hatten. Davon abgesehen gab es auch Verbesserungen beim eigentlichen Programmcode von Ransomware, sodass automatische Tools zur Angriffsverhinderung wie Antiviren-Software und Firewalls keinen ausreichenden Schutz mehr bieten konnten.

2. Der SaaS-Trend sprang auch auf Ransomware über

Ransomware-as-a-Service macht es für Kriminellen sehr bequem, Ransomware-Angriffe auszuführen. Auch entfallen somit die nötigen Programmierkenntnisse und Angriffe lassen sich einfacher skalieren. Der Hintergrund: Professionelle Hackergruppen verkaufen ihre Dienstleistungen im Dark Web an gewöhnliche Kriminelle, die dann den eigentlichen Angriff durchführen. Es ist für staatliche Stellen sehr schwierig, diese Aktivitäten im Dark Web zu unterbinden. Im Ergebnis führt das dazu, dass Tools für Ransomware von jedem gekauft und sich in kurzer Zeit verwenden lässt – auch ohne IT-Kenntnisse. Da somit mehr Akteure Zugang zu diesen hochgefährlichen Tools erhielten, stieg die Zahl der Ransomware-Angriffe auf Unternehmen sprunghaft.

3. Kryptowährungen boten Schutz in der Anonymität

Mit dem großen Erfolg von Kryptowährungen in den letzten fünf Jahren, was Verbreitung und Marktkapitalisierung angeht, bot sich auch Cyberkriminellen eine Chance. Durch die steigende Verwendung und auch mehr legitime Anwendungsfälle von Kryptowährungen wurde der Kauf zunehmend einfacher. Zwar gibt auch zunehmend Regulierungsbemühungen. Aber grundsätzlich ist es für Cyberkriminelle heute einfacher als jemals zuvor, anonym Lösegeld in Kryptowährung zu erpressen und dann das Geld zu waschen.

Das zeigt sich auch in einem Bericht des Deutschen Zolls. Der Geldwäsche-Spezialeinheit (FIU) zufolge nehmen Geldwäsche-Verdachtsfälle, die im Zusammenhang mit Kryptowährungen stehen, immens zu. Die Dunkelziffer ist sicherlich groß, denn nicht alle Krypto-Akteure melden Verdachtsfälle gleichermaßen. Eine große Zahl an Meldungen kommt vor allem von in letzter Zeit etablierten Instituten. Das bedeutet im Umkehrschluss, dass es vermutlich genug andere, weniger regulierte Möglichkeiten für den Krypto-Erwerb gibt, die Cyberkriminelle bei ihrer Zahlungsabwicklung begünstigen.

4. Cyberkriminelle drohen auch mit Veröffentlichung der Daten

Ursprünglich war das Hauptziel von Ransomware klar: Daten zu verschlüsseln und so betroffenen Unternehmen den Zugriff auf wichtige Geschäftsdaten zu nehmen und damit wichtige Abläufe zu stören. Wenn Unternehmen kein Lösegeld zahlten, riskierten sie, den Zugang auf diese Daten zu verlieren. Inzwischen ist es aber auch weit verbreitet, dass mit der Veröffentlichung der gestohlenen Daten gedroht wird. Zusätzlich zur Störung der Betriebsabläufe ergibt sich damit eine neue Dimension: Zum Beispiel können Kunden nachhaltig das Vertrauen in die Datenschutzbemühungen eines Unternehmens verlieren und zur Konkurrenz abwandern. Zusätzlich ziehen Datenlecks hohe Strafzahlungen nach sich.

5. Ransomware-Angriffe: Unternehmen ändern ihre Datensicherungsstrategie

Als positive Veränderung ergab sich in den letzten fünf Jahren, dass Unternehmen zunehmend damit begonnen haben, ihre Strategien zur Datensicherung umzustellen. Denn herkömmliche Schutzmechanismen versagen immer öfter. Ziel muss es sein, sich schnell von einem Angriff zu erholen, und zwar ohne Lösegeld zu zahlen und ohne dass sensible Daten veröffentlicht werden.

Um dies zu erreichen, benötigen Organisationen unveränderliche Daten-Backups. Die Technologie stellt sicher, dass Daten bis zum Ablauf einer definierten Frist nicht geändert – im Ransomware-Kontext bedeutet das verschlüsselt – oder auch gelöscht werden können. Mit dieser Strategie lassen sich wichtige Daten im Ernstfall schnell aus einer intakten Sicherungskopie herstellen. Der Betrieb lässt sich wiederaufnehmen, ohne Lösegeld gezahlt zu haben. Technisch gesehen wird dies möglich durch die WORM-Technologie (Write Once, Read Many), die schon seit einiger Zeit verfügbar ist. Heutzutage kann sie anders als früher einfach implementiert werden und im Rahmen eines automatischen Backups verwendet werden.

 Auf der anderen Seite muss natürlich nicht nur der Verschlüsselung von Daten durch Kriminelle, sondern auch der Veröffentlichung entgegengewirkt werden. Deshalb müssen Daten zusätzlich von Unternehmen verschlüsselt werden, um sie zu schützen, falls sie in die falschen Hände geraten. Die Verschlüsselung muss konsequent umgesetzt werden, d. h. auch im Ruhemodus von Geräten und während der Datenübertragung gewährleistet sein.

Ransomware-Angriffe: Wie es mit den Schutzmechanismen weitergeht

Ransomware wird leider auch in Zukunft eine große Rolle spielen. Experten befürchten einen Anstieg der verursachten Schäden auf 265 Milliarden US-Dollar jährlich bis zum Jahr 2031. Auch neue Angriffsvektoren, zusätzlich zu den bereits jetzt sehr ausgereiften Methoden, sind wahrscheinlich. Laut Mick Cooper, Geschäftsführer des Cyber-Abwehr-Anbieters iSystems, gibt es noch Spielräume für die weitere Verbreitung von Ransomware. So könnten zum Beispiel kriminelle Gruppen einzelne Mitglieder direkt zu IT-Standorten von Unternehmen schicken. Dort können sie dann die Malware direkt einschleusen. Diese kann bis zur eigentlichen Remote-Aktivierung lange Zeit unentdeckt bleiben.

Insgesamt ist klar, dass sich Ransomware-Angriffe in den letzten fünf Jahren weiterentwickelt haben und dies voraussichtlich so weitergehen wird. Aus diesem Grund müssen Unternehmen und andere Akteure aktiv werden und nicht nur die Abwehr stärken, sondern auch für den Ernstfall vorbereitet sein. Das erfordert einen robusten Backup-Plan, der die Unveränderlichkeit von Daten und eine moderne Verschlüsselung sensibler Daten enthält.

Über den Autor: Sascha Uhl ist Object Storage Technologist bei Cloudian. 

Lesen Sie auch: Ransomware-as-a-Service: 5 Maßnahmen zur effektiven Abwehr von Cyberangriffen

Aufmacherbild: Rawf8 – Adobe Stock