Ransomware: Weder unvermeidlich noch hochentwickelt

Ich bin es leid, mich immer und immer wieder mit Ransomware auseinandersetzen zu müssen. Seit Jahren geht das nun schon so. Offensichtlich werden wir diese Plage der Cybersicherheit einfach nicht los. Im Gegenteil: Mittlerweile hat diese Angriffsart es sogar schon in die Tagesschau und ins Feuilleton geschafft. Aber warum nur? Klar, die enormen Schäden mit spürbaren Auswirkungen auf das Leben auch solcher Menschen, die nichts, aber auch gar nichts mit IT zu tun haben. Aus der Security-Perspektive ist Ransomware allerdings eher unter die Kategorie „simpel“ zu verorten.

Ransomware-Angriffe haben sich verändert

Ja, Ransomware hat sich in den letzten Monaten deutlich weiterentwickelt. Die Taktiken haben sich von einer schnellen, „schmutzigen“ Verschlüsselung hin zu perfideren Angriffen entwickelt, in deren Verlauf zunächst Daten entwendet werden, um mit deren Veröffentlichung zu drohen. Im Zentrum steht aber nach wie vor die Verschlüsselung der Daten und damit die Störung der Betriebsabläufe. Im Grunde bleibt die Angriffsart recht einfach gestrickt – und ist eigentlich vermeidlich.

Warum ist sie dann aber präsenter denn je? Weil einige Stationen der Cyber Kill Chain auch dieses Angriffs letztlich nie komplett verhindert werden können, Unternehmen aber nach wie vor versuchen, diese Schwachstellen zu schließen. Wir reden hier in erster Linie von der „Schwachstelle Mensch“. Zugegeben ein schrecklicher Begriff. Ich lege mich fest: Wir werden es nie schaffen, menschliches Versagen aus der Gleichung zu bekommen. Egal wie wir uns anstrengen, egal welche technischen Hilfsangebote wir entwickeln. Irgendein Nutzer wird immer auf irgendeinen Angriff hereinfallen. Egal wie sehr wir sie schulen, egal wie viele Warnungen wir aussprechen. Werden dadurch Trainingsmaßnahmen überflüssig? Nein, natürlich nicht. Wie bei allen Attacken geht es darum, so viel wie möglich so früh wie möglich zu stoppen.

Fokus auf den Feind im Inneren

Dies impliziert aber auch folgende Wahrheit (die eigentlich alle Sicherheitsexperten kennen, aber viele dennoch leugnen): Angreifer werden es immer hinter den Perimeter und in die Systeme schaffen. Egal wie groß die Schlösser und wie hoch die Mauern sind. Und statt immer weiter zu versuchen, noch größere Schlösser zu entwickeln und höhere Mauern zu errichten, sollten wir unser Augenmerk darauf richten, wie wir mit dieser Situation umgehen: Dem Feind im Inneren. Denn dieser ist unvermeidlich.

Ergibt sich daraus dann nicht, dass Ransomware letztlich unvermeidlich ist? Ganz und gar nicht: Entscheidend ist, wozu Angreifer in der Lage sind, wenn sie in Unternehmensnetzwerke vorgedrungen sind. Die Vorstellung, Cyberkriminelle in den eigenen Systemen zu haben, ist sicherlich ausgesprochen unangenehm. So lange sie jedoch nichts unternehmen können, lässt es sich damit einigermaßen leben. Vor allem aber müssen wir den Schaden reduzieren, den ein Eindringling anrichten kann. Und hier spielen Zugriffsrechte eine entscheidende Rolle.

So zeigt der Datenrisiko-Report für den Finanzsektor, der bekanntlich ja durchaus eine Security-affine Branche ist, dass jeder Mitarbeiter von seinem ersten Arbeitstag an durchschnittlich Zugriff auf knapp elf Millionen Dateien hat, in größeren Unternehmen sogar auf rund 20 Millionen. Wird hier ein x-beliebiges Konto korrumpiert, hat der Angreifer also Zugriff auf mindestens 11.000.000 Dateien! Ein enormer Explosionsradius. Diesen gilt es gemäß dem Least-Privilege-Ansatz auf ein Minimum zu reduzieren. Dadurch ist die Gefahr natürlich nicht vollständig gebannt, das Risiko und das Ausmaß jedoch schon deutlich reduziert. Kommt dann noch die intelligente Analyse des Nutzerverhaltens hinzu, die auffälliges Verhalten wie das reihenweise Öffnen, Kopieren oder Verschlüsseln von Daten erkennt, lassen sich Angriffe nahezu aller Art frühzeitig erkennen und automatisiert stoppen.

Neue Bedrohung durch Double Extortion Ransomware

Was ist nun aber mit Double Extortion Ransomware, bei der die Angreifer zunächst Daten entwenden, bevor sie mit der Verschlüsselung beginnen? Stellt diese nicht die nächste Eskalationsstufe dar? Ja, natürlich. Aber auf der anderen Seite gibt sie Sicherheitsverantwortlichen die Möglichkeit, Angreifer zu identifizieren, noch bevor die Systeme ausfallen. Allerdings nur, wenn sie in der Lage sind, die Cyberkriminellen auch zu erkennen. Auch hier kommt wieder die Analyse des Nutzerverhaltens ins Spiel. Mit den richtigen Lösungen und Playbooks lassen sich auch solche Aktivitäten früh identifizieren und stoppen. In diesem Fall sogar noch bevor eine zeitaufwändige Wiederherstellung der Daten nötig wird.

Mittlerweile drängt auch die internationale Politik nach Lösungen der Ransomware-Problematik. Wenngleich Initiativen wie die des US-Präsidenten zu begrüßen sind, sollten wir uns hier keine raschen Ergebnisse erhoffen. Zu groß ist der offensichtliche Unwillen einiger Länder, hier mitzuarbeiten und beispielsweise die Verfolgung von Gruppierungen voranzutreiben. Entsprechend müssen wir in diesem Bereich selbst die Initiative ergreifen und unsere eigene Resilienz gegenüber Ransomware erhöhen. Wie beschrieben, ist dies durchaus möglich. Es bleibt zu hoffen, dass dies alle Unternehmen erkennen und umsetzen, denn keine Firma ist zu klein oder zu unbedeutend, um nicht auch Opfer eines solchen Angriffs zu werden. Vielleicht ist es wie mit der Pandemie: Ganz verschwinden wird Ransomware nie, aber wir alle wären froh, wenn sie aufgrund getroffener Maßnahmen aus den Schlagzeilen und unserem Alltag irgendwann verschwindet.