Cyberkriminelle nehmen aktuell gezielt Firmendaten ins Visier, da sie dort höheres Lösegeld erpressen können. Die Forderungen liegen oft bei mehreren Millionen Euro, hinzu kommen mögliche Folgekosten, da infizierte Geräte gesäubert und ausgetauscht werden müssen. Im Schnitt vergehen 16 Tage, bis das betroffene Unternehmen wieder vollständig am Netz ist. Auch der Ruf der Firma nimmt dabei erheblichen Schaden und verschreckt Kunden. Ein erfolgreicher Ransomware-Angriff ist für ein Unternehmen existenzgefährdend.
Das zeigt auch die aktuelle Ransomware Umfrage von Veritas, die Verbraucher gefragt hat, ob Unternehmen bei einer Attacke Lösegeld zahlen sollten, um ihre Daten freizubekommen. Der Auftrag an Unternehmen ist deutlich: Die deutschen Verbraucher wollen, dass Firmen gar nicht erst in diese Lage geraten. Sie sollen stattdessen Ransomware-Angriffe von vornherein vermeiden. Firmen, die das Vertrauen ihrer Kunden behalten wollen, müssen also auf einen Angriff vorbereitet sein, um Daten im Ernstfall wiederherzustellen. Tritt der Ernstfall dann ein, können sie dank ihrer vorher implementierten und regelmäßig getesteten Wiederherstellungsprozesse Daten zurückholen, ohne eine Sekunde an Lösegeld denken zu müssen.
Die Verbraucher erklären in ihren Antworten außerdem, wie Unternehmen ihre Daten schützen sollten: Mit Sicherheitssoftware (80 Prozent) und Sicherungskopien ihrer Daten (62 Prozent). Wenn Firmen diese Technologien einsetzen, sind sie nach Einschätzung der Umfrageteilnehmer besser in der Lage, die Folgen erfolgreicher Ransomware-Angriffe zu beheben. Denn entweder sie verhindern den Angriff oder werden immun gegen die Erpressungsversuche, weil sie ihre Daten zuverlässig wiederherstellen können.
Die aktuelle Lage: Raffinierte Ransomware trifft auf komplexe Datenverwaltung
Die jüngsten Ransomware-Attacken belegen, wie die Angreifer ihre Methoden und Werkzeuge verfeinerten und bei der Wahl ihrer Opfer selektiver vorgingen. Vor allem Gesundheitseinrichtungen, Behörden und Unternehmen, die mit sensiblen Informationen hantieren, waren und sind begehrte Ziele.
Eric Waltert, VP DACH bei Veritas, erklärt: "Firmen haben ihre Anwendungen in den vergangenen Monaten stärker in Richtung Cloud migriert, damit ihre Mitarbeiter von zu Hause auf Daten und Applikationen zugreifen können. Daten wurden in kurzer Zeit an viele neue Orte verlagert. Ihre Pflege wird dadurch aufwändiger, sie im Blick zu behalten schwieriger. Unternehmen brauchen daher flexible Tools, die automatisch einen Überblick über die gesamte Datenlandschaft von der Cloud bis zum lokalen Rechenzentrum schaffen. Dann können Firmen Reaktionszeiten bei Angriffen verkürzen und "blinde Flecken" vermeiden, die von Hackern ausgenutzt werden können. Mit präventiven Maßnahmen und effektiven Data-Management-Richtlinien sind Unternehmen gut gewappnet, Ransomware-Attacken zu erkennen und selbst bei erfolgreichen Angriffen den entstandenen Schaden stark einzugrenzen."
Das National Institute of Standards and Technology (NIST) und Veritas haben in fünf Tipps zusammengefasst, wie sich Unternehmen vor Lösegeldangriffen schützen können:
- Daten identifizieren und klassifizieren: Firmen sollten die Architektur ihrer IT-Infrastruktur ? ob On-Premise, Cloud oder Multi-Cloud - und alle dortigen Datenquellen und ihre Beziehung untereinander genau kennen. Und sie brauchen eine detaillierte Übersicht über ihre Daten: Wo sind sie gespeichert? Wie wird auf sie zugegriffen, und wie lange werden sie vorgehalten? Anhand solcher Informationen lassen sich potenzielle Schwachstellen und damit Angriffsziele schnell aufspüren. Um diese Übersicht zu erreichen, empfiehlt sich eine hardwareunabhängige Plattform für zentralisiertes Datenmanagement. Diese sollte für den Einsatz in hybriden Umgebungen geeignet sein und möglichst viele Datenquellen und Technologien zum Schutz der Infrastruktur, zur Erkennung von Angriffen und zur Datenwiederherstellung einbinden. Wichtig für die Risikobewertung sind zudem Klassifizierungsfunktionen, die einen Überblick über die Daten liefern und ihre effektive Verwaltung auch unter Sicherheitsaspekten abwickeln.
- Regelmäßig Backups anlegen: Nur wer in der Lage ist, seine kompromittierten Daten zuverlässig wiederherzustellen, wird trotz erfolgreichem Ransomware-Angriffs Lösegeldforderungen abschmettern können. Voraussetzung ist, dass Unternehmen ihre kritischen Daten auf einer hoch skalierbaren Backup-Plattform sichern, die zudem automatisierte Recovery-Mechanismen bereithält. Damit ist ausgeschlossen, dass der Geschäftsbetrieb durch die Attacke vollständig lahmgelegt wird.
Eric Waltert fügt hinzu: "Eines ist klar: Unternehmen müssen bereits einen Notfallplan in der Schublade haben, bevor der Angriff startet. Sind die Daten zuverlässig gesichert, ist ihre Wiederherstellung im Ernstfall kein Problem. Unternehmen sind gut beraten, sich an die "3-2-1-Regel" zu halten. Sie besagt, dass jede Organisation drei Kopien ihrer Daten haben sollte. Zwei davon auf verschiedenen Speichermedien und eine Offline-Kopie. Mit einer Offsite-Datensicherungslösung haben Unternehmen die Möglichkeit, ihre Daten einfach wiederherzustellen. Es gibt schlicht keine Entschuldigung dafür, auf einen Angriff nicht vorbereitet zu sein." - Angriffe erkennen und richtig darauf reagieren: IT-Sicherheitslösungen können Angriffe von außen identifizieren und sind daher unverzichtbar. Um schnell reagieren zu können, sollten IT-Verantwortliche auf typische Anzeichen einer Attacke achten - etwa einer plötzlich sinkenden Netzwerkleistung oder ein erhöhtes Spam-Aufkommen. Ein plötzlicher Anstieg der Datenmenge ist typisch für einen gerade erfolgten Ransomware-Angriff, da die verschlüsselten Dateien viel Platz benötigen. Wer solche Signale erkennt, kann sofort Gegenmaßnahmen ergreifen - etwa eine Zugriffssperre, das automatische Failover für kritische Dienste sowie Disaster-Recovery-Maßnahmen.
- Identifikation beschädigter Daten: Durch die Replizierung von Backups und ihrer Aufbewahrung in einer Offline-Umgebung ist sichergestellt, dass wieder frei zugängliche Dateien im System wiederhergestellt werden, nachdem die Attacke erkannt und abgewehrt wurde. Das Ausmaß eines Angriffes zu erkennen, ist von größter Bedeutung - sowohl für die Wiederherstellung der Daten als auch für künftige Audits.
- Regelmäßige Mitarbeiterschulungen: Mit technischen Lösungen lässt sich der Status von Servern zwar effizient wiederherstellen. Doch ein Sicherheitsrisiko bleibt: das Verhalten der eigenen Mitarbeiter. Allein der Fehler einer einzigen Person reicht aus, um das gesamte System zu gefährden. Aus diesem Grund sollten Unternehmen ihre Mitarbeiter für das Thema IT-Sicherheit sensibilisieren und regelmäßig Schulungen organisieren, um sie im Umgang mit bewährten Methoden vertraut zu machen.
Firmen müssen einen detaillierten Überblick über ihre Daten gewinnen, unabhängig davon, wo sie abgespeichert sind. Denn nur eine solche Landkarte der Daten zeigt, dass alle wichtigen Daten bekannt, in einer Sicherheitsstrategie erfasst und daher auch per Backup gesichert sind.
Ein funktionierendes Backup ist das stärkste Mittel gegen jeden Ransomware-Erpressungsversuch. Firmen sollten daher nicht nur Anti-Malware-Lösungen als erste, sondern Backup als letzte Verteidigungslinie einsetzen. Denn selbst wenn alle technischen Abwehrmaßnahmen scheitern, den Schadcode auf seinem Weg zu den Firmendaten aufzuhalten, so lassen sich die gekaperten Daten aus den Backups wiederherstellen. Das betroffene Unternehmen kann weiterarbeiten und sich darauf konzentrieren, den Eintrittsweg der Ransomware zu finden und zu sperren.