SOS – Ransomware! Dieser Drei-Stufen-Ansatz schützt vor modernen Cyber-Erpressern
Es ist 1989: Mithilfe von Disketten verbreitet sich der sogenannte „AIDS-Trojaner“ der PC Cyborg-Gruppe, die ein Lösegeld zur Freigabe der verschlüsselten Daten per Post verlangt. Zwar schlägt die Aktion fehl, doch soll sie den Weg für alle folgenden Ransomware-Generationen ebnen. Seitdem hat sich in der Szene viel getan. Besonders die Ausbreitung von Kryptowährung sowie der erfolgreiche WannaCry Exploit 2017 haben der Ransomware einen enormen Beliebtheits-Boost verpasst. In den letzten Jahren hat das „Ransomware-Geschäft“ noch einmal an Vielfalt, Raffinesse und Durchschlagskraft gewonnen.
So dienen Cloud- und Software-as-a-Service (SaaS) Cyber-Kriminellen als Vorbild für ihr eigenes, sehr rentables Ransomware-as-a-Service-Geschäftsmodell (RaaS). Dabei stellen sie ihre Tools im Dark Web zur Verfügung, mit denen selbst weniger Tech-affine Interessenten auf eigene Faust Ransomware-Attacken durchführen können – entweder im Abo, gegen einen fixen Betrag oder gegen einen prozentualen Anteil des erpressten Lösegelds.
Zudem konzentrieren sich Ransomware-Gruppen heute hauptsächlich auf vielversprechende Unternehmen mit besonders attraktiven Datenschätzen – darunter Betreiber kritischer Infrastrukturen wie Krankenhäuser oder Banken. Auch Mittelstandsunternehmen geraten zunehmend ins Visier, da sie sicherheitstechnisch häufig dürftiger aufgestellt sind als große Konzerne.
Und anstatt Daten schnell zu verschlüsseln, das Lösegeld einzukassieren und zu verschwinden setzen Cyber-Kriminelle mittlerweile auf ein mehrstufiges Vorgehen. Sie nehmen sich viel mehr Zeit, um sich ungesehen durch das Netzwerk zu bewegen und sensible Daten zu stehlen. Diese dienen als zusätzliches Druckmittel, mit denen sie ihre Opfer ein weiteres Mal erpressen. Bei Nichtzahlung weichen sie auf das Dark Web aus, wo sie die Informationen teuer verkaufen.
Das langjährige Bestehen von Ransomware sowie die kontinuierliche Weiterentwicklung von Werkzeugen und Methoden beweisen, wie lukrativ das „Geschäft mit der Erpressung“ eigentlich ist. Die Zahlen sprechen ebenfalls für sich: Laut Bitkom waren 52 Prozent der deutschen Unternehmen zwischen 2022 und 2023 Opfer einer Ransomware-Attacke; elf Prozent von ihnen sind den Lösegeldforderungen sogar nachgekommen. Diese Zahlungsbereitschaft hat 2023 dazu geführt, dass Ransomware-Akteure weltweit mehr als eine Milliarde Euro erbeuten konnten – so der Crypto-Crime-Bericht 2024 von Chainalysis. Dieser finanzielle Verlust ist allerdings nicht das einzige Risiko von Ransomware-Angriffen. Gestohlene sensible Daten, ein lahmgelegter Geschäftsbetrieb, juristische Probleme aufgrund von Datenschutzverstößen: Gegen die lange Risikoliste helfen klare Regeln, Aufmerksamkeit, eine standhafte Sicherheitsarchitektur und Netzwerksichtbarkeit.
- Die Spitze des Eisbergs: Security Basics
Am Anfang einer jeden guten Strategie stehen ausgereifte Pläne. Das ist beim Thema Cyber-Sicherheit nicht anders. Zum einen gehören dazu grundlegende Cyber-Sicherheitsrichtlinien, die die Steuerung unter anderem von Firewalls, E-Mail-Scanning, Allow-Listen und Remote-Zugang definieren. Zum anderen braucht es einen Reaktionsplan (Cyber Incident Plan), in dem sämtlichen Prozesse und verantwortliche Stakeholder kommuniziert werden, die im Falle einer Ransomware-Attacke aktiv werden.
Darüber hinaus muss sich jedes Unternehmen mithilfe eines Backup- und Recovery-Plans auf den Ernstfall vorbereiten – schließlich ist es keine Frage des ob, sondern des wann. Dieser umfasst sowohl regelmäßige Backups, die sie extern – also weit weg vom eigentlichen Netzwerk – speichern, als auch Wiederherstellungsprozesse.
- Die Wasseroberfläche durchbrechen: Der menschliche Faktor
Jeder weiß, dass Software regelmäßig aktualisiert werden muss, um eventuelle Schwachstellen zu schließen. Da Ransomware in der Regel über eine Wissens- oder Aufmerksamkeitslücke in das Unternehmensnetzwerk gelangt, sollten Mitarbeitende genauso up-to-date sein. Im Rahmen von regelmäßigen, praxisnahen Awareness-Schulungen bekommt das Team alle relevanten Informationen zur aktuellen Bedrohungslage, den beliebtesten Angriffsmethoden sowie Gegenmaßnahmen an die Hand. Außerdem lernen sie, wie sie Phishing und Social Engineering erkennen und von vertrauenswürdigen Inhalten unterscheiden können.
Eine Zero-Trust-Architektur eignet sich ebenfalls ideal dafür, Cyber-Kriminellen den Weg über die Mitarbeitenden zu versperren. Denn jeder von ihnen erhält lediglich limitierten Zugang zu Unternehmensressourcen, der mittels Multi-Faktor-Authentifizierung zusätzlich geschützt werden kann.
- Das tatsächliche Ausmaß: Mit Netzwerksichtbarkeit verborgene Tiefen offenbaren
Ungeachtet dessen, welche Sicherheitsarchitektur zum Tragen kommen soll: Der Kampf gegen Ransomware ist kaum möglich, wenn die nötige Sichtbarkeit fehlt. Cyber-Kriminelle wissen sogenannte „blind Spots“ im Netzwerk auszunutzen, um sich und ihre Ransomware dort einzunisten. Aus ihrem Versteck heraus stehlen sie Daten und bewegen sich seitlich – und damit unentdeckt – durch das Unternehmensnetzwerk.
Damit sich diese Datenbewegung überhaupt ausmachen lässt, reichen herkömmliche Sicherheitslösungen allein nicht aus. Dafür braucht es ein Tool, das bis hinunter auf Netzwerkebene greift, die gesamte Umgebung, einschließlich der Blind Spots, durchleuchtet und verdächtige Aktivitäten sichtbar macht (Deep Observability). Erst wenn diese Netzwerksichtbarkeit gegeben ist, können sich Unternehmen umfassend vor verheerenden Ransomware-Angriffen schützen.