Warum Ransomware noch immer so erfolgreich ist

Zero Trust Network Access als Lösungsansatz zur Verminderung der Anfälligkeit von Unternehmens für Angriffe

Von unserem Gastautor Nicolas Casimir, EMEA CISO bei Zscaler

[datensicherheit.de, 18.03.2021] Der Jahresbeginn mit dem Schlag der internationalen Strafverfolgungsbehörden gegen die Betreiber der Emotet-Infrastruktur täuscht über den fortlaufenden Erfolg von Cyberkriminellen mit Lösegelderpressungen hinweg. 2020 war ein produktives und durchaus profitables Jahr für die Malware-Akteure weltweit. Schätzungen zufolge kosteten die Angriffe Unternehmen im Jahr 2020 weltweit über 20 Milliarden US-Dollar. Darüber hinaus nutzten die Angreifer die Gelegenheit, Millionen von Mitarbeitern ins Visier zu nehmen, die aus Sicherheitsperspektive meist unvorbereitet ins Home-Office verlagert wurden.

Unternehmen waren wenig vorbereitet auf das Home-Office

Die meisten Unternehmen waren nicht darauf vorbereitet, plötzlich große Teile ihrer Belegschaft aus der Ferne arbeiten zu lassen. Ihre vorhandene VPN-Infrastruktur kam schnell an die Grenzen und das Remote Desktop Protokoll öffnete auch Angreifern Wege ins Unternehmensnetz. Und da Ransomware nicht nur lukrativ, sondern auch einfach von den Angreifern einzusetzen ist, nutzten diese ihre Chance. Für Erpressungstrojaner sind heutzutage umfangreiche Malware-Baukästen im Dark Web erhältlich, die nur geringe Investitionen und minimale Programmier-Kenntnisse erfordern.

Nicolas Casimir, EMEA CISO bei Zscaler, Foto: Zscaler

Ransomware floriert

Auch wenn Emotet ausgeschaltet scheint, werden zahlreiche andere Gruppierungen den freigewordenen Platz schnell einnehmen, wie beispielsweise die Macher der Ryuk- oder der Locky-Ransomware. Die Gefahr einer Ransomware-Infektion bleibt daher bestehen und Unternehmen sollten sich nicht in falscher Sicherheit wähnen. Bei erfolgreichen Angriffen müssen betroffene Unternehmen mit Datenverlusten, Systemunterbrechungen oder sogar mit einem kompletten Betriebsstillstand rechnen. Die Wiederherstellung der Kontrolle über die Systeme, Netzwerke oder Daten ist zeitaufwändig. Hinzu kommt, dass jedes betroffene Unternehmen finanzielle, betriebliche, rufschädigende und möglicherweise auch regulatorische Konsequenzen zu tragen hat. Der Schaden durch einen Ransomware-Angriff geht demnach weit über die eigentlichen Auswirkungen auf das Netzwerk hinaus.

Cyberkriminelle gehen aktuell dazu über, die sogenannte Double Extortion als wirkungsvolle Strategie anzuwenden. Bei dieser Art der Doppelerpressung werden Systeme und Daten nicht nur verschlüsselt, sondern vorab auch sensible Daten abgeführt, um mit deren Veröffentlichung im Internet drohen zu können. In einer solchen Situation müssen Unternehmen in der Lage sein festzustellen, welche Daten entwendet wurden. Hier wird die Bedeutung einer Backupstrategie deutlich. Denn ohne Sicherheitskopie der Datenbestände ist ein Unternehmen nur schwerlich in der Lage, die Brisanz eventuell entwendeter Daten einzuschätzen, geschweige denn die Systeme wiederherzustellen. Im Idealfall hat das Unternehmen zuvor bereits weitreichendere Vorkehrungen getroffen und verhindert durch Data Loss Prevention den Datendiebstahl.

Führt man sich die Folgen eines potenziellen Angriffs vor Augen, erscheint es einfacher, eine Ransomware-Attacke zu verhindern als im Nachhinein Schadensbegrenzung zu betreiben. Dennoch vertraut manches Unternehmen dafür leichtsinnigerweise nach wie vor noch auf den Ratschlag der Benutzerschulung, um Anwender vom entscheidenden Klick auf verseuchte Links oder Attachments abzuhalten.

Security Awareness und Disaster Recovery

Es stimmt zwar, dass Unternehmen von Vorfällen verschont blieben, wenn ihre Mitarbeiter nicht mehr auf verdächtige Links klicken oder Anhänge herunterladen würden. Security-Awareness Trainings allein reichen allerdings nicht aus. Im Geschäftsleben ist es zudem nicht praktikabel, den Inhalt und die Kopfzeilen jeder E-Mail zu überprüfen und jeden Schriftverkehr zu hinterfragen, der im Laufe des Tages im E-Mail-Postfach eingeht. In den Augen eines Geschäftsführers mag die Wahrscheinlichkeit eines Ransomware-Angriffs, der durch den falschen Klick eines Benutzers ausgelöst wird, gering erscheinen im Vergleich zum alltäglichen Produktivitätsverlust der Mitarbeiter.

Disaster-Recovery-Pläne und eine Backup-Strategie sollten also zu jeder Sicherheitsstrategie hinzugefügt werden. Denn Sicherheitsvorfälle oder Systemausfall, auch wenn diese unbeabsichtigt ausgelöst werden, lassen sich nie gänzlich verhindern. Beide Maßnahmen werden aber eine Infektion mit Ransomware nicht per se verhindern können, sondern lediglich deren Folgen abschwächen.

Lösungsansatz Zero-Trust

Im Gegensatz zu traditionellen Sicherheitsansätzen, Backup- und DR-Strategien kann Zero Trust Network Access (ZTNA) die Anfälligkeit eines Unternehmens für Angriffe reduzieren. Zero Trust Network Access kann als Service bereitgestellt werden, der eine identitäts- und kontextbasierte, logische Zugriffsgrenze um Anwendungen herum schafft. Anwendungen werden vor Eindringlingen abgeschirmt und der Zugriff durch Mitarbeiter wird über einen Trusted Broker beschränkt. Dieser Broker verifiziert die Identität, den Kontext und die Zugriffs-Policies eines jeden Mitarbeiters, bevor er den Zugriff zulässt. Eine laterale Bewegung durch das Netzwerk wird damit unterbunden und zusätzlich die Anwendungsressourcen vor den Augen unbefugter Dritter verborgen. Somit lässt sich die Angriffsfläche von Unternehmen deutlich reduzieren.

Darüber hinaus kann ZTNA sicherstellen, dass die Mitarbeiter beim Zugriff auf das Internet und die Unternehmensanwendungen immer das gleiche Schutzniveau haben, unabhängig davon, wo sie sich befinden oder welches Gerät sie verwenden. Der Datenverkehr wird auf seinem gesamten Weg von einem Benutzer zu einer Anwendung gesichert. In einem Zero Trust-Modell kennt das Unternehmen die Identität jedes autorisierten Benutzers, sein Gerät und die Anwendungen, die er benötigt. Die Genehmigung für den Zugriff wird auf der Grundlage dieser Faktoren erteilt. Das Konzept macht die Infrastruktur für Angreifer unsichtbar und was nicht sichtbar ist, kann auch nicht von Cyberkriminellen angegriffen werden.

Fazit

IT-Teams sollten regelmäßig überprüfen, ob ihre Sicherheitsmaßnahmen den neuen Angriffstaktiken standhalten. Die reine Investition in die Schulung von Security Awareness und Investitionen in Backup und Disaster Recovery werden Unternehmen nicht vor Ransomware schützen können. Eine mehrschichtige Sicherheitsstrategie bedeutet, dass das Unternehmen zusätzlich in vorbeugende Sicherheitsinfrastruktur investiert. Präventive Technologien wie Zero Trust spielen für die Abwehr von modernen Bedrohungen eine zunehmend wichtige Rolle.

Weitere Informationen zum Thema:

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office