[datensicherheit.de, 16.12.2021] „Die aktuellen, alarmierenden Meldungen in Sachen Cyber-Sicherheit sowie bisher unbekannter Sicherheitslücken und Schwachstellen werfen nicht nur ein Schlaglicht auf das Thema IT-Sicherheit – sondern werfen auch Fragen auf, wie Unternehmen nach einem Angriff schnell wieder auf die Beine kommen.“ In den vergangenen Monaten seien zahlreiche Fälle bekanntgeworden, „in denen Unternehmen mehrere Wochen benötigten, um ihrer Daten wirklich wieder Herr zu werden“. Markus Grau, „Principal Technology Strategist“ im „EMEA CTO Office“ bei Pure Storage, warnt in seinem aktuellen Kommentar, dass Cyber-Angriffe auf Unternehmen und sich Störungen der Lieferketten fortsetzen werden.

Foto: Pure Storage

Markus Grau: Wir erwarten weitere Störungen der Supply Chains durch Cyber-Kriminelle!

Zuverlässige, robuste Datensicherheitsstrategie für Unternehmen!

„Angesichts von geforderten Lösegeldern, die oft in die Millionen gehen, ist es kaum verwunderlich, dass die Ransomware-Angriffe weiter zunehmen“, so Grau. Den meisten Unternehmen sei klar, „dass Angriffe unvermeidlich sind“.
Bei der Vorbereitung auf diese Angriffe sollte es jedoch nicht nur um Prävention gehen. Unternehmen sollten sicherstellen, dass sie über eine zuverlässige, robuste Datensicherheitsstrategie verfügen. Im Jahr 2022 werde sich der Fokus der Unternehmensführungen auf die Wiederherstellung von Daten und Anwendungen nach Ransomware-Angriffen richten.

Angriffe auf die Datensicherheit der Unternehmen aus allen möglichen Richtungen

Wir lebten heute in einer Welt, in der Cyber-Kriminelle Unternehmen aus allen möglichen Richtungen angriffen und infiltrierten. Sie setzten dabei eine erschreckend breite Palette von Techniken ein. Die Angreifer würden immer kreativer und richteten mit ihren Angriffen immer größeren Schaden an.
Grau: „Für das nächste Jahr erwarten wir, dass Hacker es auf die Daten mit dem größten Wert für das jeweilige Unternehmen abgesehen haben. Natürlich sind nicht alle Daten gleichwertig – das wissen die Kriminellen.“

Warnung vor strategischen Angriffen auf das gesamte Unternehmen und dessen Datensicherheit

Die Störungen der Lieferketten werden sich laut Grau zudem fortsetzen: „Wir erwarten weitere Störungen der ,Supply Chains‘ durch Cyber-Kriminelle.“ Dies werde sowohl durch Angriffe auf Software als auch durch strategische Angriffe auf das gesamte Unternehmen – und nicht nur auf Daten – geschehen.
Abschließend warnt Grau: „Ziel ist es, die gesamte IT-Management-Umgebung zu kompromittieren oder ein Unternehmen zu zwingen, den Geschäftsbetrieb einzustellen, um somit erheblichen Schaden zu verursachen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.11.2021
Aus aktuellem Anlass: 7 Tipps zu Ransomware-Angriffen für Unternehmen / Michael Scheffler gibt Betrieben Tipps, wie ein Ransomware-Angriff abgewehrt bzw. dessen Auswirkungen reduziert werden können

datensicherheit.de, 28.09.2021
Ransomware: 5 Tipps für Unternehmen, um sich zu schützen / Tanja Hofmann gibt fünf aktuelle Tipps, wie Organisationen ihre IT-Sicherheit verbessern können

[datensicherheit.de, 15.11.2021] Jeder Ransomware-Angriff bzw. jede Verletzung der Datensicherheit hat ein „Davor“, ein „Während“ und ein „Danach“ – um sich in jede dieser Phasen schützen zu können, gelte es auch zu wissen, wie ein Angriff abläuft, so Pure Storage – und gibt in einer aktuellen Stellungnahme eine Beschreibung sowie Hinweise zur Planung des Verhaltens im Notfall.

Notfallplan in die Tat umsetzen und Schritte zur Schadensminimierung vornehmen!

Ohne Prävention gehe es nicht, aber nur mit Prävention gehe es auf keinen Fall… So – oder so ähnlich – ließen sich die jüngsten Erfahrungen vieler Unternehmen mit der Bedrohung durch Ransomware-Attacken zusammenfassen.
Nachfolgend wird der Verlauf eines Angriffs erläutert und ausgeführt, welche kritischen Entscheidungen Unternehmen treffen müssten, an wen sie sich zuerst wenden und welche weiteren wichtigen Schritte sie bei der Reaktion tätigen sollten. Ziel sei es, den Notfallplan in die Tat umzusetzen und Schritte zur Schadensminimierung vorzunehmen.

Basis der Planung: Was genau während eines Cyber-Angriffs passiert

Pure Storage beschreibt, was genau in der Phase passiert, wenn die „Alarmglocken läuten“ und Unternehmen von einem Cyber-Angriff oder einer Sicherheitsverletzung betroffen sind:

Einnisten der Angreifer in der Zielumgebung
Nachdem sie eine Kampagne gestartet haben, nisteten sich die Angreifer in der Zielumgebung ein. Sie könnten sensible Dateien exfiltrieren, um sie in einem zweiten Angriff zu verwenden, wenn die Verschlüsselungskampagne nicht erfolgreich ist oder um mehr Geld zu fordern.

Einsatz von Exploit-Toolkits für erweiterten Zugriff
Angreifer könnten sogenannte Exploit-Toolkits verwenden, um sich erweiterten Zugriff (d.h. Administratorenzugriff) auf die Umgebung zu verschaffen.

Aufspüren der wichtigsten Systeme
Sobald sie in der Zielumgebung sind, würden sie wichtige Systeme identifizieren, darunter kritische Infrastrukturen wie „Active Directory“, DNS, Backup- und primäre Speichersysteme.

Änderung der Zugangsdaten
Angreifer könnten Zugangsdaten ändern, um legitime Benutzer von den Systemen auszuschließen.

Zerstörung der Backups
Ebenso könnten sie Backups löschen oder beschädigen. Sie könnten auch Front-End-Sicherungsserver verschlüsseln, um Kataloge unbrauchbar zu machen.

Verschlüsselung primärer Benutzerdatendateien
Anschließend könnten die Angreifer die primären Benutzerdatendateien auf den Host-Systemen angreifen und verschlüsseln.

Schlüsselaspekte des Plans: Reaktion und Wiederherstellung in den frühen Stadien eines Angriffs

Zu wissen, was Ransomware-Angreifer oder Hacker vorhaben, sei der erste Schritt. „Jetzt ist es an der Zeit, in Aktion zu treten. Der genaue Wiederherstellungsplan hängt vom Unternehmen und der Sicherheitsverletzung ab, aber dieser Leitfaden der FTC (FEDERAL TRADE COMMISSION) ist ein guter Anfang.“
Zudem gebe es nationale Gesetze zur Meldung von Sicherheitsverletzungen, die Unternehmen einhalten müssten. Der eigene Leitfaden von Pure Storage soll helfen, um einige wichtige Gespräche mit dem CISO zu führen.

Planungsschritte für Unternehmen während eines Angriffs

Pure Storage nennt Planungsschritte, die Unternehmen während eines Angriffs umsetzen sollten, um den Schaden zu minimieren und die Wiederherstellung zu beschleunigen.

1. Den Angriff begrenzen und die Umgebung abriegeln!
Bei den ersten Anzeichen eines Angriffs gelte es, die betroffenen Systemkomponenten im Netzwerk zu isolieren, „indem sie vollständig abgeschaltet oder in einer privaten Netzwerk-Enklave unter Quarantäne gestellt werden“. So lasse sich die Ausbreitung stoppen und der Schaden minimieren. Indes gelte es, IT-Systeme niemals ganz herunterzufahren oder die Stromversorgung auszuschalten – dadurch werde die Möglichkeit, diese Geräte später forensisch zu analysieren, stark eingeschränkt oder ganz unterbunden.
Dann folge das Aktualisieren der Zugangsdaten und Passwörter auf sauberen Rechnern. „Falls Informationen auf der Website veröffentlicht wurden, müssen Unternehmen diese entfernen und sich an Suchmaschinen wenden, um den Cache zu löschen.“

2. Ausführung des Backup-Kommunikationsplans, falls die E-Mail-Systeme ausfallen!
Unternehmen sollten bereits einen gut definierten Kommunikationsplan aufgestellt haben, und jetzt sei es an der Zeit, ihn anzuwenden.
„Jetzt gilt es, die Führungskräfte und interne Stakeholder über den Angriff zu informieren, sei es über ein Mobiltelefon oder eine alternative E-Mail-Adresse, und so schnell wie möglich IT- und Sicherheitsteams, leitende Angestellte und externe Sicherheitsberater einzuschalten.“

3. Mobilisierung des Notfallteams!
Das Notfallteam sollte sich aus einigen wichtigen Akteuren zusammensetzen. Je nach Unternehmen könnten dies Forensik-Experten, Rechtsberater, „InfoSec“, „IT“, „Investor Relations“, „Unternehmenskommunikation“ und Management umfassen.
Alle Mitglieder dieses Teams sollten klare Anweisungen erhalten, ebenso wie die an der Wiederherstellung beteiligten Personen. Im E-Book „Hacker’s Guide to Ransomware Mitigation and Recovery“ weise der ehemalige Hacker Hector Monsegur darauf hin, dass dies besonders wichtig sei: „Andernfalls sind Netzwerk- und Systemadministratoren auf ihr eigenes Urteilsvermögen angewiesen, um die Bedrohung zu neutralisieren, was meiner Erfahrung nach in der Regel ineffektiv oder sogar katastrophal ist.“

4. Aktivierung eines externen Kommunikationsplans!
Nun sei es an der Zeit, sich mit wichtigen Partnern und Behörden in Verbindung zu setzen. Unternehmen könnten externe technische Partner zur Unterstützung heranziehen, einschließlich ihres Speicheranbieters und anderer IT-Anbieter. „Wenn Geschäftsführer nach einem Angriff mit den Medien, Aufsichtsbehörden und der Rechtsabteilung zusammenarbeiten, ist es hilfreich, eine aktualisierte Liste mit Kontakten in den lokalen Büros der Strafverfolgungsbehörden zu führen.“ Der ebenfalls kontaktierte Cyber-Versicherungsanbieter könne die Deckungen und Einschränkungen erläutern.
Ebenso sei es ratsam, sich gegebenenfalls mit den örtlichen Behörden in Verbindung zu setzen, um etwaige Compliance-Verpflichtungen zu genügen und möglichen Bußen vorzubeugen.
Unternehmen sollten auch ihren Plan zur Benachrichtigung der betroffenen Kunden vorstellen. „Möglicherweise haben sie eine Mitteilung verfasst, um die Informationen zu teilen, zu deren Weitergabe sie verpflichtet sind“ – und Empfehlungen für die Betroffenen formuliert, um klar darzulegen, was als nächster Schritt folgen soll.

5. Start des forensischen Prozesses!
Monsegur: „Vorausgesetzt, Sie verfügen über alle geeigneten Netzwerküberwachungsinstrumente wie SIEMs und Protokolle, kann ein gut geschultes Personal, das nach Anomalien und Ereignissen sucht, einen Angriff in Aktion erkennen.“ Sicherheits- und Zugriffsprotokolle könnten helfen, die Quelle eines Angriffs schnell zu identifizieren. Diese Protokolle könnten auch als Nachweis für die Einhaltung gesetzlicher Vorschriften dienen. „Daher sollten Unternehmen sicherstellen, dass Daten angemessen geschützt sind, auch vor dem Löschen.“
Nun gelte es, die betroffenen Geräte für die forensische Überprüfung zu priorisieren. Das Sicherheitsteam sollte feststellen, „welche Art von Angriff gestartet wurde und in welchem Umfang die Umgebung davon betroffen ist“. Je eher dies geschieht, desto eher könne das Team Patches anwenden und auch ein sauberes Backup wiederherstellen. Danach könnten Unternehmen den Wiederherstellungsprozess in einer gestaffelten Umgebung beginnen.

Tipp: „Bereiten Sie Ihre Umgebung auf spätere Untersuchungen mit Ihren Anbietern oder den Strafverfolgungsbehörden vor“, rät Monsegur. Wenn ein Unternehmen mit der Durchführung einer Untersuchung beauftragt wurde, sei sicherzustellen, dass es eine Übergabe zwischen diesem Unternehmen und den Strafverfolgungsbehörden gebe.

6. Einsatz der gestaffelten Wiederherstellungsumgebung!
Nun sei es an der Zeit, mit der eigentlichen physischen Wiederherstellung zu beginnen. Im Rahmen des Wiederherstellungsplans für den Katastrophenfall sollten Unternehmen eine Wiederherstellungsumgebung einrichten, „die bereits getestet wurde und einsatzbereit ist, damit sie nach einem Ereignis sofort wieder online gehen können“. Dazu gehöre auch eine Sichtverbindung zu neuer Hardware und Systemen, da es keine Garantie dafür gebe, dass sie ihre vorhandene Ausrüstung oder Hardware weiterverwenden könnten. Diese könnte von Behörden oder Ermittlern als Beweismittel beschlagnahmt worden sein oder müsse unter Quarantäne gestellt werden.
Mit „SafeMode-Snapshots“ könnten Unternehmen außerdem sofort mit der Wiederherstellung von unveränderlichen Backups ihrer Daten beginnen. Während eines Schadens-Ereignisses sei diese Funktion besonders wichtig, damit Angreifer sie nicht daran hindern könnten, schnell wieder online zu gehen.

Gut geplant auf die Wiederherstellung vorbereitet sein

„Wenn Unternehmen wissen, mit welchen Herausforderungen sie zuerst konfrontiert werden und welche Sofortmaßnahmen sie in der Frühphase eines Angriffs ergreifen können, können sie Verluste, Kosten und Risiken minimieren.“
Eine entsprechende Plattform für „Storage“ und „Data Management“ könne helfen, in der „Während“-Phase schnell zu handeln. Dazu trage beispielsweise eine ständige Verschlüsselung der Daten im Ruhezustand bei, ohne Leistungseinbußen oder Verwaltungsaufwand. Da sich gesicherte Daten nicht ändern oder löschen ließen, „ist deren Wiederherstellbarkeit gewährleistet, worauf es letztlich ankommt“.

Weitere Informationen zum Thema:

FEDERAL TRADE COMMISSION
Data Breach Response: A Guide for Business

PURESTORAGE
10 Questions to Ask Your Security Team / Guidance for creating a better security strategy for your organization

PURESTORAGE
E-book / Hacker’s Guide to Ransomware Mitigation and Recovery

[datensicherheit.de, 03.11.2021] Offensichtlich können es unzureichende Richtlinien zur Einhaltung von Datensicherheit Ransomware-Angreifern erleichtern, Daten von Unternehmen als Druckmittel zu benutzen – einige Angreifer gehen inzwischen zu erpresserischen Taktiken über: Anstatt Dateien einfach nur zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. So bringen sie das geschädigte Unternehmen in eine Lage, in der Geldbußen sowie eine Rufschädigung seiner Marke drohen. Pure Storage betont in einer aktuellen Stellungnahme: „Aus diesem und vielen anderen Gründen sind die Einhaltung von Vorschriften und die Informationssicherheit eng miteinander verwoben.“ Die Einhaltung von Datenschutz-Bestimmungen werde damit zu einer noch wichtigeren Säule jeder Sicherheitsstrategie. Die nachfolgende kurze Liste von Pure Storage zeigt demnach „Best Practices“, also bewährte Maßnahmen auf, welche Unternehmen helfen sollen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.

1. Tipp: Erstellen eines Compliance-Frameworks

„Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt.“ In ähnlicher Weise biete ein Compliance-Framework eine Struktur für alle „Compliance“-Vorschriften, welche sich auf ein Unternehmen beziehen, „z.B. wie interne Compliance- und Datenschutzkontrollen zu bewerten sind“. Ein solches Rahmenwerk helfe auch bei der Identifizierung von Daten, z.B. von personenbezogenen oder sensiblen Daten, welche strengere Sicherheitsprotokolle erforderten.

2. Tipp: Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum

Dieser Schritt sei Teil der Erstellung eines Rahmenwerks. Es gebe viele Gründe, „das Was und das Warum der Datenerfassung zu dokumentieren“. Die Aufsichtsbehörden könnten verlangen, dass solche Richtlinien festgelegt werden – „wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden (siehe Nr. 4)“.

3. Tipp: Erstellen von Datenschutzrichtlinien

„Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwendet werden und wie und wie lange sie gespeichert werden.“ Kunden sollten auch drüber informiert werden, wie sie Zugang zu ihren persönlichen Daten erhalten oder „vergessen“ werden können, „d.h. wie ihre Daten aus den Systemen entfernt werden“.

4. Tipp: Verstärken des Engagements für die Offenlegung

„Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.“

5. Tipp: Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die „Compliance“ auswirken, bleiben

Ein „Privacy by Design“-Betriebsmodell könne helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. „Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.“

6. Tipp: Richtlinien zur Aufbewahrung und Löschung von Daten festlegen

Dieser Schritt sei von entscheidender Bedeutung. „Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren.“ Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichne sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickele, die ständig überprüft würden.

7. Tipp: Ein Datenverschlüsselungsprotokoll wählen

„Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der ,Cloud‘ etc.“ Je nachdem, wo die Daten gespeichert sind, könnten die Entscheidungen unterschiedlich ausfallen.

8. Tipp: Mit dem CISO über Netzwerkkontrollen sprechen

Da „Compliance“ eng mit Sicherheit zusammenhänge, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.

9. Tipp: Anonymisierung sensibler Daten

Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.

10. Tipp: Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden

Entsprechend der DSGVO seien solche Benachrichtigungen obligatorisch – „und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft“. Es gelte festzulegen, „wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern“.

Fazit zu den Tipps von Pure Storage

Die Nutzung von Daten sei mit immensen Möglichkeiten verbunden, aber auch mit Verantwortung: „Unternehmen, die an die Weisheit ,Daten sind das neue Öl‘ glauben, müssen auch die ,Compliance‘ berücksichtigen, denn anderenfalls gehören die Daten vielleicht nicht mehr lange dem Unternehmen.“