Dienstag, März 19, 2024
spot_img
StartAktuellNach einer Ransomware-Infektion - Was typischerweise passiert und was stattdessen passieren sollte

Nach einer Ransomware-Infektion – Was typischerweise passiert und was stattdessen passieren sollte

Brentford (btn/ThreatQuotient) – Wir alle haben schon einmal den Satz gehört oder gelesen: „…die Folgen des Angriffs wären milder ausgefallen, wenn hochsichere Cloud-Dienste genutzt worden wären…“. Vor allem dann, wenn eine Organisation kürzlich von Ransomware heimgesucht wurde, wahrscheinlich Datenverlust und Ausfallzeiten erlitten hat und so schnell wie möglich wieder zum „business as usual“ zurückkehren möchte.

Die Antwort auf das Problem liegt in der Regel nicht in einer lokalen oder Cloud-Infrastruktur, sondern eher in mangelnder Sicherheitshygiene und einem Ausfall der Abwehrmechanismen. In den meisten Fällen ist es die Unfähigkeit von Organisationen, die Grundlagen der IT-Sicherheit (z.B. Patch-Management, Konfiguration des Technologie-Stacks, Sicherheitskodierungspraktiken usw.) aufrechtzuerhalten, um dem Angreifer Einhalt zu gebieten. Ob sich eine Technologie vor Ort oder irgendwo in der Cloud befindet, hat keinen Einfluss auf die Möglichkeit eines Angreifers, eine Ransomware-Infektion herbeizuführen. Beides schließt sich nicht gegenseitig aus. Tatsächlich erhöht ein Unternehmen, das Daten hastig in die Cloud verschiebt, die Wahrscheinlichkeit künftiger Sicherheitsvorfälle, da es eine weitere Angriffsfläche herbeiführt – eine, die gewaltig ist.

Cloud-Architekturen und -Konfigurationen sind komplex und anfällig für Fehlkonfigurationen und menschliche Fehler. Außerdem haben viele Cloud-Anbieter ihre eigene Verteidigungsstrategie, von der sie nicht abweichen wollen. Sie zwingt Organisationen, sich an die Vorschriften zu halten oder einen anderen Service zu nutzen. Der Wandel der Sicherheitstechnologien bringt neue Probleme für Organisationen mit sich, die es zu berücksichtigen gilt. Noch schwieriger ist es, die Risiken richtig einzuschätzen, wenn die Geschäftsführung eines Unternehmens darauf drängt, „über Nacht“ vom lokalen Betrieb auf die Cloud umzustellen.

Teams, die in die Cloud wechseln, sollten…:

  1. …die Vor- und Nachteile richtig einschätzen
  2. …die verschiedenen Cloud-Provider/Hosting-Unternehmen über mehrere Monate statt über Tage analysieren
  3. …die Richtlinien und Verfahren des Cloud-Anbieters bewerten; insbesondere, wenn es um Backups, Konfigurationsänderungen und Sicherheitsverfahren geht, wenn interne Mitarbeiter des Cloud-Anbieters nicht mehr für diesen arbeiten
  4. …einen agilen Übergang machen, d.h. es sollte ein „langsamer“ und mehrfacher Release-Übergang statt eines Übergangs „Schalter umlegen…leuchtet“ sein.

Es ist ziemlich einfach zu sagen, dass jeder Angriff milder ausgefallen wäre, wenn hochsichere Systeme verwendet worden wären. Sicherheitshygiene sind nur Referenzen und Sicherheitsgrundlagen – ausgereifte Stacks, die Pflege des Patch-Managements, Aktualisierung der Regeln und Signaturen, Verschlüsselung der notwendigen Daten, vierteljährliche Tests der Sicherungsverfahren usw. sind umso wichtiger.

Die Abwehr von Ransomware-Bedrohungen

Ransomware-Bedrohungen sind eine Form der gegnerischen Zielsetzung und unabhängig davon, dass der Angreifer sich einen Tunnel in die Organisation bahnen muss. Unternehmen müssen wachsam bleiben; besonders während der Pandemie. COVID stellt eine finanzielle Belastung für die Menschen dar, und Ransomware-Bedrohungen sind weitgehend finanziell motiviert, da sie schnell und relativ leicht zu orchestrieren sind. Raffinierte Cyberkriminelle werden größere Unternehmen mit einem größeren Buyout ins Visier nehmen, während weniger raffinierte Cyberkriminelle genauso gut Privatanwender ins Visier nehmen können, um je nach Wert der verschlüsselten Dateien (z.B. unersetzliche Familienfotos, Finanzdateien usw.) Geldsummen im Bereich von 100 Euro – oder mehr – abzuzweigen.

Aus der Sicht von ThreatQuotient müssen Unternehmen eine aktuelle Threat Intelligence vorhalten und diese IOCs und Signaturen so schnell wie möglich in ihren defensiven Stacks integrieren. Sie sollten versuchen, bösartige Aktivitäten zu blockieren oder zu erkennen, bevor der Angreifer Zeit hat, ihre Dateien abzugreifen und zu verschlüsseln.

 

Jens Breimeier
Jens Breimeier
Jens Breimaier kümmerte sich bei BTN Media um Business Development und den Aufbau von neuen Geschäftsfeldern. Er hat über 19 Jahren Erfahrung und Erfolg im Medien- und Onlinebusiness, u.a. bei Burda, Verlagsgruppe Milchstraße, Bauer Verlagsgruppe und Vibrant Media: "Ich arbeite mit Brands, Agenturen, Startups und Publishern im Online-Business und unterstütze sie beim Wachstum ihres Geschäfts sowie beim Aufbau von Know-How und Netzwerk. Meine Erfahrung als Sales- und BD-Verantwortlicher, sowie bei der Umsetzung von komplexen Aufgabenstellungen geben mir eine fachliche Basis und Kompetenz, die ich weiter geben möchte."
zugehörige Artikel

Top Artikel