Was wir aus den Ransomware-Angriffen 2017 gelernt haben sollten

WannaCry, Petya/NotPetya und zuletzt BadRabbit haben 2017 Unternehmen und ihre Sicherheitsverantwortlichen im permanenten Alarmzustand gehalten so dass schließlich das Gros der Endkunden darauf fokussiert und unter anderem sein Security-Budget erhöht hat. Neben finanziellen Investitionen ist es aber mindestens genauso wichtig, aus den Angriffen die richtigen Schlüsse für eine zukunftsfähige Sicherheitsstrategie zu ziehen. Was können wir also aus den Ransomware-Angriffen der letzten Monate lernen?

Lektion 1: Updates und Backups sind essenziell

Sowohl WannaCry als auch Petya/NotPetya hätten leicht verhindert werden können, wenn alle Nutzer den entsprechenden Microsoft Patch rechtzeitig heruntergeladen hätten. Und auch BadRabbit war technologisch nicht sonderlich ausgereift und hätte mit Applikations-Whitelisting, aktuellen Browsern und Standard-Sicherheitssoftware eigentlich gestoppt werden müssen. Dass wir trotzdem immer wieder von betroffenen Unternehmen hören, wirft ein schlechtes Bild auf die Sicherheitspraxis zahlreicher Firmen und Institutionen.

Bei Ransomware-Attacken spielen zudem auch Backups eine wichtige Rolle: Hier müssen Prozesse etabliert werden, um sicherzustellen, dass die Daten auf einem möglichst aktuellen Stand jederzeit wieder zurückgespielt werden können, selbstverständlich erst nachdem die Malware beseitigt wurde. Es versteht sich von selbst, kann aber offensichtlich gar nicht oft genug wiederholt werden, dass diese Sicherungen getrennt vom Unternehmensnetz und vor allem vom Internet gespeichert werden müssen. Zudem ist es sinnvoll, in regelmäßigen Abständen auch den Ernstfall einer Recovery zu proben, damit – sollte es nötig sein – alles reibungs- und fehlerlos verlaufen kann. Lektion 2: Trotz KI und maschinellem Lernen: Der menschliche Faktor bleibt ausschlaggebend

Die Mehrzahl der Angriffe geht auf „Täter von Innen“ zurück. Und damit sind keineswegs bloß diejenigen Angestellten gemeint, die absichtlich Daten stehlen oder Systeme – beispielsweise aus Rache – kompromittieren. Die überwiegende Anzahl wird versehentlich zum „malicious insider“, etwa indem sie unbekannte Anhänge öffnet. Deshalb ist die Schulung und Sensibilisierung der Mitarbeiter von größter Bedeutung (und wird im Zuge der DSGVO noch wichtiger werden). Dennoch: Auch gut geschulte Mitarbeiter sind nicht immun gegen Phishing, gerade wenn die entsprechenden Mails mittels Social Engineering dem Empfänger plausibel erscheinen. Die Zeiten, in denen man jede Phishing-Mail sofort als solche erkennen konnte, sind leider vorbei.

Dies zeigen auch Untersuchungen, etwa von Dr. Zinaida Benenson von der Friedrich-Alexander-Universität (FAU) Erlangen-Nürnberg, die seit einiger Zeit unter anderem in diesem Bereich forscht. Ihre Ergebnisse weisen ganz deutlich dahin, dass nahezu jeder in der entsprechenden Situation, meist aufgrund von Neugier und einem plausiblen Kontext, auf diese Mails hereinfallen kann.

Lektion 3: Angreifer werden weiterhin ins Innere von Netzwerken gelangen

Dies ist wohl die wichtigste Lektion: Auch wenn Ihre Systeme stets auf dem neusten Stand sind, ihre Mitarbeiter geschult und sensibilisiert sind und Sie viel Geld in ihre Sicherheitssysteme gesteckt haben: Angreifer können (und werden) es trotzdem in Ihre Systeme schaffen. Hierauf müssen Sie eingestellt sein und entsprechende (weitere) Maßnahmen ergreifen. Ein Schlüsselelement sind dabei restriktive Zugriffsrechte. So hat unser Datenrisiko-Report 2017 ergeben, dass in nahezu jedem zweiten Unternehmen die Mehrzahl aller Mitarbeiter Zugriff auf über 1.000 sensible Dateien hat. Wenn also Ransomware einen Nutzer mit diesen exzessiven Zugriffsrechten infiziert, ist sie in der Lage, all diese Daten zu verschlüsseln. Hat das Opfer hingegen nur begrenzten Zugriff, werden auch deutlich weniger Dateien betroffen (und entsprechend können Schäden leichter und schneller behoben werden). Hier sollte dringend das „need-to-know“-Prinzip umgesetzt werden und Mitarbeiter nur noch Zugriff auf die Daten erhalten, die sie wirklich benötigen. Dies alleine reduziert schon das mögliche Ausmaß einer Ransomware-Attacke.

Darüber hinaus sollte man seine Daten, die ja mit zum Wertvollsten im Unternehmen gehören, durch kontinuierliches Monitoring mit intelligenter Nutzerverhaltensanalyse überwachen. Dadurch können Auffälligkeiten erkannt, so die Angreifer im Inneren identifiziert und (automatisiert) entsprechende Gegenmaßnahmen eingeleitet werden. Einen ähnlichen Ansatz verfolgen übrigens auch Finanzinstitute sehr erfolgreich, wenn es um die Feststellung von Kreditkartenbetrug geht. Anstatt also zu versuchen, immer höhere Wände zu bauen, ist es bedeutend effektiver, sinnvolle Maßnahmen für den Fall zu ergreifen, dass es Angreifer hinter den Perimeter schaffen. Denn eines hat uns 2017 gelehrt: Sie schaffen es hinter den Perimeter.

Autor: Thomas Ehrlich, Country Manager DACH von Varonis