Schutz vor Ransomware in KMUs: eine Aufgabe von Unternehmen und Mitarbeitenden gleichermaßen
Ein Kommentar von Florian Malecki, Senior Director, International Product Marketing bei Arcserve
Eden Prairie/München, 31. August 2021 – Ransomware ist heute eine der schädlichsten und am weitesten verbreiteten Arten von Malware. Das lukrative „Geschäft“ vor Augen brechen Cyberkriminelle in Computersysteme von Unternehmen ein und verschlüsseln die Daten des Opfers. Die Daten werden dann nur gegen die Zahlung eines Lösegelds freigegeben. Ein relativ neuer Trend in der Kriminellen-Szene ist, dass zusätzlich zur Datenverschlüsselung dem Opfer auch damit gedroht wird, die geklauten Informationen auf Leak-Sites im Darknet zu veröffentlichen oder zu verkaufen. Damit wird der Druck auf die Opfer erhöht, das Lösegeld zu zahlen.
Ein prominentes Beispiel aus den USA, das einschneidende Konsequenzen hatte, und auch die Verletzbarkeit der Technologie-Infrastruktur offenlegte, war der kürzliche Ransomware-Angriff auf die Colonial Pipeline. Cyberkriminelle legten die größte US-Treibstoffpipeline lahm und sorgten vorübergehend für Treibstoffengpässe an der gesamten Ostküste. In seiner Aussage vor dem Senatsausschuss für innere Sicherheit und Regierungsangelegenheiten räumte CEO Joseph Blount ein, dass sein Unternehmen nur einen Tag nach Entdeckung der Malware fast 5 Millionen Dollar Lösegeld zahlte.
Derartige Szenarien spielen sich weltweit täglich auch bei KMUs ab. Cyberkriminelle haben nicht nur die ganz Großen im Visier. Sie zielen vielfach auf den klassischen Mittelstand ab, dessen Sicherheitsmaßnahmen und Abwehrmechanismen meist geringer und damit leichter zu durchbrechen sind. Auch hier schlummert ein lohnendes Geschäft für Cyberkriminelle und sie nutzen es weidlich aus.
Cybersecurity Ventures prognostiziert, dass der Schaden durch Ransomware bis zum Jahr 2031 die Summe von 265 Milliarden US-Dollar übersteigen wird – womit alle zwei Sekunden ein Angriff auf Unternehmen, Verbraucher:innen und die Geräte erfolgt. Die Prognose für 2021: 20 Milliarden Dollar Schaden, das entspricht einem Sprung um das 57-Fache im Vergleich zum Jahr 2015. Unabhängig davon, ob die Vorhersage exakt ist, bleibt die Botschaft gleich: Unternehmen müssen dringend effektive Lösungen für die Sicherheit implementieren und ihre Daten sichern.
Die Krux an der Geschichte ist, dass Unternehmen oft alles in ihrer Macht Stehende tun, um Ransomware und andere Malware zu verhindern. Doch leider sitzt vielfach die größte Sicherheitslücke vor dem Computer – nicht darin. Mit anderen Worten: die Anwender:innen sind der kritische Faktor bei vielen Angriffen. Laut dem Verizon Data Breach Investigations Report 2021 wurden in einer Studie 60 Prozent der Ransomware-Fälle direkt beziehungsweise über Desktop-Anwendungen installiert. Die restlichen Infizierungen erfolgten über E-Mails, offene Netzwerke oder über Downloads, welche durch andere Malware ausgelöst wurden. Der Report bestätigt auch, dass bei 85 Prozent der Sicherheitsverletzungen Anmeldedaten entwendet werden.
Während ein großes Unternehmen vielleicht die Mittel hat, einen Angriff zu überstehen, können viele kleine Unternehmen durch die Auswirkungen von Ransomware zur Geschäftsaufgabe gezwungen werden. Ob groß oder klein, jedes Unternehmen sollte alles in seiner Macht Stehende tun, um seine Daten zu schützen und Ransomware zu verhindern.
Jede:r hat eine Aufgabe im Kampf gegen Ransomware
Es gibt diverse Wege und Technologien, mit denen Hacker die Ransomware auf Geräte und in Netzwerke einschleusen – und diese entwickeln sich kontinuierlich weiter. Aus diesem Grund müssen alle Mitarbeiter:innen im Unternehmen wissen, was zu tun ist, um Ransomware zu verhindern. Dazu gehören folgende Aspekte:
Schulung der Mitarbeiter:innen, um einen Betrug zu erkennen
Unternehmen sollten ihre Mitarbeiter:innen durch regelmäßige Sensibilisierungs- und Fortbildungsprogramme in Bezug auf Cybersicherheit schulen. Die Fortbildungen sollten das Erkennen potenzieller Bedrohungen, die aktuellen Informationen zu neuen und bestehenden Bedrohungen sowie die Reaktion auf eine tatsächliche oder potenzielle Bedrohung umfassen. Es ist wichtig, das Bewusstsein im gesamten Unternehmen durch regelmäßige Informationen, Updates und Tipps zu schärfen.
Richtlinien im Unternehmen straffen und durchsetzen
Jedes Unternehmen muss über Richtlinien zur Vertraulichkeit von Benutzerdaten verfügen, auch für IT- und Sicherheitspersonal. Diese Richtlinien sollten strenge Passwort- und Authentifizierungsanforderungen enthalten. Es ist wichtig, dass Mitarbeiter:innen diese Richtlinien und den Sinn dahinter verstehen und einhalten. Damit trägt jede:r im Unternehmen seinen Teil zur Ransomware-Prävention bei.
Software-as-a-Service nutzen
Anwendungen, die vom Unternehmen geprüft und freigegeben werden, stellen einen großen Beitrag zur Vermeidung von Ransomware dar. Dies gilt insbesondere für Anwendungen für Datei-Sharing, die die Nutzung von E-Mail-Anhängen reduzieren. Diese Strategie kann das Maß an Phishing-Angriffen mit bösartigen Anhängen reduzieren oder diese sogar komplett verhindern.
Aktiv vor Makros warnen
Benutzer:innen, die mit Makros in Microsoft-365- und Adobe-PDF-Dokumenten nicht vertraut sind, klicken möglicherweise automatisch auf eine Schaltfläche „Makros aktivieren“. Im Falle einer bösartigen Datei kann dieser Klick ein schwerwiegender Fehler sein, der für Ransomware Tür und Tor öffnet. Verschärft wird dieses Problem durch eine grundsätzliche Zunahme an dokumentenbasierter Malware. Die bösartigen Dokumente funktionieren ähnlich wie ausführbare Programme, einschließlich der Möglichkeit, Prozesse auszuführen und weiteren Code auf dem System zu installieren. Aus diesem Grund ist es ratsam, nicht natives Dokumenten-Rendering für PDF- und Microsoft-365-Dateien in der Cloud zu verwenden. Damit wird zumindest die Gefahr durch ungepatchte Desktop-Anwendungen reduziert, deren Schwachstellen leicht auszunutzen sind.
Vorfälle melden
Niemand möchte die Person sein, die auf einen bösartigen Anhang oder Link hereinfällt und auf diesen klickt. Und die meisten wollen die Peinlichkeit vermeiden, die mit der Meldung eines Vorfalls einhergeht. Mitarbeiter:innen sollten jedoch verstehen, dass sie und die Kolleg:innen die eigentlichen Opfer sind. Unternehmen müssen also dafür sorgen, dass jeder potenzielle Vorfall, sofort und mit gutem Gewissen, gemeldet wird. Die Etablierung von einfachen und klaren Meldeverfahren ist ein guter Weg dafür.
Physische Sicherheit ist wichtig
Alle Mitarbeiter:innen sollten die Sicherheitsrichtlinien des Unternehmens für vernetzte Geräte und Einrichtungen kennen. So ist ein verlorenes oder gestohlenes Laptop ohne Anmeldekennwort eine offene Einladung für Cyberkriminelle zum Zugriff auf das Netzwerk. Auch gestohlene Anmeldedaten in den Händen eines Hackers können nur zu einer Katastrophe führen. Jedem muss klar sein, dass Geräte, Ausweise und Anmeldedaten stets sicher aufbewahrt werden müssen.
Wiederherstellung muss geplant und getestet sein
Trotz aller Vorsicht und Vorbereitung gilt aber auch: es gibt keine 100-prozentige Sicherheit vor einem Ransomware-Angriff. Selbst wenn alle Richtlinien zum Schutz beachtet werden, finden Cyberkriminelle immer wieder neue Wege, in Geräte und Netzwerke einzudringen. Daher ist es unerlässlich, nicht nur Vorbeugung zu betreiben, sondern auch konkrete Pläne für den Krisenfall zu haben. Im Falle eines gelungenen Angriffs besteht der beste Schutz darin, dass das Unternehmen samt seiner Informationstechnologie und allen Daten wiederhergestellt werden kann. Eine detaillierte Planung von Backup und Disaster Recovery mit geeigneten Lösungen ist der wichtigste Schritt dafür. Das Testen der Wiederherstellung und die kontinuierliche Anpassung an sich verändernde IT-Strukturen dürfen jedoch keinesfalls vergessen werden.