Die unabhängige IT-Sicherheits-Plattform - Der Marktplatz IT-Sicherheit

powered by

Ist Ransomware vom Aussterben bedroht?

  • Autoren:     |
  • Grab Tod Tomb Ransomware

    Ist Ransomware vom Aussterben bedroht?

    In der Branche herrscht ein großer Irrglaube in Bezug auf Ransomware. Eine weitverbreitete Meinung ist, dass Ransomware-Bedrohungen in den nächsten Monaten weiter zunehmen werden. Einige Experten gehen sogar davon aus, dass diese Art der Bedrohung ähnlich dem Identitätsdiebstahl für immer Teil der Cybersicherheit bleiben wird. Doch ist Ransomware vom Aussterben bedroht?

    Ransomware – Bedrohungen gingen zurück

    Während jedoch weiterhin jährlich Millionen von Infektionsversuchen stattfinden, ist die Anzahl der Ransomware und anderer Bedrohungen im letzten Jahr sogar zurückgegangen. In den ersten drei Quartalen 2023 waren laut den Daten von Check Point Research in Deutschland wöchentlich 386 Organisationen von einem Cyber-Angriff betroffen. Verglichen mit 2022 sank die Anzahl der Attacken hierzulande um acht Prozent. Von diesem Trend betroffen ist auch Ransomware, auch hier sind die Zahlen beispielsweise von the Record rückläufig. Dennoch wird Ransomware ihre Opfer im Jahr 2023 laut Schätzungen von IBM insgesamt 30 Milliarden US-Dollar kosten.

    Ransomware wird aussterben; sie steht kurz vor der Ausrottung – vielleicht nicht morgen, aber innerhalb der nächsten Jahre. Die Bedrohungslage wird sich weltweit jedoch nicht völlig beruhigen. Für die Verantwortlichen in den Unternehmen gibt es also keinen Grund aufzuatmen. Es ist noch nicht vorbei, lediglich die Dynamik ändert sich. Denn die Ransomware-Banden sind dazu übergegangen, einen anderen Gang einzulegen und konzentrieren sich auf die Exfiltration von Daten und nicht mehr auf Zerstörung und Chaos.

    Gründe für den Abwärtstrend

    Lücken in der heutigen IT-Sicherheitsinfrastruktur zu finden, ist nicht mehr so einfach wie früher. In dem Katz-und-Maus-Spiel, das sich zwischen der Verbreitung von Bedrohungen und der Entwicklung neuer Verteidigungsmaßnahmen seitens der Cybersicherheitsanbieter abspielt, gewinnt die letztere Gruppe. Die Verteidigungsmaßnahmen haben sich erheblich weiterentwickelt.

    Sicherheitsanbieter plädieren für einen Ansatz, bei dem die Prävention im Vordergrund steht. Isolierte Point-Produkte funktionieren zwar bis zu einem gewissen Grad, verursachen aber Komplexität und bieten nicht die gleiche gemeinsame Sichtbarkeit wie technologische Verteidigungsschichten, bei denen die einzelnen Kontrollen miteinander harmonieren. Auch die Anwendung von künstlicher Intelligenz in Verbindung mit maschinellem Lernen oder Deep-Learning-Algorithmen hat auf der Seite der Verteidiger zu erheblichen Fortschritten geführt.

    Infolgedessen müssen Cyber-Kriminelle ständig neue Angriffsmethoden entwickeln, was einen potenziell endlosen und anstrengenden Kreislauf darstellt. Cyberkriminelle Gruppen können nur so lange durchhalten, bis sie schließlich das Interesse an Ransomware zugunsten einfacherer und ebenso lukrativerer Cyber-Schemata verlieren. Schließlich kostet die Durchführung von Angriffen Geld, und wenn der Return-on-Invest nicht mehr aufgeht, macht der Business Case keinen Sinn mehr. Die Prinzipien der Ökonomie gelten für beide Seiten, und das wird in solchen Beispielen deutlich, in denen Ransomware-Gruppen ihre traditionellen Ansätze einfach aufgeben und neue Wege einschlagen. Und zu diesen Unternehmungen gehören ausdrücklich der Diebstahl und der Verkauf von Daten.

    Der jüngste Fall einer Hackergruppe, die sich an ein erfolgreich gehacktes Opfer wandte und die US-Börsenaufsichtsbehörde (SEC) um Hilfe bat, zeigt, dass sich die Dynamik verändert hat: Betroffene Unternehmen scheinen ihre Vorfälle nicht zu veröffentlichen, so dass die Banden dies in ihrem Namen tun. Nicht auf den üblichen „Wall of Shame“-Brettern im Darknet, sondern indem sie die Aufsichtsbehörden anrufen und informieren.

    Die Verzweiflung der Ransomware-Banden

    In dem oben erwähnten Beispiel hat die Ransomware-Gruppe, die unter den Namen Alphv und/oder BlackCat bekannt ist, die digitalen Systeme eines kleinen US-Unternehmens in Kalifornien gestört. Die Angreifer stahlen Daten. In einem offensichtlichen Versuch, das Unternehmen zur Zahlung eines Lösegelds im Austausch für die Daten zu zwingen, haben die Kriminellen offenbar eine Beschwerde bei der United States Securities and Exchange Commission (SEC) eingereicht, weil sie die Sicherheitsverletzung nicht innerhalb von vier Werktagen gemeldet haben, wie es das Gesetz neuerdings verlangt. Diese Chuzpe und Verzweiflung sind bemerkenswert. Ironischerweise werden die neuen SEC-Vorschriften zur Offenlegung von Sicherheitsverletzungen erst Mitte Dezember in Kraft treten, so dass die Angreifer etwas übereifrig vorgegangen sein könnten, wenn auch nicht gänzlich gegen die Vorschriften verstoßen. Inzwischen gab es wiederum einen Gegenschlag der Aufsichtsbehörden, um einen Teil der Infrastruktur der Gruppe auszuschalten. Nichtsdestoweniger bleibt die Erkenntnis, dass Ransomware-Gruppen nun ihrerseits die Behörden informieren müssen, um Druck auszuüben und an ihr Geld zu gelangen. Mit der DSGVO gelten in Europa ähnliche Gesetze, obwohl bisher noch kein ähnliches Beispiel bekannt geworden ist, bei dem die Täter etwas Vergleichbares mit einem nationalen Datenschutzbeauftragten versucht haben.

    Tipps gegen Ransomware

    Wie bereits erwähnt, werden sich herkömmliche Ransomware-Ansätze selbst auflösen. Ransomware-Gruppen werden ihren eigenen Untergang herbeiführen, da der Betrieb der Infrastruktur kostspielig ist. Ein Beispiel dafür sind die immer größeren Verschleierungsmaßnahmen, die getroffen werden müssen, um Strafverfolgungsbehörden die Enttarnung zu erschweren. Daher sind sie jetzt fast ausschließlich auf eine schnelle Abrechnung aus.

    Der Fall der MGM-Kette hat gezeigt, wie schnell die Teams arbeiten. Das Ziel ist sonnenklar: sich Zugang zu Unternehmensdaten zu verschaffen und dann im Gegenzug für die Geheimhaltung Lösegeld zu verlangen. Um ihnen den Erfolg zu erschweren, müssen bestimmte Maßnahmen ergriffen werden. Seit Jahren gilt, das Unternehmen Verschlüsselung einsetzen sollten, um zu verhindern, dass gestohlene Daten in die falschen Hände geraten. Diese Weisheit gilt heute mehr denn je. Noch immer praktizieren viele Unternehmen keine richtige Cyberhygiene. Die grundlegenden Tipps geben Hinweise, wie Unternehmen die Widerstandsfähigkeit gegen das Abfließen von Daten erhöhen können.

    • Datenverschlüsselung: Verantwortliche sollten ihre Daten im Ruhezustand und während der Übertragung verschlüsseln; dadurch wird es für Cyber-Kriminelle nahezu unmöglich, die Daten zu durchwühlen und später zu verkaufen.
    • Verschlüsselung von Backups: Dadurch wird verhindert, dass Angreifer in der Zeit zurückreisen können, um ihr Ziel zu erreichen. Noch immer sind ungeschützte Backups die erste Anlaufstelle für Angreifer.
    • Spezielles Schlüsselmanagement für Cloud-basierte Datenspeicher: Spezielles Schlüsselmanagement hilft bei der Kontrolle von Risiken durch Drittanbieter (SaaS-Anbietern).
    • Sicherstellung einer angemessenen Endpunkthygiene: Verschlüsselung von Festplatten, ordnungsgemäße Verwaltung des Identitätszugriffs. Dies wird dazu beitragen, den Missbrauch zu minimieren, der wiederum eine Tür zu einem privilegierten Zugang öffnen könnte.

    Fazit

    Ransomware wird vielleicht nicht ganz aussterben. Aber die Dynamik ändert sich. Und auch wenn Cyberkriminelle in einigen Fällen weiterhin erfolgreich sein werden, können Verantwortliche ihnen das Leben sehr viel schwerer machen und sie vielleicht ganz abschrecken, wenn sie die oben genannten Punkte befolgen.

    Marktplatz IT-Sicherheit