Problem Ransomware noch längst nicht unter Kontrolle

Trotz wachsender Ausgaben für IT-Security-Maßnahmen und trotz vermehrter Aufklärung rund um das Phänomen Cyber-Erpressung, steigt die Zahl der Ransomware-Angriffe weiter an. In Deutschland waren in den vergangenen zwölf Monaten bereits drei Viertel der Unternehmen betroffen, wie der aktuelle Ransomware-Report von SentinelOne jetzt ermittelt hat. Dies macht einmal mehr deutlich, dass IT-Abteilungen auf das raffinierte Vorgehen der Cyberkriminellen noch immer ungenügend vorbereitet sind. Dabei stehen ihnen heute schon Next Generation Technologien zur Verfügung, die hochentwickelte Schadsoftware verlässlich identifizieren und stoppen kann.

Wer trägt Schuld am Ransomware-Angriff?

Die Hauptschuld für das erfolgreiche Eindringen von Ransomware in die Unternehmenssysteme liegt laut dem Report dabei vor allem bei den Mitarbeitern. Immerhin fast jeder zweite befragte IT-Entscheider nennt hier Nachlässigkeit auf Seiten von Beschäftigen. Dazu passt, dass Phishing über E-Mail oder Social Media mit 76 Prozent als häufigstes Einfallstor für Cyber-Erpresser angegeben wurde. 43 Prozent der IT-Entscheider machen aber auch unzureichende AV-Lösungen für den Ransomware-Angriff verantwortlich, da sie die Infektion nicht frühzeitig identifizieren und stoppen konnten. Dies überrascht nicht, fokussieren herkömmliche Antivirus-Technologien doch nach wie vor in erster Linie bekannte Signaturen. Cyberkriminelle setzen dagegen immer öfter auf neuartige oder umgebungsintelligente Schadsoftware oder aber hochentwickelte Angriffsvarianten wie etwa speicherbasierte Angriffe, sogenannte Memory-based Attacks. Dabei kommt Malware zum Einsatz, die lediglich im Speicher aktiv ist und dort von legitimer Software ausgeführt wird und von AV-Lösungen deshalb nicht identifiziert werden kann.

Lösegeld: Cyber-Erpresser sind sicher keine zuverlässigen Geschäftspartner

Für einige Unternehmen ist die Zahlung des geforderten Lösegeldes noch immer eine Option – und dass, obwohl sowohl von Sicherheitsexperten als auch von Seiten der Polizei eindringlich davor gewarnt wird. Immerhin sind Kriminelle alles andere als zuverlässigen Geschäftspartner, die sich an Abmachungen halten. Auch kursieren heute bereits Ransomware-Formen – man denke etwa an Thanatos –, die zwar die Dateien ihrer Opfer verschlüsseln, nicht aber die entsprechenden Keys speichern, die für die Entschlüsselung unabdingbar sind. Dennoch hat laut SentinelOne-Report fast jedes dritte Unternehmen in Deutschland die geforderten Lösegeldsummen immer bzw. zumindest einige Male bezahlt. Das liegt vor allem daran, dass die Verantwortlichen das Problem schnell aus der Welt schaffen wollten oder aber die Kosten für die Wiederherstellung der Daten die Höhe des Lösegeldes übertroffen haben.

Viele Unternehmen haben mit dieser Entscheidung aber Schiffbruch erlitten: 61 Prozent gaben an, dass die Daten trotz Begleichung des geforderten Betrages verschlüsselt blieben und 32 Prozent erlebten, dass vertrauliche Daten nach der Lösegeldzahlung veröffentlicht wurden. 45 Prozent der betroffenen Unternehmen hat nach dem ersten Geldtransfer sogar weitere Lösegeldforderungen erhalten.

Effektive Endgerätesicherheit und Aufklärung sind die beste Prävention

Die wohl wichtigste Maßnahme, um sich vor Cyber-Erpressung zu schützen, – natürlich abgesehen vom Einsatz adäquater Sicherheitsprodukte und -Kontrollen – ist die regelmäßige Durchführung von Backups. Dies sollte auf einem anderen Rechner oder noch besser außerhäusig passieren. Im Fall einer Attacke können die vom Erpresser verschlüsselten Daten bzw. eine frühere Version davon relativ problemlos wiederhergestellt werden. Die Lösegeldforderungen sind damit weitestgehend vom Tisch. Ein gut funktionierendes Backup-System ist für Unternehmen also das A und O, um den durch Erpressersoftware verursachten Schaden möglichst gering zu halten.

Die effektivste Maßnahme im Kampf gegen Ransomware ist aber sicherlich der Einsatz von Technologien, die eine Infizierung mit der Erpresser-Schadsoftware von vorne herein verhindert. Anstatt weiterhin auf unzureichende AV-Lösungen zu vertrauen und sich den Angreifern so relativ widerstandlos auszusetzen, müssen die Unternehmen neue Wege in der Endgerätesicherheit einschlagen. Wege, die den signaturbasieren Ansatz hinter sich lassen und auf neuen Technologien wie Verhaltensanalyse basieren. Das ist umso effektiver, als Ransomware zwar in vielen verschiedenen Varianten auftaucht, diese aber Gemeinsamkeiten in ihrem Verhalten teilen, die während der Ausführung identifiziert werden können. Mit Hilfe neuerer Sicherheits-Tools können Prozesse basierend auf ihrem Verhalten untersucht und hinterfragt werden und bei der Entdeckung schädlicher Aktivitäten blockiert werden.

Neben technischen Schutzmaßnahmen darf aber auch die Aufklärung von Mitarbeitern nicht unterschätzt werden. Wie der Report zeigt, fallen viel zu viele Mitarbeiter nach wie vor Social Engineering zum Opfer. Regelmäßige interne Fortbildungen – auf allen Mitarbeiterebenen – können helfen, das Bewusstsein für Sicherheitsrisiken nachhaltig zu schärfen.

Richtungsänderung

Letztlich bringt der Report aber auch positive Nachrichten hervor, die Hoffnung auf ein Umdenken der IT-Verantwortlichen schüren. So hat der Großteil der Betroffenen aus erlittenen Ransomware-Angriffen gelernt: Fast drei Viertel der IT-Manager gaben an, dass die Ausgaben für IT-Sicherheit im Unternehmen nach einem Angriff erhöht wurden und fast die Hälfte wollen fortan Maßnahmen zur Risikominderung fokussieren. Generell sehen die deutschen Sicherheitsexperten positiv in die Zukunft. Fast alle Befragten sind zuversichtlich, dass sie Angriffe mit Verschlüsselungs-Trojanern fortan besser abwenden können. Ein Hauptgrund für diesen Optimismus ist dabei die Tatsache, dass sie traditionelle, signaturbasierte Antivirus-Lösungen durch fortschrittliche Endpunkttechnologie ersetzt haben.

Autor: Alexander Kehl, Regional Sales Manager DACH, SentinelOne

Foto: Alexander Kehl/© SentinelOne