Im Interview zu Ransomware: Mario Emig, Controlware GmbH „Gezielte Angriffe gegen Unternehmen im Vormarsch“
13. September 2017Das Thema „Abwehr von Ransomware-Angriffen“ treibt die Unternehmen um. Welche Möglichkeiten zum Schutz vor dieser Bedrohung bestehen, skizziert Mario Emig, Head of Information Security Business Development bei Controlware, im Interview mit Line-of.biz (LoB): „Während in den zurückliegenden Jahren der Fokus der Ransomware-Kampagnen noch hauptsächlich im privaten Bereich lag, sehen wir aktuell immer häufiger auch gezielte Angriffe gegen Unternehmen.“
Ransomware im Fokus
LoB: Wie gefährlich und wie häufig sind Angriffe durch Ransomware für Unternehmen?
Emig: Während in den zurückliegenden Jahren der Fokus der Ransomware-Kampagnen noch hauptsächlich im privaten Bereich lag, sehen wir aktuell immer häufiger auch gezielte Angriffe gegen Unternehmen. Dies hängt vor allem mit den ungleich höheren Lösegeldsummen zusammen, die für die Datenentschlüsselung von Cyber-Kriminellen mittlerweile erpresst werden können. Damit ändern sich gleichzeitig auch die Angriffsarten – von der Versendung massenhafter SPAMs mit Geldforderungen von 50 bis 500 Dollar hin zu gezielten Angriffen auf Unternehmen mit Forderungen im fünf-oder sechsstelligen Dollar-Bereich.
LoB: Worin bestehen für ein Unternehmen die größten finanziellen Risiken nach einem „Ransomware-Befall“?
Emig: Je nach betroffenem Unternehmen, betroffener Behörde oder beispielsweise einem Krankenhaus, können die finanziellen Risiken sehr unterschiedlich sein. So kann es sich um personenbezogene Daten handeln, die verschlüsselt wurden, und auf die ein Krankenhaus dringend zugreifen muss. Es können aber auch Produktionsrechner befallen sein, die wie im Fall von WannaCry die Fertigungsumgebungen von Unternehmen für Stunden oder sogar Tagen stilllegen. Es wurden Fälle bekannt, bei denen Firmen die gesamte Belegschaft nach Hause schicken mussten, weil ein oder mehrere Geschäftsbereiche komplett oder in Teilen zwangsweise zum Stillstand kamen. Grundsätzlich rate ich persönlich von einer Bezahlung von Lösegeldern ab. Zum einen ist mit der Erfüllung einer Forderung nicht garantiert, dass tatsächlich der Schlüssel ausgehändigt wird, der die Daten wieder lesbar macht. Zum anderen werden mit jeder Zahlung Nachahmer ermutig.
Unternehmen als Zielscheiben
LoB: Wenn Angreifer zunehmend Unternehmen angreifen, müssen sich diese auch nach geeigneten Schutzmaßnahmen umsehen. Welche technischen Mittel stehen dann gegen Ransomware-Attacken zur Verfügung?
Emig: Ich möchte noch ergänzen, dass wir aktuell nicht nur einen Anstieg von Angriffen mit Verschlüsselungstrojanern auf Unternehmen beobachten, sondern aktuell im Zuge des Hypes um Bitcoin auch die Ressourcen bei Unternehmen in Form von Rechenleistung genutzt werden, um Bitcoins oder andere Kryptowährungen zu „schürfen“. Der Angriffsvektor unterscheidet sich hierbei kaum, nur dass dann eben nicht der Rechner verschlüsselt wird, sondern unbemerkt im Hintergrund Rechenleistung von Unberechtigten verwendet wird. Diese Ressourcen stehen natürlich zwangsläufig dem Kunden nicht mehr zu Verfügung. Zusätzlich werden Systeme langsamer und fehleranfälliger. Zudem kann ein Angreifer, wenn er denn erst einmal auf dem System ist, sich jederzeit auch entscheiden, doch noch den Rechner zu verschlüsseln oder auch wertvolle Informationen zu entwenden. Um jedoch Ihre Frage nach Abwehrmöglichkeiten zu beantworten: Es gibt tatsächlich technische Lösungen, zum Beispiel Sandbox-Technologien, die oftmals eine bessere Erkennungsleistung als herkömmliche, auf Signaturen basierte Lösungen bieten und somit eine Sicherheitsarchitektur sinnvoll ergänzen. Vor dem Einsatz von weiteren technischen Hilfsmitteln ist es auf jeden Fall sinnvoll, auch organisatorische Maßnahmen auszuschöpfen und Themen wie Zugriffs- und Rollenkonzepte oder eine interne Segmentierung zu überprüfen bzw. einzuführen.
LoB: Gibt es dabei einen Unterschied zwischen großen Unternehmen und kleinen und mittleren Unternehmen – den KMUs?
Emig: Sandbox-Technologien werden vor allem von großen Unternehmen bereits eingesetzt. Andere evaluieren diese Technologie aktuell, um signaturbasierte Anti-Malware-Systeme zu ergänzen. Allerdings werden viele Unternehmen durch die oft höheren Betriebsaufwendungen abgeschreckt. Insbesondere Unternehmen mit kleineren Betriebsteams geraten hier verstärkt unter Druck, die ständig steigenden Anforderungen, die der Einsatz von immer neuen Sicherheitslösungen mit sich bringt, zu bewältigen.
LoB: Welche Aufwendungen sind das in der Praxis?
Emig: An erster Stelle müssen die Alarme, welche diese Systeme produzieren, qualifiziert werden. Was kaum ein Hersteller mitliefert, sind exakte Handlungsempfehlungen für die IT-Abteilung. Es bleiben oftmals sehr viele Fragen unbeantwortet: Wie gefährlich ist ein entdeckter Angriff? Welche Systeme sind betroffen? Wie lange ist der Angreifer bereits im Netz unterwegs? Sind bereits Daten nach außen abgeflossen? Wie können Systeme bereinigt werden bzw. welche Einstellungen müssen an der Sicherheitsarchitektur vorgenommen werden, um neue Infektionen zu vermeiden.
LoB: Wie kann ein Unternehmen sich von externen Dienstleistern helfen lassen, um Ransomware-Ausbrüchen vorzubeugen?
Emig: Genau hier setzen wir mit unserer Expertise an. Controlware stellt mit seinen Cyber Security Services Ressourcen bereit, an denen es Unternehmen oftmals mangelt, um ihre Assets kontinuierlich zu schützen. Basierend auf Sensorkomponenten und einer umfassenden Analyse-Infrastruktur lassen sich Malware-Infektionen und Infektionsversuche frühzeitig detektieren. Vor allem aber werden die Alarme dieser Systeme von den Controlware Experten detailliert interpretiert. Unsere Kunden erhalten also eine ganz individuelle Empfehlung zum Incident Response Handling.
LoB: Welche Rolle spielt das Thema „Security Awareness“ bei den Mitarbeitern, um Ransomware gar nicht erst zum Ausbruch kommen zu lassen?
Emig: Das ist ein ganz wichtiger Punkt. Wer seine Mitarbeiter kontinuierlich schult und entsprechende Kenntnisse vermittelt – beispielsweise, dass bestimmte Anhänge einer E-Mail erst gar nicht geöffnet werden dürfen – der ist auf jeden Fall weniger gefährdet. Allerdings sind inzwischen die Angriffe immer besser durchdacht und sehr professionell. Die Zeiten von Mails mit einer schlechten Übersetzung oder unstimmigen Absenderadressen sind leider vorbei. Somit lässt sich auch mit umfassenden Schulungen eine Kompromittierung mit Malware nicht komplett verhindern. Es kommt also wie so oft auf den richtigen Mix an Maßnahmen an. In Abhängigkeit der Gefährdung der vorhandenen Sicherheitsinfrastruktur werden entsprechende Maßnahmen abgeleitet. In der Regel ist es auch hilfreich, von einem Außenstehenden einen Blick auf diese Punkte in Form eines Reviews oder Audits werfen zu lassen.
Rainer Huttenloher
Controlware wird auf der it-sa 2017 in Nürnberg als Partner auf dem Stand von Radar Services (Halle 10, Stand 10.0-124) vertreten sein. Dabei präsentiert Controlware das Produkt KRITIS Secure und zeigt Mehrwerte in den Bereichen Incident Response und Incident Handling auf.