Zahlreiche aufsehenerregende Ransomware-Angriffe in der jüngsten Vergangenheit zeigen wieder einmal, wie verwundbar kritische Infrastrukturen sind. Diese Entwicklung ist nicht neu, allerdings hat sich die Anzahl der Ransomware-Angriffe laut FortiGuard Labs in den letzten sechs Monaten des Jahres 2020 versiebenfacht. Und der Trend hat sich seitdem fortgesetzt. Das lukrative Geschäft aus diesen Angriffen hat eine wachsende Zahl von Cyberkriminellen angezogen.
Dieses Problem macht nicht an politischen, geografischen und technologischen Grenzen Halt. Um die immer größer werdenden Auswirkungen von Ransomware zu stemmen, müssen Politik und Wirtschaft eine gemeinsame Reaktion zeigen.
Die Rolle der Unternehmen
Ransomware-Angriffe abzuwehren ist eine technologische Herausforderung. Cybersecurity-Lösungen müssen Ransomware daran hindern, ein Netzwerk zu infizieren, einen aktiven Angriff erkennen und dessen Auswirkungen abschwächen.
Anfällige Endgeräte sind dabei das häufigste Einfallstor. Sobald Ransomware erst einmal in einem Netzwerk Fuß gefasst hat, kann sie sich bei unzureichenden Sicherheitskontrollen und fehlender Netzwerksegmentierung im Netzwerk des Opfers ausbreiten. Viele Ransomware-Angriffe nutzen bekannte Schwachstellen aus, für die es bereits Patches gibt. IT-Administratoren müssen ihre Systeme daher gewissenhaft patchen und aktualisieren.
Darüber hinaus verbringen Cyberkriminelle vor den eigentlichen Angriffen immer mehr Zeit mit der Erkundungs- und Bewaffnungsphase. Dadurch können sie die Angriffe schneller und mit chirurgischer Präzision durchführen.
Cybersicherheitslösungen können jedoch all diesen Problemen effektiv entgegenwirken. Dazu gehören Endpoint Detection and Response (EDR)-Lösungen, Zero-Trust-Architekturen, „Hot Patches“ und mit künstlicher Intelligenz und maschinellem Lernen ausgestattete automatisierte Tools. Für den Fall der Fälle sollten IT-Abteilungen zudem immer aktuelle Backups anlegen und offline speichern. So können sie ihre Daten schnell und einfach wiederherstellen, wenn Angreifer sie verschlüsselt haben.
Seit geraumer Zeit drohen Cyberkriminelle bei ausbleibenden Lösegeldzahlungen mit der Veröffentlichung gestohlener Daten. Um erheblichen Schaden von sich und ihren Kunden abzuwenden, sollten betroffene Einrichtungen ihre gespeicherten und archivierten Daten verschlüsseln. Dadurch können sie verhindern, dass Cyberkriminelle gestohlene Daten ohne weiteres öffnen und als Druckmittel nutzen können.
Die Rolle des Staats
Eines ist aber klar: Trotz aller technologischen Entwicklungen ist die Gefahrenabwehr nie perfekt. Selbst dann nicht, wenn Organisationen und alle Anwender strenge Cybersicherheitsmaßnahmen ergreifen. Angesichts einer akuten Bedrohungslage ist eine staatliche und internationale Zusammenarbeit notwendig.
Die meisten Ransomware-Angreifer agieren in Ländern, die offenbar nicht willens oder in der Lage sind, gegen diese kriminellen Aktivitäten vorzugehen. Möglicherweise profitieren sie sogar davon. Und zunehmend verschwimmt die Grenze zwischen einem nationalstaatlichen Angriff (Advanced Persistent Threat) und einem Angriff von einer kriminellen Vereinigung. Der Umgang mit diesen wenigen geopolitischen Zufluchtsorten erfordert staatliches Handeln.
Ransomware hat immer stärkere Auswirkungen auf kritische Infrastrukturen und damit das tägliche Leben aller Menschen. Die Justiz muss daher abwägen, welche Priorität sie der Strafverfolgung und nachrichtendienstlichen Erfassung einräumt. Sie könnte sogar das Verbot von Lösegeldzahlungen prüfen, sodass sich Erpressungen via Ransomware nicht mehr lohnen würden (Background berichtete). Ein Zahlungsverbot könnte jedoch auch eine direkte Auswirkung auf den Betrieb der betroffenen Unternehmen und ihrer Kunden haben. Daher könnte die Gesetzgebung erwägen, Unternehmen und behördliche Einrichtungen stärker bei der Wiederherstellung des Betriebs zu unterstützen.
Selbst wenn staatliche Einrichtungen Ransomware-Zahlungen nicht verbieten, könnten sie eine Meldepflicht für Sicherheitsverletzungen und eine Offenlegungspflicht für Ransomware-Zahlungen in Betracht ziehen. Die meisten Experten sind sich einig, dass über Ransomware-Vorfälle trotz allem noch zu wenig berichtet wird. Eine bessere Datenerfassung zu Ausmaß und Charakteristiken der Ransomware-Angriffe ist notwendig, um Bedrohungen besser zu verstehen und handeln zu können.
Partnerschaften zwischen Privat- und öffentlichem Sektor
Privatwirtschaftliche Unternehmen und die Gesetzgebung haben zwar unterschiedliche Aufgaben im Umgang mit Ransomware – aber für die Lösung einiger Probleme müssen beide kooperieren.
Der Staat und die Kräfte des Marktes können etwa gemeinsam festlegen, welche Parameter für die Sorgfaltspflicht bei der Ransomware-Abwehr gelten. Das Gleiche gilt für die Gestaltung von Anreizen sowie der Strafen bei Zuwiderhandlungen. So könnte das Gesetz zum Beispiel Mindeststandards vorschreiben. Auch Versicherer könnten verlangen, dass ihre Versicherungsnehmer bestimmte Cybersicherheitsstandards erfüllen, um den Voraussetzungen für den Versicherungsschutz zu entsprechen.
Wie gut eine Cyberversicherung gegen Ransomware tatsächlich hilft, ist bislang allerdings noch offen. Es gibt Hinweise, dass eine Cyberversicherungspolice Cyberkriminelle sogar eher anlockt, insbesondere bei einer hohen Deckungssumme. Da in solch einem Fall eine Auszahlung durch den Versicherer in Aussicht steht, werden öffentliche Einrichtungen und Unternehmen zu attraktiven Zielen.
Auch bei der Incident-Response sollten die öffentliche Hand und Privatunternehmen eng zusammenarbeiten. Viele Opfer haben keine Krisenstrategie für solche Fälle und wissen nicht, an wen sie sich wenden können. Strategien für den Umgang mit Ransomware sollten Prävention, Schulung und Incident-Response umfassen. Dazu gehören unter anderem folgende Schritte: Einen Angriff erkennen, dessen Auswirkungen begrenzen, Befehls- und Kommunikationsketten erstellen, den Geschäftsbetrieb aufrechterhalten, Informationen zum Ablauf des Angriffs sicherstellen und den Vorfall öffentlich melden.
Kurz gefasst: Neben der Gesetzgebung spielt auch die Cybersicherheitsbranche eine große Rolle bei der Abwehr von Ransomware. Gleichwohl müssen Unternehmen und jede handelnde Person ebenfalls ihren Teil dazu beitragen. Ransomware ist ein komplexes und wachsendes Problem, das ganzheitlich und mit vereinten Kräften angegangen werden muss. Die gute Nachricht ist jedoch, dass alle Akteure zunehmend dessen Relevanz anerkennen. Zudem sind bereits praktikable Lösungen vorhanden. Wir müssen nur noch alle und alles zusammenbringen.
Roland Schneider ist Director Public Business Germany bei Fortinet. Das US-amerikanisches IT-Sicherheitsunternehmen Fortinet bietet Produkte im Bereich Firewalls, Antivirenprogramme, Intrusion Detection und Endpunktsicherheit.
