Ransomware ist ein aktuelles, immer häufiger auftretendes Problem, bei dem der Angreifer üblicherweise das System über Phishing, Schwachstellen, erratene Passwörter oder bösartige Anhänge einer E-Mail infiltriert. Mit Ransomware-as-a-Service können sogar Laien gegen einen vereinbarten Preis eine Attacke starten. Betroffene Firmen reagieren meist zu spät, zu dem Zeitpunkt der Lösegeldforderung sind die Daten bereits abgesaugt und die Kriminellen haben danach die Systeme ihrerseits verschlüsselt, um einen Zugriff unmöglich zu machen. Bis heute scheint es für Organisationen jedoch die einfachste Lösung zu sein, auf Lösegeldforderungen einzugehen. Doch wie schlimm ist das Problem wirklich?
Im aktuellen Allianz Risk Barometer geben die befragten Unternehmen an, dass Ransomware (50 Prozent) und Data Breaches (53 Prozent) die größten Cyberrisiken darstellen. Dabei werden die durchschnittlichen Kosten mit rund vier Millionen Euro beziffert. Dazu kommen Imageschaden, Kundenverluste und Bußgeldzahlungen im Rahmen der Datenschutzgrundverordnung. Außerdem gibt es keinerlei Garantie, dass die Daten restlos gelöscht werden. Man muss davon ausgehen, dass die Daten durchgesickert oder an Dritte weiterverkauft worden sind. Fakt ist, geht man auf die Forderung einmal ein und bezahlt, wird man als profitables Ziel für weitere Angriffe eingestuft.
Das grundsätzliche Problem: Eine fehlende, korrekte Verschlüsselung
Vorbeugen und die richtigen Abwehrmaßnahmen zu treffen, ist das A und O jeder Cyberstrategie. Man kann sich nicht darauf verlassen, Glück zu haben, denn es kann jedes Unternehmen treffen und es ist daher nur die Frage, „Wann“ und nicht „Ob“ ein Unternehmen gehackt wird. Wenn man also die Attacke an und für sich nicht verhindern kann, ist der beste Plan B eine durchgehende Verschlüsselung der Daten, denn Studien zeigen, dass über 90 Prozent der erbeuteten Daten unverschlüsselt abgeflossen sind.
Sicher ist einer der größten Schwachpunkte, dass man in relationalen Datenbanken nicht mit verschlüsselten Daten arbeiten kann, das heißt Daten, die während der Übertragung („in-transit“) und auf dem Server („at rest“) verschlüsselt sind, müssen zur Verarbeitung entschlüsselt werden. Dies gilt für jede Suchabfrage, jede Kalkulation und jede Analyse. Konventionelle Datenbanken und Managementsysteme bieten keine ausreichenden Schutzmechanismen, und gängige Praktiken wie Tokenisierung, Anonymisierung, Maskieren und andere, welche nur eine Teilinformation intern zur Verfügung zu stellen, beruhen auf unverschlüsselten Daten und weisen große Schwachstellen auf.
Data-In-Use-Verschlüsselung als Lösung gegen Ransomware
Wenn traditionelle Verfahren nicht ausreichend sind, stellt sich die Frage: Warum verschlüsselt man Daten also nicht vollständig und dauerhaft während des Gebrauchs? Gründe dafür sind unter anderem die fehlenden Innovationen im Verschlüsselungsbereich, sodass Unternehmen veraltete Anwendungen nutzen müssen. Außerdem sind innovative Ansätze teuer, langsam und kompliziert in ihrer Umsetzung, sodass die erforderliche Sicherheit für eine bessere Nutzbarkeit geopfert wird. Damit geht aber ein immenses Risiko einher, welches aktuell in Kauf genommen wird.
Im letzten Jahrzehnt gab es glücklicherweise große Fortschritte mit Technologien wie zum Beispiel Homomorpher Verschlüsselung, und einige Anbieter haben Produkte entwickelt, die es erlauben, Daten während ihres Gebrauchs verschlüsselt zu halten – im Englischen die sogenannte „Data-In-Use-Encryption“. Das bedeutet, dass die Daten Ende-zu-Ende verschlüsselt sind, ohne dass sie außerhalb des Endgerätes entschlüsselt werden müssen, unabhängig von der ausgeführten Operation. Diesen Sicherheitsstandard gibt es sowohl mit einer voll verschlüsselten Datenverarbeitung fast in Echtzeit als auch ohne Veränderungen an existierenden Systemen, Code oder SQL Syntax.
Das eröffnet neue Wege für eine erfolgreiche Cyberstrategie, denn selbst wenn die erste Verteidigungslinie mit allen Maßnahmen zusammenbricht, kommt die zweite Linie ins Spiel – die Verschlüsselung. Mit verschlüsselten Daten lässt sich niemand erpressen. Wenn eine Ransomware-Attacke zu Datenverlust führt, sind die Daten für den Angreifer nichts wert und das Unternehmen kann sagen: „Liebe Kunden, wir sind Opfer einer Ransomware-Attacke geworden, aber macht euch keine Sorgen, die Daten sind verschlüsselt und daher unlesbar.“ Keine Lösegeldzahlung, kein PR-Albtraum, kein Imageschaden, kein Kundenverlust, keine Strafen. Wichtig ist, dass die Data-In-Use Encryption nicht nur in die Sicherheits-, sondern auch die Geschäftsstrategie eingebaut wird.
Tilo Weigandt ist Mitgründer und Chief Operating Officer von Vaultree, einem Anbieter von Data-In-Use-Verschlüsselung.