Ist die Bedrohung durch Ransomware immer noch so präsent?
Ransomware verstehen: eine persistente Cyberbedrohung
Ransomware ist kein neues Phänomen – die ersten bekannten Angriffe lassen sich bis in die frühen 1990er-Jahre zurückverfolgen. Seitdem haben sich die Methoden kontinuierlich weiterentwickelt – insbesondere durch den Einsatz von künstlicher Intelligenz. Das Ziel bleibt jedoch unverändert: die Erpressung von Lösegeld.
Moderne Ransomware-Angriffe verfolgen unterschiedliche Taktiken. Manche zielen darauf ab, Unternehmensdaten – inklusive Backups – zu verschlüsseln. Andere wiederum stehlen sensible Informationen wie Forschungs- und Entwicklungsdaten, Finanzdaten oder personenbezogene Daten und drohen mit deren Veröffentlichung. Beides kann gravierende Auswirkungen auf das Image von Unternehmen und das Kundenvertrauen haben.
Unabhängig von der konkreten Angriffsmethode ist das Ziel stets dasselbe: die Erpressung eines Lösegelds. Und diese Strategie scheint oft erfolgreich zu sein. Schätzungen zufolge zahlen rund 50 % der betroffenen Unternehmen die geforderte Summe – auch wenn die Zahlen je nach Studie variieren.
Warum klassische Cybersicherheitslösungen alleine nicht ausreichen, die Bedrohung durch Ransomware zu eliminieren
Angesichts steigender IT-Securitybudgets stellt sich für viele Unternehmen die berechtigte Frage, warum Cybersecurity-Lösungen Ransomware-Angriffe weiterhin nicht zuverlässig verhindern können. Die Ursachen sind vielfältig:
- Veraltete IT-Infrastrukturen: Teile der IT-Systeme basieren immer auf veralteten Komponenten, für die keine Securityupdates mehr bereitgestellt werden – ein bevorzugtes Ziel für Angreifer.
- Zunehmende Komplexität der IT-Systeme: Die Integration verschiedenster Anwendungen, insbesondere Cloud- und SaaS-Dienste, führt zu einer Vielzahl potenzieller Angriffsflächen. Diese lückenlos abzusichern, ist eine kontinuierliche Herausforderung für IT-Sicherheitsverantwortliche.
- Menschliches Versagen: Die Einhaltung etablierter Sicherheitsrichtlinien ist in der Praxis oft unzureichend. Sowohl Endanwender als auch IT-Mitarbeiter können ein Risiko darstellen – sei es durch Unachtsamkeit, Unwissenheit oder fehlende Vorgaben.
- Investitionsprioritäten: Sicherheit generiert keinen unmittelbaren Umsatz, sondern hilft nur eventuell Geld zu verlieren. Daher investieren viele Unternehmen lieber in digitale Lösungen zur Optimierung des Kundenerlebnisses, Produktqualität oder Services, anstatt in umfassende Sicherheitsmaßnahmen.
Die Illusion eines absoluten Schutzes bleibt ein Trugschluss – entscheidend ist die eigene Cyberresilienz.
Selbst wenn die Wirksamkeit von Cybersecurity-Lösungen erfreulicherweise zunimmt, lassen sich Angriffe nicht vollständig verhindern. Daher ist es heute wichtiger denn je, sich mit der eigenen Cyberresilienz auseinanderzusetzen.
Strategien um Ransomware-Cyberangriffen erfolgreich zu begegnen
Die vier zentralen Maßnahmen für Ihre Cyber-Resilienz im Falle einer Ransomware-Attacke
1 – Isolierter und betriebsbereiter Ausweichstandort
Ein isolierter, vorkonfigurierter Ausweichstandort (Cloud oder On-Premises) ist unerlässlich, um sicherzustellen, dass er von Cybervorfällen am Hauptstandort nicht betroffen ist – auch dann nicht, wenn ein Angreifer vollständige Administratorrechte erlangt hat (z. B. durch Zugriff auf das Passwort-Repository des Unternehmens).
Das bedeutet im Einzelnen:
- Technologischer Bruch, z. B. durch Einsatz eines anderen Hypervisors am Ausweichstandort.
- Schnelle Aktivierung, um die Betriebskontinuität aufrechtzuerhalten.
- Wahrung der Integrität kritischer Daten.
- Bereitstellung einer sicheren Umschaltlösung – dies setzt regelmäßige Tests voraus.
2 – Unveränderbare, manipulationssichere Datensicherung
Es muss ein isoliertes Umfeld vorhanden sein, in dem eine Kopie der Datensicherungen gespeichert wird, die weder verändert noch gelöscht werden kann – also unveränderbar und manipulationssicher.
Diese Notfallkopie der Daten muss physisch und logisch vom restlichen System getrennt, vollständig abgeschottet und hinter der Infrastruktur eines Drittanbieters geschützt sein. Sie muss gegen sämtliche Cyberbedrohungen abgesichert sein – einschließlich Ransomware und böswilligen Insider-Angriffen.
Zum Beispiel muss sichergestellt sein, dass selbst ein Angreifer mit Administratorrechten nicht in der Lage ist, die Backups zu verändern – etwa durch Anpassung der Aufbewahrungsdauer oder das Löschen der Sicherungen. Dieser Aspekt ist essenziell, da Cyberkriminelle gezielt die Verwaltungspasswörter kompromittieren, um genau solche Manipulationen durchführen zu können.
3 – Handlungsanleitungen, SOPs und CSIRT-Expertise
Getestete Reaktionsleitfäden, klar definierten Einsatzplänen mit Rollenbeschreibungen sowie Prozessen zur Bewältigung von Cybervorfällen und zur Steuerung der Krisenkommunikation sind ein zentraler Bestandteil der organisatorischen Vorbereitung – es gewährleistet eine schnelle und effektive Reaktion auf Bedrohungen und minimiert zugleich operative und reputative Schäden.
Reaktionsleitfäden und Einsatzpläne bieten Schritt-für-Schritt-Anleitungen zur Bewältigung verschiedener Sicherheitsvorfälle. Sie reduzieren Verunsicherung, Stress und Reaktionszeit erheblich. Diese Vorbereitung beschleunigt die Wiederherstellung und unterstützt die Aufrechterhaltung des Geschäftsbetriebs während und nach Cyberangriffen.
Eine Unterstützung durch Experten eines CSIRT (Computer Security Incident Response Team) oder CERT (Computer Emergency Response Team) ist in solchen Krisensituationen ein entscheidender Vorteil. Sie führen tiefgehende forensische Analysen durch und unterstützen bei der Identifikation des Angriffsvektors sowie dem Ausmaß der Kompromittierung von Servern und Endgeräten.
4 – Frühwarnsysteme gegen Cyberbedrohungen
Verfügbarkeit moderner Technologien zur Erkennung von Cyberrisiken, einschließlich interner Bedrohungen.
Zu den gängigen Lösungen zählen:
- EDR-Systeme (Endpoint Detection and Response)
- SIEM-Lösungen (Security Information and Event Management)
- Honeypots zur Täuschung und Analyse
- Systeme zur Erkennung und Verhinderung von Eindringversuchen (IDS/IPS – Intrusion Detection/Prevention)
Um die besten Erfahrungen zu bieten, verwenden wir Technologien wie Cookies, um Informationen von Geräten zu speichern und/oder darauf zuzugreifen. Die Zustimmung zu diesen Technologien ermöglicht es uns, Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website zu verarbeiten. Die Nichtzustimmung oder der Widerruf der Zustimmung kann sich negativ auf bestimmte Merkmale und Funktionen auswirken.