Ransomware
Wehret auch den scheinbar unbedeutenden Anfängen!
Es wird in der Security immer wichtiger, Anomalien in der Infrastruktur und auf Endgeräten zu erkennen und miteinander in Zusammenhang zu setzen, um anschließend wirksame Gegenmaßnahmen festlegen zu können.
Richard Werner, Business Consultant
Ende Dezember gab die Funke Mediengruppe bekannt, Opfer eines massiven Cyberangriffs geworden zu sein, bei dem nach eigenen Angaben zahlreiche Systeme betroffen waren und eine hohe Lösegeldforderung im Spiel war. Der Angriff beschäftigte neben den Sicherheitsspezialisten auch Kripo und LKA. Erst jetzt, nach einem Monat, konnte die IT-Infrastruktur wieder hergestellt und der Notfallmodus verlassen werden. Natürlich erregte der Fall besonderes Aufsehen: ein bekannter Name, enorm hohe Lösegeldsummen, ein leidgeprüftes Opfer. Es ist sicherlich nicht der erste öffentlich gewordene spektakuläre Fall, und doch hat man eher den Eindruck, einen fiktiven Krimi zu lesen als mit einem realen Problem konfrontiert zu sein, das einen auch selbst betreffen kann. Und genau das ist der Grund, warum es Kriminellen regelmäßig gelingt, Firmen erfolgreich lahm zu legen.
Es ist ein florierendes Geschäft, das von Auffassungen, wie „Wer soll denn uns schon angreifen“ oder „Wir sind sicher“, lebt. Jedes Unternehmen ist potenziell angreifbar und hat Lücken – das wissen auch Hacker. Und sie sind so erfolgreich in ihrem heimtückischen Tun, dass sie lediglich bei namhaften Opfern, wo es sich finanziell richtig lohnt, höheren Aufwand betreiben. Für andere Unternehmen finden die Cyberkriminellen fertig vorbereitete Zugangsdaten, gestohlene Passwörter und andere Infos/Optionen im digitalen Untergrund. Das wiederum beflügelt noch ein weiteres Geschäftsmodell — „Hacking as a Service“.
Der letztendliche Zeitpunkt, wenn die IT des Opfers stillsteht und nichts mehr geht, ist nur der „Big Bang“ des IT-Vorfalls. Dem gehen wochen- oder gar monatelange kleine Infiltrationsschritte voraus. Das heißt, der Angriff kommt nicht gleich als Sturm sondern als Windhauch daher und verteilt sich erst überall, bevor er den Orkan auslöst. Das Schadenspotenzial für das Opfer wird dadurch noch größer, wenn auch Sicherungs- und Backupsysteme bereits kompromittiert sind. Darüber hinaus stehlen die Angreifer häufig auch Daten und die Betroffenen müssen sich nicht nur entscheiden, ob sie diese wiederhaben wollen, sondern auch ob sie die Exklusivrechte behalten möchten — vorausgesetzt man vertraut der Gaunerehre, versteht sich.
Die Lehren
Security-Technologie funktioniert in aller Regel gut. Aber auch sie hat ihre Schwächen. So sind Schutzmauern üblicherweise dafür gebaut, dem Sturm zu widerstehen. Sie reagieren aber häufig wie Windräder, die auf Luftbewegungen achten. Ist der Lufthauch zu gering, oder kommt er aus ungünstiger Richtung, wird er nicht wahrgenommen oder führt zu keiner Reaktion.
Es wird deshalb zunehmend wichtiger, auch diesen Lufthauch wahrzunehmen. Das heißt für die IT-Sicherheit, Anomalien in der Infrastruktur und auf den Endgeräten zu erkennen und miteinander in Zusammenhang zu setzen, um anschließend wirksame Gegenmaßnahmen festlegen zu können. Sogenanntes umfassendes Detection & Response (XDR) erkennt und zeigt diese Zusammenhänge über mehrere Ebenen hinweg. Trend Micro gehört dabei zu wenigen Herstellern, die nicht nur eine solche Lösung offerieren, sondern sie auch für Unternehmen jeglicher Größenordnung und technischer Voraussetzungen nutzbar machen.