Ransomware ist die derzeit wohl größte Herausforderung für Sicherheitsverantwortliche. Kaum ein Tag vergeht, an dem nicht ein weiteres Unternehmen von Attacken betroffen ist. Was können Unternehmen tun, um sicherzustellen, dass sie nicht das nächste Opfer sind? Sind Angriffe unvermeidlich?
Es gibt in der Cybersecurity keine absoluten Wahrheiten. Außer dieser vielleicht: Es ist keine Frage ob, sondern wann ein Unternehmen Opfer eines Angriffs wird. Aus diesem Grund ist es ratsam, bei allen Sicherheitsanstrengungen und -initiativen davon auszugehen, dass es Angreifer in die eigenen Systeme geschafft haben. Auf diesen Fall muss man sich vorbereiten und entsprechende Pläne erstellen. Denn auch wenn sich viele dessen nicht bewusst zu sein scheinen: Vorbei sind die Zeiten in denen Unternehmen sagen konnten, dass sie nicht interessant für Cyberkriminelle seien. Heutzutage geht es den Angreifern mehr denn je darum, Daten zu verschlüsseln, um den Betrieb zum Erliegen zu bringen. Waren bis vor kurzem fast ausschließlich Unternehmen in regulierten Märkten, z. B. die Finanzbranche oder am DAX notierte Unternehmen das Ziel einer Attacke, so ist es heute klarer denn je: Jedes Unternehmen verfügt über sensible und wertvolle Daten. Daraus ergeben sich zwei Konsequenzen: Entweder sind Angreifer an diesen Daten interessiert oder sie gehen davon aus, dass Unternehmen bereit sind, für die Entschlüsselung zu zahlen.
Noch vor wenigen Jahren speicherten die Mitarbeiter Dateien fast ausschließlich auf ihren Computern. Heute befinden sich diese Dateien zumeist auf gemeinsam genutzten Servern und in der Cloud. Bei einem Ransomware-Angriff ist entsprechend nicht nur ein einzelner Computer betroffen. Vielmehr werden oftmals weite Teile des Unternehmens lahmgelegt. Deshalb ist es von entscheidender Bedeutung, den Explosionsradius möglichst gering zu halten, also den Schaden, den ein einzelner kompromittierter Benutzer oder ein kompromittiertes System anrichten kann. So zeigen Untersuchungen, dass jeder Mitarbeiter von seinem ersten Arbeitstag an je nach Branche durchschnittlich Zugriff auf 6 bis 11 Millionen Dateien hat. Zu dieser enormen Zahl hat auch die zunehmende Verbreitung von Cloud-Diensten und Collaboration-Tools wesentlich beigetragen. Das Teilen auch von möglicherweise sensiblen Dateien wird hierdurch deutlich erleichtert bzw. sogar gefördert. Die Kehrseite: Im Falle eines Angriffs verschlüsselt die Ransomware alle Dateien, die sie über das gehackte Konto erreichen kann. Deshalb sollten Sicherheitsverantwortliche diesen potenzialen Schaden durch einen Least-Privilege-Ansatz auf ein Minimum reduzieren. Auf diese Weise wird die Gefahr zwar nicht vollständig gebannt, das Risiko und das Ausmaß jedoch deutlich reduziert.
Die Zeichen der Zeit stehen längst auf Cloud-Nutzung – mit all ihren Vorteilen, aber auch potenziellen Nachteilen oder Gefahren. Zur Tendenz, Dateien übermäßig stark zu teilen, kommt noch ein weiterer Punkt: Die meisten Mitarbeiter gehen davon aus, dass zum Beispiel eine Kollaborationssoftware, die sie täglich nutzen, sicher ist. Bis zu einem gewissen Punkt stimmt das sogar: SaaS-Anbieter schützen ihre Infrastruktur und die angebotenen Lösungen hervorragend. Gemäß dem Prinzip der geteilten Verantwortung sind die Unternehmen jedoch unmissverständlich für die Dateien, die in diesen SaaS-Anwendungen gespeichert werden, verantwortlich und können sich bei einem Verlust oder Missbrauch keinesfalls auf den Anbieter berufen.
Für die Nutzer erscheint die Nutzung verschiedener Cloud-Dienste durch die Integration zwischen Anwendungen und Plattformen mittels API-Verbindungen oft nahtlos. Die Verwaltung der SaaS- und IaaS-Plattformen sowie die einzelnen Sicherheitskontrollen und -warnungen für jede dieser Plattformen erfolgen jedoch meist isoliert. Dies verschafft Angreifern einen Vorteil: Eine Warnung über verdächtige Aktivitäten auf einer Plattform geht im Rauschen des Security-Alltags oft unter, da der nötige Kontext fehlt. Nur wenn man in der Lage ist, einzelne Warnungen über mehrere SaaS-Anwendungen hinweg zu verbinden, lassen sich Angriffe identifizieren. Deshalb ist ein ganzheitlicher Überblick über die verschiedenen Plattformen essenziell. Auch hier spielt der Explosionsradius über mehrere Cloud-Anwendungen hinweg eine entscheidende Rolle. Ist man in der Lage, zu weit gefasste Zugriffsrechte zu erkennen und automatisiert zu minimieren, reduziert sich die Anfälligkeit für einen Ransomware-Angriff deutlich. Kommt dann noch die intelligente Analyse des Nutzerverhaltens hinzu, die auffälliges Verhalten wie das reihenweise Öffnen, Kopieren oder Verschlüsseln von Daten erkennt, lassen sich Angriffe nahezu aller Art frühzeitig erkennen und automatisiert stoppen – ganz gleich, ob on-premises oder in der Cloud. Angreifer nutzen Ihr Wissen hinsichtlich der Überberechtigungen und den üblichen Ansätzen der Security-Lösungen (User- bzw. Rollen-basierte Zugangsberechtigungen) aus. Nur wer die Daten in den Fokus stellt und Berechtigungen managt, wird den Angreifern einen Schritt voraus sein, da man auf diese Weise sofort untypische Datennutzung erkennen und entsprechende Abwehrmaßnahmen einleiten kann.