Das Schulungs-Portal für Reseller von

KW 46 / 2022

Deutschland verstärkt im Visier von Ransomware-Angreifern

Gegenwehr braucht Expertise – Chancen für Reseller

Deutsche Unternehmen stehen bei der Sicherung ihrer kritischen Infrastrukturen vor enormen Herausforderungen. Zu diesem Ergebnis kommt der aktuelle Trellix Report des Advanced Research Centers. Doch um eine umfassende IT-Sicherheitsstrategie zu gewährleisten, gehört Cyber Security auf die Top-Agenda der Unternehmenslenker. Gefragt sind Systemhäuser, die mit ihrer Security-Kompetenz Unternehmen einen 24x7-Support bieten.

Die ChannelAcademy hilft Resellern das Geschäftsmodell im Bereich Ransomware-Angriffe zu erweitern.

Der aktuelle „Threat Report November 2022“ von Trellix gibt Aufschluss über die Cybersicherheitstrends im dritten Quartal 2022. Demnach verzeichnete Deutschland im dritten Quartal im internationalen Vergleich nicht nur die meisten Advanced Persistent Threat-Attacken (29 Prozent der beobachteten Aktivitäten), sondern auch die meisten Ransomware-Fälle. Letztere stiegen im Vergleich zum Vorquartal um 32 Prozent und machten damit 27 Prozent der weltweiten Ransomware-Aktivitäten aus.

Dabei rücken bestimmte Branchen in den Fokus der Angreifer: Transport- und Versandunternehmen standen im dritten Quartal im Fadenkreuz einer ganzen Armada von Angreifern. Allein in den USA stiegen die Ransomware-Aktivitäten im Vergleich zum Vorquartal um 100 Prozent. Weltweit rangiert die Logistikbranche damit auf Platz zwei der bedrohten Branchen, direkt hinter der Telekommunikationsbranche.

Die Studie identifiziert neue Ransomware-Trends: Die Ransomware Phobos, die als Komplettpaket im Darknet vertrieben wird, konnte bislang weitgehend unter dem Radar der breiten Öffentlichkeit bleiben. Dennoch entfielen 10 Prozent der weltweiten Aktivitäten auf diesen Trojaner; in den USA war Phobos im dritten Quartal sogar die zweithäufigste Ransomware überhaupt. Weltweit liegt LockBit mit 22 Prozent aller Erkennungen nach wie vor an der Spitze.

Aber auch legale Tools werden missbraucht: Nach Beobachtungen der Trellix-Experten war Cobalt Strike an 33 Prozent der weltweiten Ransomware-Aktivitäten und 18 Prozent der APT-Erkennungen beteiligt. Cobalt Strike ist ein legal erhältliches Tool, mit dem sich Angriffsszenarien emulieren lassen, um die Betriebssicherheit zu erhöhen. Gleichzeitig ist es ein beliebtes Werkzeug für Cyberkriminelle, die seine Funktionalität für ihre Zwecke missbrauchen.

Präventiver Schutz allein reicht nicht aus

„Im Idealfall sollten Ransomware-Angriffe natürlich gar nicht erst ins Netzwerk gelangen. Um diesen Wunsch zu erfüllen, arbeiten Anbieter von Sicherheitslösungen kontinuierlich daran, mit den Angreifern Schritt zu halten“, sagt Johannes Streibich, Vertriebsleiter bei der HPE-Tochter Zerto. Ein hundertprozentiger Schutz vor neuen Sicherheitsbedrohungen wie APTs (Advanced Persistent Threats) und Zero-Day-Exploits ist ihnen jedoch noch nicht gelungen.

Die aktuelle IDC-Studie "The State of Ransomware and Disaster Preparedness: 2022" zeigt, dass 93 Prozent aller Unternehmen in den letzten 12 Monaten datenbedingte Störungen des Geschäftsbetriebs verzeichnet haben. Und 67,8 Prozent der befragten Unternehmen hatten sogar vier oder mehr solcher Störungen in einem Kalenderjahr. IT-Sicherheit ist die erste Verteidigungslinie, kann aber natürlich nicht alle Angriffe abwehren.

Daher müssen sich alle Unternehmen auf das Worst-Case-Szenario eines erfolgreichen Angriffs vorbereiten. Um sich auf einen erfolgreichen Angriff vorzubereiten, verlassen sich die meisten Unternehmen auf eine altbekannte Technologie zur Wiederherstellung, die sie bereits implementiert haben: Backups.

Organisationen nutzen Backups seit langem als Standardwerkzeug zur Sicherung ihrer Daten. Der Ansatz traditioneller Backups hat sich in den letzten Jahrzehnten kaum verändert, von der magnetischen Bandspeicherung in den 1950er Jahren bis zum modernen Cloud-Backup: Daten werden in festgelegten Intervallen auf ein zweites Medium oder einen zweiten Speicherort kopiert. Längere Intervalle sind zwar mit Datenverlusten verbunden, aber mit der heute fast überall angewandten 3-2-1-Backup-Strategie lassen sich in den allermeisten Fällen fast alle Daten wiederherstellen.

Allerdings haben Backups die Schwäche, dass sie nur einzelne Server schützen, nicht aber komplette Anwendungen als Ganzes, die in der Regel aus verschiedenen Komponenten (z.B. Datenbank, Webserver) bestehen. Die Folge dieser siloartigen Fokussierung auf einzelne Server sind Wiederherstellungszeiten von Tagen bis Wochen. Denn nach der Wiederherstellung der Daten muss eine funktionierende Anwendung erst wieder manuell aus ihren zahlreichen Bestandteilen zusammengesetzt werden.

Kein Wunder also, dass die meisten Unternehmen kein Vertrauen in ihre aktuellen Backup- und DR-Lösungen haben. Nur 28 Prozent der Befragten gaben in der IDC-Studie an, dass sie davon überzeugt sind, dass ihr Backup-System alle Daten zeitnah wiederherstellen kann.

Komplexität reduzieren oder Sicherheit weiter erhöhen?

72 Prozent der Unternehmen erwarten daher, dass sie mit ihrem auf Backups basierenden Ansatz ihre wichtigen Daten im Falle eines erfolgreichen Ransomware-Angriffs nicht rechtzeitig wiederherstellen können. Diese Situation ist auf Dauer natürlich nicht tragbar. Die Datensicherheitsverantwortlichen dieser Unternehmen suchen daher nach Möglichkeiten, ihre lückenhafte Strategie zu verbessern, um Daten und Workloads schneller wiederherstellen zu können.

Idealerweise sollte dies geschehen, ohne die bereits hohe Komplexität der zahlreichen ineinander greifenden Sicherheitslösungen weiter zu erhöhen. Zu diesen Lösungen gehören neben Backups auch spezielle Recovery-Software, Snapshots, Spiegelung und speicherbasierte Replikation sowie weitere Disaster Recovery-Strategien. Diese mehrschichtige Sicherheitsumgebung soll die Wiederherstellung von Daten im Fehlerfall gewährleisten. Dementsprechend wünschen sich die Verantwortlichen eine Konsolidierung dieses komplexen Flickenteppichs an Sicherheitslösungen.

Da aber Backups allein für eine schnelle Wiederherstellung nicht ausreichen, haben Unternehmen eine klaffende Sicherheitslücke in ihrer Verteidigungslinie. Es gilt daher, strategisch abzuwägen, wie wichtig es für ein Unternehmen ist, größere Datenverluste und lange Ausfallzeiten zu vermeiden.

Die Abwägung für oder gegen eine Lösung zur Schließung dieser Sicherheitslücke wäre in den meisten Unternehmen eindeutig: Laut IDC belaufen sich die durchschnittlichen Ausfallkosten branchenübergreifend auf 250.000 Dollar pro Stunde. Es überrascht daher nicht, dass immer mehr Unternehmen DR-Lösungen einsetzen, um ihre kritischen Daten und Workloads schneller wiederherstellen zu können.

Das Schöne daran: Mit einer CDP-basierten Softwarelösung (CDP steht für Continuous Data Protection) sind diese Unternehmen nicht nur effektiver geschützt, sondern können häufig auch die Komplexität ihres bestehenden Lösungs-Stacks reduzieren. Denn bei einer agnostischen CDP-Lösung wird weder mit Agenten noch mit Snapshots gearbeitet, es gibt keine Hardware-Abhängigkeiten und keine umfangreichen Schulungs- und Administrationsaufwände.

Schäden durch Ransomware-Angriffe nehmen an Feiertagen und Wochenenden zu

Der XDR-Anbieter Cybereason hat die Ergebnisse einer weltweiten Studie zu Ransomware-Angriffen an Feiertagen, Wochenenden und in der Urlaubszeit veröffentlicht. Die Studie zeigt eine anhaltende Diskrepanz zwischen dem erhöhten Risiko von Ransomware-Angriffen in diesen Zeiträumen und der Vorbereitung der Unternehmen darauf. Im Vergleich zu den Ergebnissen des Vorjahres dauert es deutlich länger, Angriffe in diesen Zeiträumen zu bewerten und abzuwehren.

Die längere Bearbeitungszeit ist darauf zurückzuführen, dass 44 Prozent der Unternehmen ihr Sicherheitspersonal an Feiertagen und Wochenenden um bis zu 70 Prozent im Vergleich zu Wochentagen reduzieren. Besonders gravierend ist, dass 20 Prozent der Unternehmen das Sicherheitspersonal sogar um 90 Prozent im Vergleich zu Wochentagen reduzieren. Umgekehrt sind nur 7 Prozent der Unternehmen an Feiertagen und Wochenenden zu mindestens 80 Prozent mit Personal besetzt.

Ransomware-Angriffe können reduziert werden und viele Unternehmen bieten Endpoint Detection & Response-Technologien an, um diese Bedrohung zu stoppen. Ein Schritt in die richtige Richtung ist aber auch die Einführung eines Security Awareness Programms für Mitarbeiter, das sicherstellt, dass Betriebssysteme und andere Software regelmäßig aktualisiert und gepatcht werden.

Darüber hinaus sollten klar definierte Isolationsverfahren vorhanden sein, um ein weiteres Eindringen in das Netzwerk oder eine Ausbreitung der Ransomware auf andere Geräte zu verhindern. Gegebenenfalls kann auch die Sperrung kritischer Accounts helfen. Der Weg, den Angreifer häufig einschlagen, um Ransomware in einem Netzwerk zu verbreiten, ist die Ausweitung von Rechten bis auf die Ebene der Admin-Domäne und die anschließende Bereitstellung der Ransomware.

Phishing ist die häufigste Form des Social Engineering, ein allgemeiner Begriff, der den Versuch beschreibt, Benutzer zu manipulieren oder zu täuschen. Es handelt sich um einen zunehmend verbreiteten Bedrohungsvektor, der bei vielen Sicherheitsvorfällen zum Einsatz kommt. Bei einem Brand-Phishing-Angriff versuchen Kriminelle, die offizielle Website einer bekannten Marke zu imitieren, indem sie einen ähnlichen Domänennamen oder eine ähnliche URL und ein ähnliches Website-Design wie die echte Website verwenden.

Der Link zur gefälschten Website kann per E-Mail oder SMS an die Zielperson geschickt werden, der Nutzer kann beim Surfen im Internet umgeleitet werden oder der Link kann durch eine betrügerische mobile Anwendung ausgelöst werden. Die gefälschte Website enthält häufig ein Formular, das dazu dient, Login-Daten, Zahlungsinformationen oder andere persönliche Daten des Nutzers zu stehlen.

Im dritten Quartal war ein drastischer Rückgang der Phishing-Versuche im Zusammenhang mit LinkedIn zu verzeichnen, was uns daran erinnert, dass Cyberkriminelle ihre Taktiken häufig ändern, um ihre Erfolgschancen zu erhöhen. LinkedIn ist jedoch nach wie vor die am dritthäufigsten imitierte Marke, weshalb wir allen Nutzern dringend raten, bei E-Mails oder Nachrichten, die angeblich von LinkedIn stammen, wachsam zu sein. Da DHL die am häufigsten gefälschte Marke ist, ist es wichtig, dass jeder, der eine Lieferung erwartet, direkt auf die offizielle Website geht, um den Fortschritt und/oder Benachrichtigungen zu überprüfen. Vertrauen Sie keinen E-Mails, insbesondere nicht, wenn Sie aufgefordert werden, Informationen weiterzugeben.

Chancen für Reseller mit Sicherheitsexpertise

• 24x7 Security Service für Organisationen (mit Schwerpunkt auf Samstagen, Sonn- und Feiertagen)
• Erstellung von Notfallplänen für Organisationen
• Aktualisierung von Abwehrlösungen (Endpoint Detection & Response Technologien)
• Aufbau und Betrieb von Backup- und Continous Data Protection-Infrastrukturen
• Offline-Backups sicherstellen (3-2-1-Strategie für Backups umsetzen)
• Wiederherstellungstests durchführen (mit möglichst kurzen Wiederherstellungszeiten)
• Security Awareness Programm für Mitarbeitende (Sensibilisierung für Phishing-Attacken)
• Maßnahmen gegen CaaS ergreifen

© ROUTMAIL Redaktion
Author Rainer Huttenloher

Weitere Informationen:

    Podcast

    Ausgewählte Fokusthemen sind auch als Podcast verfügbar. Wir freuen uns, wenn Sie unseren Podcast abonnieren.

    EXKLUSIV: WISSENSVORSPRUNG FÜR RESELLER

    Jetzt kostenlos registrieren