Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

RansomwareSicherheit

Unternehmen und auch öffentliche Institutionen sind zunehmend von aggressiven Cyberangriffen betroffen. Laut dem BKA sind die verantwortlichen Hacker immer seltener die eigentlichen Drahtzieher, sondern lediglich gut bezahlte Dienstleister. Bei den Auftraggebern handelt es sich vermutlich oft selbst um Unternehmer, die der Konkurrenz mit Wirtschaftsspionage, Sabotage oder Erpressung schaden wollen. Für Letzteres kommt in der Regel sogenannte „Ransomware“ zum Einsatz.

Hinter der Bezeichnung verbirgt sich Schadsoftware, die Datensätze verschlüsselt und den Zugriff versperrt. Die betroffenen Unternehmen werden anschließend im Austausch für das nötige Passwort zur Zahlung einer bestimmten Geldsumme aufgefordert. Doch es gibt Wege, sich vor dieser perfiden Masche zu schützen.

Cyberattacken per Ransomware als Dienstleistung

Ransomware-as-a-Service (kurz RaaS), also ein gezielter Angriff mit Erpressersoftware als Dienstleistung, ist ein relativ neuer Trend. Seinen Ursprung hat dieses Phänomen in einer zunehmenden Professionalisierung und damit einhergehenden Kommerzialisierung bestimmter Teile der Hackerszene. Die Anbieter dieser illegalen Dienstleistungen tummeln sich im Darknet und führen Angriffe entweder als Auftragsarbeit durch oder sie stellen entsprechende Tools mit dazugehöriger Anleitung für eine gewisse Geldsumme bereit. Dabei haben sich manche Hacker-Kollektive zu richtigen Untergrund-Software-Firmen weiterentwickelt, mit unternehmensähnlichen Strukturen und verschiedenen Preismodellen. So können Kunden die nachgefragte Software in manchen Fällen sogar in Form von Abonnements nutzen.

Wie Ransomware ins Firmennetzwerk gelangt

Ein Angriff mit Ransomware kann erst einmal viele treffen. Neben Unternehmen sind Behörden, Bildungseinrichtungen und sogar Krankenhäuser beliebte Ziele der Ransomware-Angriffe. Selbst Energieversorger und andere Produzenten und Dienstleister, die Teil der kritischen Infrastruktur sind, werden nicht verschont. Das heimtückische ist, dass es viele Wege gibt, über die eine verschlüsselnde Schadsoftware verbreitet werden kann. Ein Klassiker ist das Einschleusen über E-Mail-Anhänge. Ist die Datei erst einmal heruntergeladen, muss die Person sie nicht einmal öffnen, da sich das Programm in der Regel selbstständig installiert. Im Anschluss übernimmt sie die Kontrolle und infiziert das interne Netzwerk über den Server. Da die Ransomware-Invasion per E-Mail jedoch eine sehr bekannte Strategie ist, nutzen Angreifer mittlerweile auch ganz andere Kanäle, wie Messenger und Soziale Netzwerke. Im Endeffekt kann jede Kommunikationsmöglichkeit genutzt werden, über die sich ein zusätzlicher Dateianhang verschicken lässt.

Welche Vorkehrungen Unternehmen treffen können

Obwohl das Bedrohungsszenario unberechenbar wirkt. Sind potenzielle Opfer einem Ransomware-Angriff keinesfalls schutzlos ausgeliefert. Wichtig ist ein ganzheitliches Konzept, welches nicht nur die Technik, sondern auch den Faktor Mensch mit einbezieht.

Firewalls und Verschlüsselungen nutzen

Ob nur im Büro oder auch im Homeoffice gearbeitet wird: Verbindungen sollten immer in beide Richtungen geschützt sein. Daher empfiehlt es sich Anonymisierungs- und Verschlüsselungstools wie ein VPN geschäftlich zu nutzen. Ebenfalls sollten eine aktuelle Antivirensoftware und eine Firewall vorhanden sein. Diese Komponenten bilden die technische Basis für die Prävention.

Regelmäßige dezentrale Backups

Was im Privaten gilt, gilt umso mehr im Unternehmen: regelmäßige Backups sind essenziell. Vor allem bei sensiblen und personenbezogenen Daten müssen entsprechende Vorkehrungen schon aus datenschutzrechtlichen Gründen getroffen werden. Die Daten sollten jedoch nie nur an einem Ort gespeichert werden. Gerade im Falle eines Ransomware-Angriffs wäre dies fatal. Stattdessen sollten Backups über externe Speichermedien und Cloud-Services laufen.

Einschränkungen und Rollen vergeben

Nicht jeder Mitarbeiter muss Zugriff auf das gesamte interne Netzwerk und alle Softwaretools haben. Unautorisierte Zugriffe lassen sich auch dadurch verhindern, dass selbst für autorisierte Personen Einschränkungen vorgesehen sind. So verhindern Arbeitgeber beispielsweise auch, dass problematische Software im Homeoffice auf Firmenhardware landet und neue Sicherheitslücken schafft.

Schulung der Mitarbeiter & klare Richtlinien

Menschliches Versagen spielt bei Cyber-Angriffen eine größere Rolle als vielen bewusst ist. Viele Hacker nutzen die Gutgläubigkeit von Mitarbeitern eines Unternehmens klar aus, um sich getarnt als Admin, Kunde oder Kollege einzuschleusen. Regelmäßige Schulungen zur System- und Netzwerksicherheit schaffen ein Bewusstsein für mögliche Gefahrenquellen. Ergänzend hilft ein Katalog mit klaren Richtlinien für den Umgang mit Software und Hardware.

Deshalb sind kriminelle Geschäftsmodelle wie RaaS so erfolgreich

Dass sich Cyber-Kriminelle gerade in den letzten Jahren sprunghaft professionalisiert haben, ist kein purer Zufall. Zum einen ist das Angebot im Darknet rapide angewachsen, weshalb sich viele Einzelakteure zu Netzwerken zusammengeschlossen haben, aus denen die aktuellen Cybercrime-Dienstleister gewachsen sind. Gleichzeitig ist der anonymisierte Geldtransfer mit dem Aufkommen von Kryptowährung deutlich unkomplizierter und zugänglicher geworden. Virtuelle Vermögenswerte lassen sich außerdem viel schneller „waschen“ und zu „sauberem Geld“ machen. Dadurch hat die technische Entwicklung zusätzlich Öl ins Feuer gegossen. Ein weiterer Grund ist, dass Ransomware eine hohe Erfolgsquote in Aussicht stellt und dadurch als kommerzielles Produkt auf dem Schwarzmarkt zu einem echten Verkaufsschlager geworden ist.

Welche Tools bei einem Ransomware-Angriff akut helfen

Selbst wenn es trotz aller Vorkehrungen zu einem erfolgreichen Angriff mit Ransomware gekommen sein sollte, gibt es noch Hoffnung. Spezielle Tools, die beispielsweise auf die Entschlüsselung spezialisiert sind, lassen sich zeitnah einsetzen. Die Wirksamkeit hängt jedoch davon ab, wie gut die Schlüsseldatenbanken aufzuspüren und zu rekonstruieren sind. Wichtig ist daher möglichst schnell zu agieren. Dabei kann Monitoring-Software helfen, die durch Analysen Abweichungen in der Netzwerkaktivität erkennt und im Verdachtsfall Alarm schlägt. Zusätzlich lässt sich so eine potenziell gefährliche Anwendung blockieren, bevor ein zu großer Schaden entsteht.

Lesen Sie auch :