Ransomware: Wegversichern ist keine Option

Gegen Erpressungssoftware hilft nur Prävention

von Frank Kölmel

Gastautor: Frank Kölmel, VP CEUR bei Cybereason
(Bildrechte: Cybereason)

Hinter dem Konzept „Ransomware“ steckt ein genial einfaches Angriffsmodell, das aus Sicht der Opfer extrem kompliziert zu bekämpfen ist. Sich dagegen zu versichern, klingt nach einer guten Idee. Einer neuen Studie zur Folge aber hat auch diese Strategie ihre prinzipiellen Wirkungsgrenzen. Außerdem gilt: Ob mit oder ohne Versicherung – ohne technisch-organisatorische Prävention ist der Business-Impact immer unangenehm groß.

Ransomware ist ein gutes Beispiel für eine Bedrohung, die den klassischen Angreifervorteil verdeutlicht. Das Prinzip dahinter ist schon lange bekannt, die Auswahl der möglichen Gegenmaßnahmen auch, aber richtig voran kommen die Unternehmen bei der Gegenwehr nicht. Dies liegt unter anderem daran, dass die Angreifer meist mit recht gut standardisierter Schadsoftware arbeiten können, die sie außerdem nur einmal erfolgreich einschleusen müssen, damit sie ihr Zerstörungswerk beginnen kann. Die potenziellen Opfer dagegen können nichts anderes tun als ihr gesamtes Sicherheitsniveau mit mehreren Einzelmaßnahmen zu heben und entsprechende Richtlinien durchzusetzen.

Hinzu kommt, dass ein Unternehmen zusätzlich wirksame Notfall-, Wiederanlauf- und Business-Continuity-Strategien implementieren muss, da eine zumindest teilweise erfolgreiche Attacke selbst bei bester Vorbereitung nie vollständig ausgeschlossen werden kann.

Versicherer haken nach

Eine aktuelle Studie zum Thema Ransomware, hat sich auch zweier Aspekte von Ransomware angenommen, die bisher noch ein wenig im Dunklen liegen: Die Untersuchung liefert ein besseres Bild über die tatsächlichen direkten Schäden, die Ransomware anrichtet, und zeigt darüber hinaus konkrete Dimensionen längerfristiger Auswirkungen einer Attacke auf die wirtschaftlichen Aktivitäten der Betroffenen. Außerdem wirft sie ein Licht darauf, was von der Strategie zu halten ist, das Ransomware-Risiko per Cyber-Versicherung zu minimieren.

Letzteres scheint vielen Organisationen, die an der oben angedeuteten Komplexität der Abwehr verzweifeln, ein probater Ausweg zu sein. Leider stößt dieser Ansatz aber auf prinzipielle Grenzen, was bereits zu Reaktionen der Versicherer geführt hat: Branchen-Insider berichten davon, dass in vielen Organisationen derzeit neue, Ransomware-bezogene „Risikogespräche“ von den Versicherern initiiert werden. Andere Kunden bekommen zumindest Fragebögen zugesandt, in denen sie genauer denn je Auskunft über ihre Anti-Ransomware-Maßnahmen geben müssen. Ziel der Versicherer ist es offenbar, ihr eigenes Risiko auf diesem Gebiet zu minimieren.

Ein Blick in die Zahlen der Cybereason-Studie, an der neben anderen weltweit verteilten Organisationen auch deutsche Unternehmen teilgenommen haben, lässt erahnen, was die Versicherungsunternehmen dabei umtreibt:

  • 80 Prozent der Organisationen, die Opfer einer Ransomware-Attacke wurden und Lösegeld gezahlt haben, werden ein weiteres Mal angegriffen.
  • 32 Prozent der betroffenen Organisationen verlieren im Zuge der Attacke einen Teil ihres Top-Managements, 29 Prozent müssen Stellen einsparen.
  • 25 Prozent sind zumindest zeitweise gezwungen, ihren kompletten Betrieb einzustellen.
  • 66 Prozent geben an, empfindliche Umsatzeinbußen zu erleiden. Bei deutschen Unternehmen liegt diese Zahl sogar bei 75 Prozent. Branchenbezogen sehen sich weltweit beispielsweise 73 Prozent der befragten Finanzdienstleister, 74 Prozent der Einzelhändler und 58 Prozent der Unternehmen aus der Automobilbranche entsprechend nachhaltig geschädigt.
  • 53 Prozent räumen ein, dass der Ruf ihrer Marke in Mitleidenschaft gezogen wurde.

Bei Versicherern muss dieses Bild zwangsläufig Bedenken wecken. Bei einem Hausbesitzer, der wegen mangelnder Sicherheitsvorkehrungen Einbruchsopfer wird, kann eine Versicherung damit rechnen, dass er nach diesem Erlebnis vorsichtiger wird und froh darüber ist, versichert gewesen zu sein. Im Ransomware-Bereich haben die Anbieter es dagegen mit 80 Prozent Kunden zu tun, die nach einem  Vorfall noch einmal zahlen müssen. Zudem arbeiten sie mit Organisationen zusammen, die nach der Attacke zu einem nennenswerten Teil in Schwierigkeiten geraten und eventuell mit dem Management auch noch die relevanten Ansprechpartner austauschen.

Perfide Rückkopplungsreaktion

Hinzu kommt, dass hinter den 80 Prozent der mehrfach Betroffenen möglicherweise ein Rückkopplungseffekt steckt, dem eine perfide Kalkulation der Angreifer zugrunde liegt: Wer

 – vielleicht, weil er gut versichert ist – relativ schnell auf die Forderungen der Hacker eingeht, tut dies mit etwas Glück auch ein weiteres Mal. Und vielleicht lohnt sich gerade deshalb die Investition in eine umso gezielter vorbereitete zweite Attacke. Übrigens auch ein guter Grund, eine existierende Cyber-Versicherung gegen Ransomware nicht unbedingt an die große Glocke zu hängen.  

Bereits jetzt übernimmt der Umfrage zufolge in 42 Prozent der Fälle die Versicherung ohnehin nicht den gesamten Schaden. Dieser Wert dürfte in Zukunft eher noch sinken. Kunden können weitere Einschnitte nur verhindern, wenn sie glaubhaft sinnvolle technisch-organisatorische Gegenmaßnahmen belegen können. Die Studie zeigt dabei auch, was erstens wirkt und zweitens von den meisten Betroffenen nach einer Attacke dann endlich doch in Angriff genommen wird. Die Top 5 der nach dem Ransomware-Schock implementierten Lösungen ist:

  • E-Mail-Scanning mit 41 Prozent: Eine bessere Aufdeckung und Blockade von Malware lohnen sich. Anwender sollten darauf achten, dass die gewählte Lösung das Thema Ransomware explizit abdeckt, also stets aktuelle Informationen über typische Ransomware-Merkmale erhält.  
  • Data Backup und Recovery mit 43 Prozent: Eigentlich verwunderlich, dass dies nicht der Top-Punkt ist – aber wenn dieses Modell der Absicherung gegen Ransomware helfen soll, muss es mit einem geeigneten, schlagkräftigen Prozess für Notfallmanagement und Wiederanlauf verbunden sein. Tatsächlich arbeiten viele Unternehmen daran noch, und ein entsprechendes Gesamtkonzept lässt sich nicht „mal eben“ nach einer Attacke umsetzen.
  • Endpoint Protection mit 44 Prozent: Ein „No-Brainer“, weil die Ausbreitung der Ransomware hier startet und unmittelbaren Schaden anrichtet.
  • Security Operations Center mit 48 Prozent: Eine Zahl, die nachdenklich macht. Einfach nur irgendein SIEM mit Team schnell als Managed Service einzukaufen oder selbst aus dem Boden zu stampfen, hilft wenig. Ein Standard-SOC meldet das Auftreten von Ransomware typischerweise erst dann, wenn an den ersten Arbeitsplätzen schon der Lösegeld-Screen das Arbeiten verhindert und eventuell bereits kritische Systeme betroffen sind. Der Anbieter und das System müssen auf Ransomware-Erkennung ausgerichtet sein, und es müssen entsprechende Use Cases und Response-Prozesse existieren. Allerdings ist es in der Praxis leider so, dass Security-Abteilungen oftmals das Buchen eines Standard-SOC-Services eher genehmigt bekommen als das vielseitige Maßnahmenpaket, das wirkungsvolle Prävention überhaupt erst ermöglicht.
  • Security Awareness Training mit 48 Prozent: Eine sehr sinnvolle Investition, weil viele Ransomware-Angriffe über Mail und Links erfolgen und auf entsprechende Social-Engineering-Taktiken setzen.

Weitere nutzbringende und nach erfolgreichen Attacken häufiger getroffene Maßnahmen sind Web-Scanning, EDR/XDR, zusätzliche Antivirus-Lösungen, Sicherheit für Mobilgeräte und SMS sowie ein Ausbau bei den Managed Services.

Was gegen Ransomware hilft und was darüber hinaus dazu beiträgt, das Beste aus einer Cyber-Versicherung zu mache, sind jene Maßnahmen, die bei vielen Unternehmen ohnehin auf der Liste bereits existierender Security-Programme stehen.  Sie werden nur deshalb nicht umgesetzt, weil die Ressourcen fehlen oder die damit verbundenen Change-Prozesse einfach langwierig sind.

Hier und da kommen auch psychologische Faktoren ins Spiel, etwa weil eine der sinnvollsten Maßnahmen gegen opportunistische Angriffe in der sparsamen Zuteilung oder dem Entzug von lokalen Management-Rechten liegt: ein heißes Eisen für manchen CISO, weil hier oft genug auch das Management protestiert.

Fazit

Man darf also davon ausgehen, dass Ransomware noch eine Weile Erfolge feiern wird, und dass die Security-Teams der Anwender und die Versicherungen noch für geraume Zeit eine Allianz gegen die Bedrohungen bilden müssen. Wie lange das funktioniert, ist fraglich, denn mit der rasant sich ausbreitenden Digitalisierung werden immer kritischere Systeme für die bösartige Verschlüsselung zugänglich, etwa in den ohnehin nur mit Mühe abzusichernden Produktionsumgebungen. Wie jüngste Fälle zeigen, muss eine erfolgreiche Attacke auf diesem Sektor ja nicht einmal die proprietären Industriesteuerungen selbst manipulieren, sondern es reicht ein Befall von Terminal-PCs mit Standard-Betriebssystemen oder angebundenen Warenwirtschaftssystemen, um Produktionsprozesse aus dem Takt zu bringen.

Ransomware ist eine jener Bedrohungen mit besonders großem Störungs- und Schadenspotenzial und einer hohen Eintrittswahrscheinlichkeit. Dieses Risiko gehört auf der Security-Agenda ganz nach oben, und kann nicht „wegversichert“ werden. 

Die komplette Studie steht unter https://www.cybereason.com/ebook-ransomware-the-true-cost-to-business  zum Download bereit.    

Mehr vom Autor Frank Kölmel:


https://www.trendreport.de/ransomware-zahlen-oder-nicht-zahlen/

Aufmacherbild / Quelle / Lizenz
Photo by Nohe Pereira on Unsplash