„Cybersecurity nicht in Silos denken“

Wir sprachen mit Frank Kölmel, Vice President Central Europe bei Cybereason, zur zunehmenden Professionalisierung von Cyberkriminalität.

Herr Kölmel, jedes Jahr nehmen Cyberangriffe zu. Vor allem die Anzahl der Ransomware-Attacken scheint enorm zu steigen. Werden wir auch 2022 mit immer mehr Angriffen rechnen müssen? Und gibt es eine Entwicklung, die wir besonders im Auge behalten sollten?
Ja, solange es lohnende Ziele gibt, die teilweise nicht optimal geschützt sind, bleibt die digitale Welt eine Spielwiese für Hacker. Die Zunahme von Ransomware-Attacken ist dabei keine Überraschung. Zum einen sind viele Unternehmen nicht richtig vorbereitet. Wenn die Angreifer dann erfolgreich waren und viele Daten verschlüsselt haben, sind sie oft schnell bereit, die Lösegeldforderung zu zahlen. Das ist natürlich die schlechteste Idee, wenn es nicht gerade um das Leben von Menschen oder die Nationale Sicherheit geht. Aber durch die relativ hohe Zahlungswilligkeit bleiben Ransomware-Angriffe eine lohnende Taktik für Cyber-Kriminelle. Zusätzlich sehen wir immer öfter Ransomware as a Service (RaaS) – also ein Geschäftsmodell, bei dem Kriminelle anderen Kriminellen einsatzbereite Ransomware gegen eine Gebühr zur Verfügung stellen. Das senkt die Hürde für Angreifer noch weiter. Diese Professionalisierung wird sich auch 2022 fortsetzen. Statt Guerilla-Aktionen einzelner Kleingruppen, die ihre Schadsoftware möglichst breit streuen, entwickeln sich gut orchestrierte Ransomware-Kampagnen. Mittlerweile bilden sich Kartelle, die Ransomware zu einem Element groß angelegter Angriffsstrategien machen. Diese bezeichnet man als sogenannte RansomOps. Haben Ransomware-Angreifer bisher häufig direkt nach dem Eindringen in Unternehmensnetze Daten verschlüsselt, verfolgen RansomOps einen Ansatz, bei dem Unternehmen langfristig infiltriert werden. Nachdem es die Schadsoftware in das Netzwerk geschafft hat, verhält sie sich zunächst unauffällig und sammelt Informationen über die wertvollen Daten wirklich lohnender Ziele. Unternehmen müssen also in Zukunft noch besser auf diese vergleichsweise unauffälligen Verhaltensmuster aufpassen – beispielsweise mithilfe von Indicators of Behavior (IOBs) – wenn sie ihre Netzwerke sichern wollen.

Frank Kölmel rät dazu, Erpressungsversuchen keinesfalls nachzugeben.

Sie sagen, dass Unternehmen die Ransomware Forderungen nicht zahlen sollten – warum?
Dafür gibt es einige Gründe. Die zwei wichtigsten sind die Unsicherheit und die große Zielscheibe, die man sich mit der Zahlung auf die Brust malt. Denn Hacker sind keine regulierte Organisation. Selbst wenn man zahlt, gibt es keine Garantie dafür, dass die Daten auch wirklich wieder freigegeben werden. Viele Entschlüsselungs-Keys der Cyber-Kriminellen funktionieren auch nicht ordentlich. Man könnte sagen, der „Kundenservice“ lässt zu wünschen übrig. Außerdem werden viele Unternehmen, die solche Forderungen zahlen, oft wieder Opfer. Denn die Angreifer setzen darauf, dass ein Unternehmen, das einmal gezahlt hat, auch wieder zahlen wird. Knapp 80 Prozent der Unternehmen, die eine Lösegeldforderung bezahlt haben, wurden laut einer Studie von uns wieder Opfer. Spannend ist dabei: bei 46 Prozent ist davon auszugehen, dass dieselben Angreifer dahinterstecken. Wenn es also nicht um Leib und Leben geht, sollten digitale Lösegeldforderungen am besten nicht bezahlt werden.

Gibt es noch weitere Entwicklungen, denen sich Unternehmen, die ihre Netzwerke gut absichern wollen, gewahr sein sollten?
Unternehmen, die ihre Security-Strategie umfänglich betrachten wollen, sollten 2022 auch ihre Supply Chain im Auge behalten. Denn viele Unternehmen besitzen heutzutage eine weitverzweigte und ausdifferenzierte Lieferkette mit Schnittstellen zu einer Vielzahl von Partnern. Diesen Umstand machen sich Cyberkriminelle zu Nutze, indem sie ihre Angriffe gezielt auf einzelne Glieder dieser Supply Chain konzentrieren. Die Ergebnisse unserer Recherchen zu DeadRinger und GhostShell waren bereits in diesem Jahr Indizien für diese Strategie. Angreifer attackierten beispielsweise gezielt Telekommunikationsfirmen, über die sie dann Zugang zu ihren eigentlichen Zielen erhalten haben. Auch hier zeigt sich, dass Cyber-Kriminelle in immer größeren Strukturen denken und häufiger langfristige Strategien verfolgen. Diese Entwicklung wird sich fortsetzen. Darüber müssen sich Unternehmen bewusst werden.

Hacker werden also auch in Zukunft keine Pause machen und sich immer weiter professionalisieren. Welchen Tipp würden Sie Unternehmen mitgeben, um sich zukunftssicher gegen Cyber-Angreifer zur Wehr zu setzen?
Wichtig ist, dass Cybersecurity nicht in Silos oder kleinen Einheiten gedacht wird. Ein Berg von Sicherheitstools, die nicht aufeinander abgestimmt sind und so Schwachstellen eröffnen und Fehlalarme auslösen, helfen niemandem. Wichtiger Ausgangspunkt für den Kampf gegen Hacker ist ein umfängliches Verständnis über die Aktivitäten im eigenen Netzwerk. Mit der zunehmenden Komplexität in den Netzwerken, verschwimmenden Grenzen und immer mehr Endpunkten ist das natürlich kein leichtes Unterfangen. Moderne Extended Detection and Response (XDR) Lösungen helfen hier aber enorm. Künstliche Intelligenz und Machine Learning Algorithmen unterstützen die oft überlasteten IT-Teams dabei, ein ganzheitliches Bild der Netzwerkaktivitäten zu zeichnen. Auf diese Weise können einzelne Ereignisse an den Endpoints mit Informationen aus anderen Bereichen des Netzwerks in Verbindung gebracht werden. So lassen sich auch Angriffe aufdecken, die gut getarnt sind und ohne Kontext nur als harmlose Aktivitäten betrachtet werden würden. Nur wer einen ganzheitlichen Blick auf sein Netzwerk hat und Angriffsmuster wirklich versteht, wird auch in Zukunft gegen neue Angriffsmuster gerüstet sein.

Weitere Informationen unter:
https://www.cybereason.com/de/


Bildquelle / Lizenz Aufmacher: Photo by JJ Ying on Unsplash