Der DarkSide-Ransomware-Angriff auf die Colonial Kraftstoffpipeline, die etwa 45 Prozent des Diesel-, Benzin- und Flugzeugtreibstoffs der Ostküste der USA liefert, ist nur ein Beispiel, das sich mittlerweile in über 60 bekannte Fälle einreiht. Auch Irlands Gesundheitsdienst, Toshiba Europa oder das Essener Chemieunternehmen Brenntag gehören zu den mutmaßlichen Opfern. Immer wieder weist die Forensik der Vorfälle auf Probleme innerhalb des IT-Netzwerks hin, die bereits vor dem Vorfall bestanden und die zur Anfälligkeit für Angriffe beigetragen haben. Folglich stellt sich die Frage, weshalb die Betroffenen nicht alle potenziell möglichen Sicherheitsvorkehrungen ausgeschöpft haben und ob ein dedizierter Verantwortlicher für die Cybersicherheit zum Zeitpunkt der Ransomware-Attacke in der Organisation existierte.
John Shier, Senior Security Advisor bei Sophos, fasst die fünf wichtigsten Erkenntnisse aus den Angriffen seit Mai 2021 zusammen.
Priorität der IT-Sicherheit
Bei der heutigen Gefahrenlage braucht es in Unternehmen und Organisationen einen Verantwortlichen, der die aktuelle Gefahrenlage im Blick hat, der sich mit Security auskennt und der im Führungsgremium des Unternehmens sitzt: der Chief Information Security Officer (CISO). Auch wenn ein dedizierter CISO für manche Unternehmen nur schwer zu rechtfertigen ist, sollte eine adäquate Person existieren, die die Prioritäten für die IT-Sicherheit richtig zu setzen weiß und diese auch durchsetzt. Beispielsweise wurde bei der Anhörung von Colonial vor dem Senat bekannt, dass in den letzten fünf Jahren etwa 200 Millionen US-Dollar in die IT investiert wurden – ohne genaue Angaben, wie viel davon tatsächlich in die IT-Security flossen.
Die Fähigkeit, Prioritäten für die Cybersecurity im Unternehmen festzulegen, über ein ausreichendes Budget zu verfügen und die notwendigen Befugnisse zu haben, um die Prioritäten durchzusetzen, sind wesentliche Aspekte für die Cybersicherheit.
Sicherheitsstandards
In vielen Fällen, die das Sophos Rapid Response Team untersucht hat, ist der ursprüngliche Eintrittspunkt in das Netzwerk ein einzelnes gestohlenes Kennwort, meist für Remote-Dienste. Im Fall von Colonial benutzten die Angreifer das gestohlene Kennwort, um Zugang zu einem VPN-Dienst zu erhalten, der keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatte. Der Pipeline-Betreiber glaubte, dass dieses VPN-Profil nicht in Gebrauch ist und schenkte ihm vermutlich weniger Beachtung – eine typische Situation, die die Experten immer wieder beobachten. Die Chance ist groß, dass die Angreifer das Passwort durch einen früheren Einbruch erhalten haben, um es einige Zeit später für ihre Ransomware-Attacke einzusetzen. Daraus ergeben sich zwei äußerst wichtige Folgerungen: Verfügbare Sicherheitstechnologien wie MFA sollte immer aktiviert sein und die Security-Spezialisten sollten kleinere und zurückliegende Security-Vorfälle ernst nehmen, da sie die Vorboten für größere Angriffe sein können.
Visibilität von Netzwerkereignissen
Oft stellt das Sophos Rapid Response Team fest, dass die Opfer eine Ransomware-Attacke erst dann wahrnehmen, wenn die Ransomware tatsächlich gestartet wird und die Daten verschlüsselt werden. Allerdings sind die Angreifer meist lange vor der Aktivierung der Ransomware im Netz unterwegs. Die Vorbereitungen der Angreifer können Tage oder sogar Monate dauern, um einen größtmöglichen Schaden anzurichten beziehungsweise Profit zu erpressen. Sophos geht in seinem Active Adversary Playbook 2021 von einer durchschnittlichen Verweildauer der Angreifer im Netzwerk des Opfers von elf Tagen aus. Auch Colonial gehörte zu den Unternehmen, die nicht die nötige Transparenz und Visibilität hatten, um die Angreifer frühzeitig zu identifizieren. Daher sind Endpoint Detection and Response (EDR)-Tools von hohem Wert, nicht nur um Angriffe zu verhindern, sondern auch um das Unternehmen in die Lage zu versetzen, nach latenten Bedrohungen zu suchen.
Planung von Notfällen
Insbesondere große Unternehmen oder Betreiber von wichtigen Infrastrukturen haben meist gute Notfallpläne für Ereignisse in der Produktion, für Defekte, Unfälle und andere traditionell klassische Ereignisse. Allerdings scheinen Cybergefahren nach wie vor selten in derartigen Plänen verankert zu sein – so auch bei Colonial. Notfallpläne sind überlebenswichtig. Organisationen jeder Größe sollten eine Bewertung ihrer Security durchführen und die Reaktion auf potenzielle Vorfälle planen. Einige der Bewertungen lassen sich intern, andere mit externen Spezialisten durchführen. Im Anschluss gilt es Pläne auszuarbeiten, um a) die schwächsten Bereiche besser zu sichern, b) einen Prozess für den Fall zu haben, dass etwas schief geht und c) Abwehrmaßnahmen anhand des Verbesserungs- und Reaktionsplans zu testen.
Insbesondere bei Unternehmen und Organisationen in besonders wichtigen Bereichen sollten auch die Informationen von Quellen wie dem Information Sharing and Analysis Center (ISAC) einbezogen werden. Diese Organisationen sammeln, analysieren und verbreiten Bedrohungsinformationen und stellen Tools zur Verfügung, um Risiken zu mindern und die Widerstandsfähigkeit zu verbessern.
Bezahlen oder nicht bezahlen
Immer wieder sind Unternehmen geneigt, aus der Notsituation heraus hohe Lösegeldsummen an die Angreifer zu bezahlen. Es gibt viele Beispiele, bei denen sich Unternehmen gezwungen sahen, auf die Forderungen einzugehen, da ihre Backups beschädigt waren oder fehlten. Andere wollen das Netzwerk so schnell wie möglich wieder einsatzfähig haben und nochmals andere entscheiden sich für die Zahlung, weil sie billiger als die Kosten für die Wiederherstellung scheint. Ein weiterer verbreiteter Grund ist es zu verhindern, dass gestohlene Daten verkauft oder öffentlich zugänglich gemacht werden. Auch Colonial nannte einen dieser Gründe als Rechtfertigung für die Bezahlung.
Doch die Bezahlung von Erpressungsgeldern ist nicht nur aus legaler Sicht kritisch zu bewerten. Man sollte sich der Tatsache bewusst sein, dass die Zahlung eines Lösegelds keinerlei Garantie darstellt. Im State of Ransomware Report 2021 Report stellt Sophos fest, dass Unternehmen nach der Bezahlung von Lösegeld im Durchschnitt nur 65 Prozent ihrer Daten wiederherstellen konnten. Nur 8 Prozent der Unternehmen waren in der Lage alle ihre Daten wiederherstellen und 29 Prozent konnten weniger als die Hälfte durch die Bezahlung retten. Zusätzlich zum Lösegeld müssen die hohen Folgeschäden einberechnet werden, um den Schaden durch den Angriff und die Betriebsunterbrechung zu beheben und um sicherzustellen, dass so etwas nicht noch einmal passiert.
Quintessenz
Die zunehmende kriminelle Intensität, Kreativität und Intelligenz der Angreifer werden sich nicht eindämmen lassen, die Entwicklungen der letzten Jahre beschreibt eher das Gegenteil. Allerdings existieren viele und oft nicht genutzte Möglichkeiten, um das Gefahrenpotenzial zu senken.
„Es sollte nicht erst ein Angriff nötig sein, damit ein Unternehmen oder eine Organisation eine stärkere Position im Bereich der Cybersecurity einnimmt. Man sollte sich jetzt die Zeit und die Ressourcen nehmen, die Sicherheitslage zu bewerten, um im Anschluss sofort und mit höchster Kompetenz – sowohl intern als auch mit externen Spezialisten – eine bessere und frühzeitige Abwehr wo immer es möglich ist zu etablieren“, resümiert John Shier.