Kommentar: Ransomware-Gruppen unter Druck
Immer weniger Unternehmen können und wollen das geforderte Lösegeld der Ransomware-Angreifer bezahlen, sagt Chris Dobrec von Armis.
Die gemeinsame Aktion des FBI in Abstimmung mit deutschen und niederländischen Behörden ist ein Erfolg gegen die ausgefeilten Techniken von Hive zu einem kritischen Zeitpunkt im Kampf gegen Ransomware-Gruppen. Allein in Deutschland waren bereits mehr als 70 Unternehmen von den Cyberkriminellen gehackt worden. Die Ermittlungen sind auch ein entscheidender Schritt in Richtung einer verstärkten internationalen Zusammenarbeit, um Bedrohungsakteure zum Nutzen aller an der Ausübung ihrer Tätigkeit zu hindern.
Neben diesem Erfolg der Strafverfolgungsbehörden stehen Ransomware-Gruppen unter Druck, weil sich aufgrund der wirtschaftlichen Situation immer weniger Unternehmen in der Lage befinden werden, das geforderte Lösegeld auch zu bezahlen. Diese Entwicklungen sind jedoch nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen.
Kein Rückgang der Angriffe auf breiter Front
Untersuchungen wie der Cyberwarfare-Report zeigen, dass 54 Prozent der Unternehmen weltweit zwischen Mai und Oktober 2022 einen Anstieg der Bedrohungsaktivitäten im Vergleich zu den sechs Monaten davor verzeichneten. Die vorübergehende Pause in den Aktivitäten der Hive-Gruppe bedeutet keineswegs einen Rückgang der Angriffe auf breiter Front. Unternehmen sollten den Zeitpunkt der Strafverfolgungs-Aktion zum Anlass nehmen, ihre Bemühungen, um ein proaktives Verständnis ihrer gesamten Angriffsfläche zu erneuern. Sie müssen Schwachstellen in ihrer Umgebung bewerten, die Priorisierung von Abhilfemaßnahmen zu verwalten und ihre Sicherheitsabwehr von innen nach außen zu stärken. Sie können dies auch nutzen, um ihre Politik zur Zahlung von Lösegeld zu bewerten.
Der gleichen Studie zufolge sind IT-Fachleute weltweit geteilter Meinung darüber, ob Lösegeld gezahlt werden soll: 24 Prozent der Befragten gaben an, dass ihr Unternehmen immer zahlt. 31 Prozent sagten, dass ihr Unternehmen nur zahlt, wenn Kundendaten gefährdet sind. 26 Prozent wiederum waren der Meinung, dass ihr Unternehmen nie zahlt. Weitere 19 Prozent gaben an, dass es im Zweifelsfall darauf ankommt. In den USA haben die zuständigen Behörden den betroffenen Unternehmen inzwischen unter Strafandrohungen untersagt das Lösegeld zu zahlen. Es bleibt abzuwarten, ob nicht auch andere europäische Länder diesem Beispiel folgen werden.
Unternehmen suchen manuell nach Angriffen
Trotz des Risikos ständiger Cyberangriffe steuern viele IT- und OT-Sicherheitsexperten in der DACH-Region ihre Sicherheitstools in gewissem Maße manuell. Die Ergebnisse zeigen, dass weniger als die Hälfte (47 %) der Unternehmen über automatisierte Sicherheitssoftware zur Erkennung von APTs verfügt – und dass, obwohl diese Bedrohungen als die gefährlichste Gruppe gelten und oft von nationalstaatlichen Angreifern unterstützt werden. Im Gegenteil: 44 Prozent dieser Unternehmen suchen manuell und mithilfe vordefinierter Warnungen nach verdächtigem Verhalten.
Tools zur Bestandsaufnahme konzentrieren sich zumeist auf Transparenz, liefern jedoch keine Informationen über Cyberbedrohungen. Dies erfordert, dass Unternehmen mit modernen hybriden Umgebungen separate Tools zur Bestandsaufnahme und Risikobewertung implementieren. Unternehmen mangelt es an einem vollständigen Bild ihrer Assets, sie kennen den wichtigen Risikokontext nicht und es klaffen Sicherheitslücken, die von Cyberkriminellen ausgenutzt werden können. Deshalb benötigen Sicherheitsteams eine Möglichkeit, über die statische Bestandsaufnahme all ihrer Assets hinauszugehen und auch deren Sicherheitskontext zu verstehen.
Chris Dobrec
VP Product & Industry Solutions bei Armis