Destruction of Service – die neue Gefahr

WannaCry, Petya, NonPetya: Die aktuelle Welle an Ransomware-Angriffen zeigt nicht nur eine zunehmende Reife dieser Methode, sondern auch veränderte Motivationen der Cyberkriminellen. So hatten zum Beispiel die Macher von NotPetya offensichtlich wenig Interesse an der Erpressung von Lösegeld, sondern eher an der Störung der Betriebsabläufe von Unternehmen.

Löcher im Sicherheitsnetz

Dies belegt einmal mehr, dass die Angriffsmuster immer vielfältiger werden. Alleine bei Ransomware reichen sie von einer Infektion über eine Phishing-Mail bis zur Kompromittierung des automatischen Updates einer ukrainischen Steuer-Software. Die Verbreitung innerhalb eines Netzwerks funktioniert über bekannte Schwachstellen oder das Auslesen von Zugangsdaten. Doch eines hatten bislang alle Ransomware-Varianten gemeinsam: Sie konnten nicht auf Backups zugreifen, welche die einfache Wiederherstellung der verschlüsselten Daten ermöglichen.

Bislang – denn dieses Sicherheitsnetz bekommt nun Löcher. Ist nämlich ein Unternehmen erst mit Malware infiziert, ermöglicht diese unter Umständen eine manuelle Steuerung des Netzwerks durch die Hacker. Dadurch kann erheblicher Schaden entstehen – zum Beispiel durch den Diebstahl von Passwörtern oder geistigem Eigentum. Noch bedenklicher ist die Möglichkeit zur vollständigen Löschung der Daten. Dies kann auch auf Backup-Systemen geschehen, wenn diese nicht vollständig vom Netzwerk isoliert sind.

Daten für immer verloren

Tatsächlich hat der aktuelle Cisco Midyear Cybersecurity Report (MCR) festgestellt, dass neuartige Angriffsmethoden genau darauf abzielen. Solche Destruction-of-Service-Angriffe (DeOS) können Backups und Sicherheitsnetze von Unternehmen zerstören, die zur Wiederherstellung von Systemen und Daten nach einem Angriff erforderlich sind. Wenn dann die Bezahlung von Lösegeld nicht mehr hilft, sind die Informationen für immer verloren und das Unternehmen kann praktisch nicht mehr weiterarbeiten.

DeOS ist dabei nicht auf Ransomware beschränkt, sondern lässt sich im Prinzip für alle Angriffstechniken nutzen. Bei der Verbreitung dürfte gemäß dem MCR das Internet der Dinge mit seinen vielen Geräten und Systemen, die oft nur schlecht abgesichert sind, eine immer wichtigere Rolle spielen. Daher müssen Unternehmen ihre Infrastrukturen sowie vernetzten Geräte umfassend schützen, um weiterhin eine hohe Netzwerksicherheit zu gewährleisten. Dafür benötigen sie einen einheitlichen Ansatz.

Einheitlicher Ansatz mit externer Datenlagerung

Doch die Realität sieht in vielen Unternehmen anders aus: Sie setzen verschiedene Tools von unterschiedlichen Herstellern ein. Diese fragmentierte Security-Struktur erschwert die Abwehr von Gefahren, indem die Anzahl der zu verwaltenden Systeme unnötig hoch ist. Daher sollte eine ganzheitliche Lösung implementiert und damit die Zahl der genutzten Hersteller reduziert werden. Ein offener, integrierter und vereinfachter Sicherheitsansatz, der alle aktuellen Best Practices umsetzt, reduziert das Risiko deutlich.

Zudem ist es aufgrund der neuartigen DeOS-Attacken noch wichtiger geworden, einen zuverlässigen Backup-Prozess mit einer externen Datenlagerung ohne Verbindung zum Unternehmensnetzwerk einzusetzen. Nur damit lässt sich eine zuverlässige Disaster Recovery gewährleisten.

Unternehmen sollte dabei eines klar sein: Ein vollständiger Schutz vor DeOS-Angriffen ist kaum möglich, da die Methoden immer intelligenter und zielgerichteter werden. Doch eine Mischung aus Weiterbildung der Mitarbeiter zur Erkennung von Phishing-Mails, fortgeschrittener Endpoint Security Software und einem umfassenden Defense-in-Depth-Ansatz kann die Gefahr und den Schaden reduzieren. Dabei sollten die Maßnahmen ständig getestet werden, denn für die Abwehr einer DeOS-Attacke haben Unternehmen nur eine Chance.