Ein neuer Industrie-Zweig entsteht derzeit rund um Erpresser-Schadsoftware, berichtet IT-Sicherheitsexperte Volker Marschner von Cisco Security in seinem aktuellen Blog. Für die Kriminellen ist diese Art derzeit eine der sichersten Einnahmequellen.
Erpressungs-Software ist inzwischen wohl der profitabelste Malware-Typ in der IT-Geschichte. So lassen sich heute über einfach nutzbare Ransomware Kits ohne große Programmierkenntnisse und mit wenig Aufwand neue Varianten dieser Schadprogramme erstellen. So gibt es inzwischen Dutzende verschiedener Ransomware-Arten, viele davon nur in bestimmten Sprachen.
Vor allem die Entwickler von CryptoLocker und CryptoWall haben mit ihrer Malware eine neue Stufe der Effektivität durch die Verwendung von solider Datei-Verschlüsselung erreicht. Tatsächlich lässt sich bereits die Mehrheit der bekannten Ransomware nicht einfach entschlüsseln, wodurch die Opfer wenig Alternativen haben als das Lösegeld zu zahlen.
Dabei trifft Ransomware aber auch auf erstaunlich viele Systeme, die nicht auf diese bekannte Angriffstaktik vorbereitet sind. So zeigt eine aktuelle Studie, dass Cyberkriminelle sich bei vielen Opfern fast beliebig viel Zeit nehmen können, um Daten abzuziehen oder auf die Verschlüsselung vorzubereiten. Je länger sie dafür Zeit haben, desto größeren Schaden können sie beim finalen Erpressungsversuch verursachen. Tatsächlich benötigen Unternehmen im Durchschnitt bis zu 200 Tage, um neue Schadprogramme zu identifizieren. Das ist alarmierend und verdeutlicht, dass Unternehmen zum Schutz gegen Angriffe Verbesserungsbedarf bei der Sicherung ihrer Systeme haben.
Doch ist es für die IT-Abteilung oft nicht einfach, die Hardware und Software ständig auf dem neuesten Stand zu halten. Denn bei wichtigen Geschäftsanwendungen können Updates möglicherweise erhebliche Probleme auslösen. Dadurch werden Systeme in der Regel umso seltener aktualisiert, je wichtiger sie für die Geschäftsprozesse sind. Außerdem erfordert die Aktualisierung der Business-Applikationen und Server-Infrastruktur einen gewissen zeitlichen und finanziellen Aufwand.
Angesichts der weiter steigenden Bedrohungslage können sich Unternehmen diese Haltung aber nicht mehr leisten. So müssen sie einige grundlegende Vorkehrungen treffen, die vergleichsweise einfach durchzuführen sind und die Sicherheit des Unternehmens bereits deutlich erhöhen:
- Mit rechtzeitigem Patchen und Upgraden der Netzwerk-Infrastruktur und darauf basierender Anwendungen lassen sich zumindest die bekannten Sicherheitslücken schließen, wodurch schon ein großer Teil der Angriffe abgewehrt wird.
- Das Netzwerk sollte durch geeignete Monitoring-Lösungen ständig überwacht werden, um verdächtige Aktivitäten sofort zu erkennen. Schon heute lässt sich die mittlere Entdeckungszeit („Time to Detection“, TTD) deutlich reduzieren.
- Lösungen zur Netzwerk-Segmentierung grenzen den Schaden ein, sobald doch einige Systeme von Malware betroffen sind.
- Maßnahmen wie E-Mail und Web Security, Next-Generation Firewalls und Next-Generation Intrusion-Protection-Systeme sowie DNS-Sicherheitslösungen gelten als selbstverständlich.
- Mobile Systeme von Mitarbeitern sind ebenso abzusichern wie das Unternehmensnetzwerk.
- Um sich auf Ransomware-Angriffe vorzubereiten, müssen Unternehmen wichtige Daten regelmäßig auf externen Systemen sichern, die nicht angreifbar sind.
- Sie sollten einen umfassenden Architektur-Ansatz statt Einzelprodukte nutzen, um Sicherheitslücken zwischen Insellösungen zu vermeiden.
- Zudem sind wichtige Metriken zu messen, wie die Häufigkeit der Angriffe, die Erfolgsquote der Abwehr oder die Zeit zur Entdeckung von Malware.
Natürlich gibt es keine hundertprozentige Sicherheit und die Angriffsmethoden entwickeln sich ständig weiter. Aber schon mit diesen Vorkehrungen erhalten Unternehmen ein hohes Schutzniveau, das zumindest einen Großteil der Angriffe abwehrt oder zumindest schnell erkennt. Und gerade eine hohe Reaktionsgeschwindigkeit ist heute für die Eingrenzung des Schadens enorm wichtig. So müssen Unternehmen schneller handeln.