properties.trackTitle
properties.trackSubtitle
Gezogene Schlüsse aus präventiven Ransomware-Situationen
„Wir verfügen über eine aktuelle Antivirus-Lösung. Das bedeutet, dass wir gegen Ransomware-Angriffe geschützt sind."
Während eine Antivirus-Lösung eine wichtige Sicherheitskontrolle ist, die bösartige Dateien und Dokumente erkennt, die auf den Endpunkt heruntergeladen werden, können diese Antivirus-Lösungen jedoch umgangen werden. Es sollte unbedingt berücksichtigt werden, dass die Begrenzungen der Antivirus-Scantechniken oft von Angreifern ausgenutzt werden, die ihre Dateien auf eine Weise verschleiern, dass Antivirus-Scanner sie nicht als bösartig erkennen. Jedes Mal, wenn ein Angriff auf eine neue Art verschleiert wird, gibt es eine zeitliche Verzögerung, bis die Antivirus-Lösung aktualisiert wird, um diese zu erkennen, was Angreifern ein Handlungsfenster bietet.
Ein weiteres häufig übersehenes Risiko ist die Tatsache, dass diese Scanner nur nach böswilligen Inhalten suchen. Ein Angreifer, der genügend Privilegien erworben hat, kann diese ganz einfach deaktivieren. Aus diesem Grund sind verhaltensbasierte Endpunkt-Überwachungssysteme erforderlich, die den gesamten Endpunkt auf verdächtiges Verhalten überwachen. Wenn ein Nutzer beispielsweise versucht, unerwartete Befehle auszuführen oder ungewöhnliche Hochrisikoprogramme zu verwenden, unterbindet das Überwachungssystem diese Handlungen und lenkt die Aufmerksamkeit auf die mögliche Infiltration.
„Wir verwenden Multi-Faktor-Authentifizierung (MFA). Wir verfügen also schon über einen starken Schutzmechanismus gegen Ransomware-Angriffe."
„Wir verfügen über (automatische) Software-Aktualisierungsverfahren, was bedeutet, dass wir gegen Sicherheitslücken geschützt sind, die zu einem Ransomware-Angriff führen können."
Sicherheitslücken in Software, die es einem Angreifer ermöglichen, ohne Authentifizierung auf ein Unternehmensnetzwerk zuzugreifen, sind eine ernste Bedrohung und stellen oftmals den ersten Schritt eines erfolgreichen Ransomware-Angriffs dar. Beispielsweise könnte eine ‚Sicherheitslücke zum Umgehen der Authentifizierung‘ auf einem VPN-Endpunkt dazu führen, dass eine MFA-Lösung umgangen werden kann. Natürlich ist die zeitliche Anwendung von Patches erforderlich. Aber das ist noch nicht die ganze Geschichte.
Interne Patch-Prozesse zum Bekämpfen von Sicherheitslücken müssen aktiv sein und sollten auch Situationen berücksichtigen, in denen eine ernsthafte Anfälligkeit öffentlich bekannt wird, aber noch kein Software-Patch von dem Verkäufer erhältlich ist. Nehmen Sie beispielsweise „Citrix Vulnerability“ im Jahr 2019: Die Sicherheitslücke wurde nach ihrem Bekanntwerden mehrmals ausgenutzt, während noch kein Patch verfügbar war. Die internen Prozesse zur Überwachung und manuellen Bekämpfung sind in solchen Situationen äußerst wichtig und sollten sich nicht allein auf das offizielle Patch begründen.
Gezogene Schlüsse aus Ransomware-Situationen nach einem Vorfall
„Wir verfügen über eine Backup-Lösung. Daher sind wir gegen die Folgen von Ransomware-Angriffen geschützt."
Eine gute Backup-Strategie, die regelmäßig getestet wird, ist ein zentraler Bestandteil jedes Wiederherstellungsplan und daher auch bei einem Ransomware-Vorfall von Bedeutung. Es ist jedoch äußerst wichtig, dass es keine Möglichkeit für Angreifer zum Verschlüsseln oder Platzieren weiterer böswilliger Auslöser in dem Backup gibt. Um das Gefährdungsrisiko zu verringern, sollten die Backup- und Speichersysteme verstärkt und von dem Unternehmensnetzwerk getrennt werden. Es ist erwiesen, dass Ransomware-Gruppen aktiv nach den Backups eines Unternehmens suchen, bevor sie mit der Verschlüsselung beginnen, da das Blockieren derselben ihre Verhandlungsposition stärkt.
Backups können ebenfalls kompromittiert werden, wenn ein Angreifer eine zusätzliche böswillige Datei, die so genannte ‚Zeitbombe‘ im Backup platziert, die dann nach der anfänglichen Wiederherstellung ausgeführt wird. Aus diesem Grund wird eine gründliche Untersuchung nach einem Vorfall empfohlen, oder alternativ eine Überprüfung, dass die Backups in keiner Weise verändert wurden.
„Wir verfügen über einen Wiederherstellungsplan. Wir sind also vor einem Ransomware-Angriff geschützt."
„Durch das Zahlen des Lösegelds bekommen wir unsere Daten zurück."
Das Zahlen einer Lösegeldforderung kann den Zugriff auf verschlüsselte Daten ermöglichen, aber das ist nicht immer eine Lösung des zugrunde liegenden Problems. Beim Zahlen eines Lösegelds gibt es eine Vielzahl von Unsicherheiten. Beispielsweise gibt es keine Garantie dafür, dass das Opfer nach dem Bezahlen der Angreifer einen ‚voll funktionsfähigen‘ Schlüssel erhält.
Zudem kann die Zeit, die es zum Entschlüsseln einer solchen Datenmenge benötigt, dafür sorgen, dass ein Unternehmen Tage oder sogar Wochen lang offline ist. Doch noch schlimmer ist die Möglichkeit, dass dieselben Angreifer nach dem erfolgreichen Entschlüsseln aller Daten und dem Korrigieren der Daten- und Systemsynchronisation aufgrund der nicht gelösten Sicherheitslücken oder offener Hintertüren des Systems einen weiteren Angriff starten.
Fazit
Diese Beispiele zeigen deutlich, dass es in der digitalen Welt keine einhundertprozentige Sicherheit gibt - und dass sogar ein durchdachter Handlungsplan eines Unternehmens Opfer von Sicherheitslücken und übersehener Risiken werden kann. Die Fehlbarkeit einzelner Kontrollen bedeutet, dass die Umsetzung einer risikobasierten und mehrschichtigen Informationssicherheitsstruktur unabdinglich ist.
Die Cyber-Abteilung von Munich Re hat bedeutende Investitionen in herkömmliche Versicherungsexpertise im Bereich der Risikoprüfung, Kumul- und Schadenmanagement getätigt sowie in spezialisierte Cyber-Experten mit fundiertem Fachwissen in Cybersicherheit.
Mithilfe dieser marktweisenden Expertise garantieren wir die besten Cyber-(Versicherungs)-Lösungen, die für unsere Kunden individuell angepasst werden können. Diese Lösungen reichen von der Entwicklung zeitgemäßer Wortlaute, erstklassiger Cyber-Risikobewertung und -bepreisung bis hin zu Kumul-Modellierung. Zusätzlich bieten wir auch Zugriff auf unserer erstklassiges Netzwerk an Cyber-Sicherheitsdienstleistern. Hierdurch tragen wir zu einem nachhaltigen und wachsenden Cyber-Versicherungsmarkt bei. Dies ist für eine digitale Zukunft mit Widerstandsfähigkeit gegen die sich ständig verändernden Cyberrisiken und -bedrohungen von zentraler Bedeutung. Setzen Sie sich mit uns in Verbindung, um mehr über unsere ganzheitliche Herangehensweise an den Umgang mit Cyberrisiken für jedes Kundensegment und jede Kundenbranche zu erfahren.
Verwandte Themen
Newsletter
properties.trackTitle
properties.trackSubtitle