Cyber

Ein falsches Gefühl der Sicherheit: Gängige Mythen der Ransomware-Bekämpfung

Sowohl in der Versicherungsbranche als auch in der Gesellschaft nimmt das Bewusstsein über die steigende Anzahl und Schwere von Ransomware-Angriffen auf Unternehmen auf der ganzen Welt zu. Da wir seit der Jahrhundertwende mit Cyberrisiken arbeiten und aufgrund der daraus entstehenden Expertise und fortgeführter Investitionen, können wir „Innovationen“ in Ransomware-Angriffen erkennen, unsere Schlüsse daraus ziehen und effektive Risikominderung zum Verringern der Exponierung entwickeln.

04.09.2020

Im Falle hoch komplexer Unternehmen ist ein erheblicher Risikoprüfungsaufwand erforderlich, um die Fähigkeit eines Versicherten zum Verhindern, Erkennen und – im schlimmsten Fall – Erholen von einem Ransomware- oder ähnlichen Angriff genau zu verstehen. Wir müssen darauf abzielen, die richtigen Fragen zu stellen, um zu verstehen, wie effektiv hochrangige Kontrollen umgesetzt werden. Eine gründliche Einschätzung der Exponierung kann nicht durch das Auswerten von Antworten auf einfache Fragen über hochrangige Kontrollen geschehen. Lassen Sie uns also vor diesem Hintergrund feststellen, wie einige technische Sicherheitsansätze immer noch versteckte Gefahren hinterlassen können. 

Gezogene Schlüsse aus präventiven Ransomware-Situationen

Ein gründliches Verständnis der Sicherheitsrisiken und -kontrollen ist beim Unterstützen des nachhaltigen Wachstums des Cyber-Versicherungsmarkts in der Zukunft von entscheidender Bedeutung. Hier ist eine Reihe an gängigen Bemerkungen, die nicht immer die effektive Minderung bieten, die sie scheinbar versprechen. 
Wir verfügen über eine aktuelle Antivirus-Lösung. Das bedeutet, dass wir gegen Ransomware-Angriffe geschützt sind.

Während eine Antivirus-Lösung eine wichtige Sicherheitskontrolle ist, die bösartige Dateien und Dokumente erkennt, die auf den Endpunkt heruntergeladen werden, können diese Antivirus-Lösungen jedoch umgangen werden. Es sollte unbedingt berücksichtigt werden, dass die Begrenzungen der Antivirus-Scantechniken oft von Angreifern ausgenutzt werden, die ihre Dateien auf eine Weise verschleiern, dass Antivirus-Scanner sie nicht als bösartig erkennen. Jedes Mal, wenn ein Angriff auf eine neue Art verschleiert wird, gibt es eine zeitliche Verzögerung, bis die Antivirus-Lösung aktualisiert wird, um diese zu erkennen, was Angreifern ein Handlungsfenster bietet.

Ein weiteres häufig übersehenes Risiko ist die Tatsache, dass diese Scanner nur nach böswilligen Inhalten suchen. Ein Angreifer, der genügend Privilegien erworben hat, kann diese ganz einfach deaktivieren. Aus diesem Grund sind verhaltensbasierte Endpunkt-Überwachungssysteme erforderlich, die den gesamten Endpunkt auf verdächtiges Verhalten überwachen. Wenn ein Nutzer beispielsweise versucht, unerwartete Befehle auszuführen oder ungewöhnliche Hochrisikoprogramme zu verwenden, unterbindet das Überwachungssystem diese Handlungen und lenkt die Aufmerksamkeit auf die mögliche Infiltration.

Wir verwenden Multi-Faktor-Authentifizierung (MFA). Wir verfügen also schon über einen starken Schutzmechanismus gegen Ransomware-Angriffe.
Die Verwendung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung bietet ein höheres Sicherheitsniveau als nur die Authentifizierung durch Nutzername und Passwort und wird dringend empfohlen, da sie es Angreifern erschwert, gestohlene Zugangsdaten zu verwenden, um ein System anzugreifen. Um voll effektiv zu sein, muss diese Authentifizierung jedoch auf allen relevanten Endpunkten umgesetzt werden. Es mag offensichtlich erscheinen, aber für Unternehmen mit komplexer IT-Landschaft, die regelmäßig von verschiedenen IT-Teams betreut werden, die oftmals über unterschiedliche Standards und Sicherheitsrichtlinien verfügen, kann es schwierig sein, eine einheitliche Umsetzung von MFA auf allen Systemen zu erreichen. Schon mit einem einzigen kompromittierten Endpunkt hat ein Angreifer das Potenzial, Zugriff auf das gesamte Netzwerk zu erhalten.
Wir verfügen über (automatische) Software-Aktualisierungsverfahren, was bedeutet, dass wir gegen Sicherheitslücken geschützt sind, die zu einem Ransomware-Angriff führen können.

Sicherheitslücken in Software, die es einem Angreifer ermöglichen, ohne Authentifizierung auf ein Unternehmensnetzwerk zuzugreifen, sind eine ernste Bedrohung und stellen oftmals den ersten Schritt eines erfolgreichen Ransomware-Angriffs dar. Beispielsweise könnte eine ‚Sicherheitslücke zum Umgehen der Authentifizierung‘ auf einem VPN-Endpunkt dazu führen, dass eine MFA-Lösung umgangen werden kann. Natürlich ist die zeitliche Anwendung von Patches erforderlich. Aber das ist noch nicht die ganze Geschichte.

Interne Patch-Prozesse zum Bekämpfen von Sicherheitslücken müssen aktiv sein und sollten auch Situationen berücksichtigen, in denen eine ernsthafte Anfälligkeit öffentlich bekannt wird, aber noch kein Software-Patch von dem Verkäufer erhältlich ist. Nehmen Sie beispielsweise „Citrix Vulnerability“ im Jahr 2019: Die Sicherheitslücke wurde nach ihrem Bekanntwerden mehrmals ausgenutzt, während noch kein Patch verfügbar war. Die internen Prozesse zur Überwachung und manuellen Bekämpfung sind in solchen Situationen äußerst wichtig und sollten sich nicht allein auf das offizielle Patch begründen. 

Gezogene Schlüsse aus Ransomware-Situationen nach einem Vorfall

Wir verfügen über eine Backup-Lösung. Daher sind wir gegen die Folgen von Ransomware-Angriffen geschützt.

Eine gute Backup-Strategie, die regelmäßig getestet wird, ist ein zentraler Bestandteil jedes Wiederherstellungsplan und daher auch bei einem Ransomware-Vorfall von Bedeutung. Es ist jedoch äußerst wichtig, dass es keine Möglichkeit für Angreifer zum Verschlüsseln oder Platzieren weiterer böswilliger Auslöser in dem Backup gibt. Um das Gefährdungsrisiko zu verringern, sollten die Backup- und Speichersysteme verstärkt und von dem Unternehmensnetzwerk getrennt werden. Es ist erwiesen, dass Ransomware-Gruppen aktiv nach den Backups eines Unternehmens suchen, bevor sie mit der Verschlüsselung beginnen, da das Blockieren derselben ihre Verhandlungsposition stärkt.

Backups können ebenfalls kompromittiert werden, wenn ein Angreifer eine zusätzliche böswillige Datei, die so genannte ‚Zeitbombe‘ im Backup platziert, die dann nach der anfänglichen Wiederherstellung ausgeführt wird. Aus diesem Grund wird eine gründliche Untersuchung nach einem Vorfall empfohlen, oder alternativ eine Überprüfung, dass die Backups in keiner Weise verändert wurden.

Wir verfügen über einen Wiederherstellungsplan. Wir sind also vor einem Ransomware-Angriff geschützt.
Natürlich sollten alle Unternehmen ihren eigenen Wiederherstellungsplan haben. Dennoch ist es äußerst wichtig, diesen regelmäßig zu testen - und das so realistisch wie möglich. Auf diese Weise wird sichergestellt, dass die entsprechenden Parteien ihre Rolle verstehen und auf unvorhergesehene Probleme stoßen, beispielsweise, welche Geschäftsbereiche sie zuerst wiederherstellen sollen. Das Ganze sollte nicht nur eine rein technische Übung sein. Beispielsweise können die negativen Auswirkungen eines Angriffs verringert und die Wiederherstellung beschleunigt werden, wenn die PR-Abteilung (oder ein entsprechender Anbieter) an der Simulation beteiligt werden. Das frühe Einbinden von Versicherungspartnern oder externer Dienste kann ebenfalls eine sinnvolle Maßnahme sein, da diese Einblicke von anderen Vorfällen bieten können. 
Durch das Zahlen des Lösegelds bekommen wir unsere Daten zurück.

Das Zahlen einer Lösegeldforderung kann den Zugriff auf verschlüsselte Daten ermöglichen, aber das ist nicht immer eine Lösung des zugrunde liegenden Problems. Beim Zahlen eines Lösegelds gibt es eine Vielzahl von Unsicherheiten. Beispielsweise gibt es keine Garantie dafür, dass das Opfer nach dem Bezahlen der Angreifer einen ‚voll funktionsfähigen‘ Schlüssel erhält.

Zudem kann die Zeit, die es zum Entschlüsseln einer solchen Datenmenge benötigt, dafür sorgen, dass ein Unternehmen Tage oder sogar Wochen lang offline ist. Doch noch schlimmer ist die Möglichkeit, dass dieselben Angreifer nach dem erfolgreichen Entschlüsseln aller Daten und dem Korrigieren der Daten- und Systemsynchronisation aufgrund der nicht gelösten Sicherheitslücken oder offener Hintertüren des Systems einen weiteren Angriff starten.

Fazit

Diese Beispiele zeigen deutlich, dass es in der digitalen Welt keine einhundertprozentige Sicherheit gibt - und dass sogar ein durchdachter Handlungsplan eines Unternehmens Opfer von Sicherheitslücken und übersehener Risiken werden kann. Die Fehlbarkeit einzelner Kontrollen bedeutet, dass die Umsetzung einer risikobasierten und mehrschichtigen Informationssicherheitsstruktur unabdinglich ist.

Die Cyber-Abteilung von Munich Re hat bedeutende Investitionen in herkömmliche Versicherungsexpertise im Bereich der Risikoprüfung, Kumul- und Schadenmanagement getätigt sowie in spezialisierte Cyber-Experten mit fundiertem Fachwissen in Cybersicherheit.

Mithilfe dieser marktweisenden Expertise garantieren wir die besten Cyber-(Versicherungs)-Lösungen, die für unsere Kunden individuell angepasst werden können. Diese Lösungen reichen von der Entwicklung zeitgemäßer Wortlaute, erstklassiger Cyber-Risikobewertung und -bepreisung bis hin zu Kumul-Modellierung. Zusätzlich bieten wir auch Zugriff auf unserer erstklassiges Netzwerk an Cyber-Sicherheitsdienstleistern. Hierdurch tragen wir zu einem nachhaltigen und wachsenden Cyber-Versicherungsmarkt bei. Dies ist für eine digitale Zukunft mit Widerstandsfähigkeit gegen die sich ständig verändernden Cyberrisiken und -bedrohungen von zentraler Bedeutung. Setzen Sie sich mit uns in Verbindung, um mehr über unsere ganzheitliche Herangehensweise an den Umgang mit Cyberrisiken für jedes Kundensegment und jede Kundenbranche zu erfahren.

Wir verwenden Cookies, um Ihr Internet-Nutzungserlebnis zu verbessern und unsere Websites zu optimieren.

Mit der weiteren Nutzung unserer Website stimmen Sie der Verwendung von Cookies dieser Website zu. Weitere Informationen zu Cookies und dazu, wie Sie die Cookie-Einstellungen in Ihren Browsereinstellungen anpassen können, finden Sie in unseren Cookie-Richtlinien.
Sie können Cookies deaktivieren, aber bitte beachten Sie, dass das Deaktivieren, Löschen oder das Verhindern von Cookies Ihre Internet-Nutzung beeinflussen wird.