Wenn Cyberangriffe zu spät erkannt werden: 2021 könnte zum Rekordjahr für in Verbindung mit Ransomware stehender Transaktionszahlungen werden!
von Svenja Koch
In den USA sind laut Zeit.de für das erste Halbjahr 2021 Lösegeldzahlungen nach Ransomware-Angriffen in Höhe von 590 Millionen Dollar gemeldet worden. Laut einem Bericht des US-Finanzministeriums sind das 42 Prozent mehr, als für das gesamte Jahr 2020 an verdächtigen Zahlungen gemeldet wurden. Sollte sich diese Entwicklung fortsetzen, könnte es im Jahr 2021 einen "höheren in Verbindung mit Ransomware stehenden Transaktionswert" geben als in den letzten zehn Jahren zusammen.
Die Abwehr von Cyberangriffen ist eine der großen Herausforderungen für Unternehmen und die IT-Sicherheit. Ein wesentlicher Aspekt, der in vielen Organisationen noch vernachlässigt wird, ist die Angriffsfrüherkennung. Es vergeht in vielen Fällen noch zu viel Zeit, bis die IT Security unbefugte Aktivitäten von Eindringlingen im eigenen Netzwerk erkennt. Zeit, die die Hacker nutzen, um ihre Erpressungstrojaner in Stellung zu bringen und eine verheerende Datenverschlüsselung zu starten.
Cyberangriffe – für die meisten Unternehmen kein unbekanntes Szenario mehr
Die Zeiten, in der noch in vielen Unternehmen die Meinung vorherrschte, dass Cyberattacken für sie nur ein untergeordnetes Sicherheitsrisiko darstellen würde, sind längst passé. Die Realität sieht mittlerweile ganz anders aus: Jedes Unternehmen ist ein potenzielles Opfer und besonders Organisationen mit Lücken in der IT-Sicherheit sind beliebte Ziele für Hacker.
Viele Unternehmen in Deutschland haben bereits Cyberattacken mit Erpressungstrojanern und andere APTs (Advanced Persistent Threats) erlebt. Laut einer Studie des IT-Branchenverbandes Bitkom waren bis 2021 neun von zehn Unternehmen direkt von einem Cyberangriff betroffen. In den letzten zwei Jahren haben dabei vor allem die gefährlichen Attacken mit Erpressungstrojanern und Schadsoftware im Allgemeinen zugenommen – knapp 50 Prozent der Unternehmen gaben an, solche Szenarien erlebt zu haben.
Die Folgen von zu spät entdeckten Angriffen mit Ransomware und anderen Cyberattacken
Wenn Angreifer Zugang zu fremden Netzwerken erlangen und dort unentdeckt agieren, geht davon eine enorme Bedrohung für die betroffenen Unternehmen aus. Bei einem Advanced Persistent Threat, also einem komplexen und zielgerichteten Angriff, nehmen sich die Hacker viel Zeit für die Vorbereitung der eigentlichen Attacke. Diese Angriffsvorbereitungen dauern Tage oder sogar Wochen. Während dieser Phase spionieren die Angreifer die Netzwerkstrukturen aus, erweitern ihren Zugang zu Servern, Plattformen oder Systemen und bringen die Ransomware in Position. Erst wenn die Hacker alle gewünschten Ziele identifiziert und diese Bereiche des Netzwerks kompromittiert haben, erfolgt die Datenverschlüsselung. Diese überrollt dann innerhalb von kürzester Zeit, teilweise Sekunden, weite Teile des Netzwerks.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Aus dem Bericht der Bitkom geht hervor, dass 86 Prozent der Unternehmen, die Opfer einer Cyberattacke waren, Schäden durch solche Vorfälle erlitten haben. Die finanziellen Schäden solcher Angriffe wachsen immer schneller. In den Jahren 2020/21 beträgt der Schaden für die deutsche Wirtschaft laut der Bitkom fast 225 Milliarden Euro. Gegenüber 2019 hat sich die Schadenssumme verdoppelt. Die Schäden entstehen laut den betroffenen Unternehmen durch Diebstahl, Spionage und Sabotage, also auch durch Ransomware. 29 Prozent der Angriffe im Jahr 2021 gehen auf das Konto der organisierten Kriminalität. Dies ist ein deutlicher Zuwachs gegenüber 2017, als nur sieben Prozent der Cyberattacken dem organisierten Verbrechen zugeordnet wurden.
Die konkreten Folgen von solchen Cyberangriffen sind verheerend. Für besonders hohe Schäden und lange Arbeitsausfälle sorgt die Datenverschlüsselung. Abhängig davon, wie groß der Anteil der betroffenen Systeme ist, liegt teilweise die komplette Produktion in betroffenen Unternehmen nieder. Beispiele aus der Praxis, bei denen der Verlauf einer Cyberattacke mit einem Erpressungstrojaner rekonstruiert wurde, zeigen die Schwachstellen und die Gefährlichkeit deutlich auf. So war das das Unternehmen Pilz aus Ostfildern, das Automatisierungstechnik fertigt, im Herbst 2019 Opfer eines Angriffs mit Ransomware. An einem Sonntag begann die eigentliche Attacke und die Datenverschlüsselung. Die IT Security trennte alle IT-Systeme vom Netzwerk. Drei Wochen lang stand die gesamte Produktion still und erst sechs Wochen nach der Attacke war der normale Alltag weitestgehend wiederhergestellt. Zwischenzeitlich arbeitete die Firma mit Papier und dokumentierte alles handschriftlich, da keine sicheren IT-Systeme zur Verfügung standen. Bei der forensischen Aufarbeitung stellten die IT-Experten fest, dass die Hacker bereits seit Monaten Zugang zum internen Netzwerk hatten und sich Zugriff auf alle Bereiche des weltweit aktiven Unternehmens verschafft hatten.
Unternehmen kämpfen also sehr lange mit den Auswirkungen solcher Cyberangriffe. In seiner Cost of Cybercrime Study hat das Ponemon-Institut analysiert, wie lange es im Durchschnitt dauert, bis Unternehmen die Auswirkungen von unterschiedlichen Cyberattacken vollständig überwunden haben. Die Ergebnisse zeigen, dass es bei Ransomware im Schnitt 23,1 Tage dauert, bei Angriffen mit bösartigen Codes sind es sogar 55,2 Tage. Deutlich schneller verläuft die Recovery bei Attacken mit Malware (6,4 Tage im Schnitt) und bei Botnetzen (2,5 Tage). Dies zeigt erneut, wie gefährlich Erpressungstrojaner sind und wie lange Unternehmen unter den Nachwirkungen leiden.
Auf der Spur der Eindringlinge – so viel Zeit vergeht, die die IT Security Hacker im eigenen Netzwerk entdeckt
Theoretisch hat die IT Security ausreichend Zeit, um die Aktivitäten der Hacker im eigenen Netzwerk zu entdecken, bevor diese Schäden anrichten. Wie angesprochen, vergehen Tage oder sogar Wochen, bis die eigentliche Cyberattacke startet. Fehlen jedoch entsprechende Detektierungsmaßnahmen, dann hat die IT Security keine Möglichkeiten, diese Angriffsvorbereitungen aufzudecken. Bildlich gesprochen befindet sich die IT-Sicherheitsabteilung unbewaffnet in einem Kampf und hat folglich keine Chance, diesen für sich zu entscheiden.
Dies zeigt sich eindrucksvoll an den Ergebnissen der „Cost of a Data Breach“-Studie von IBM Security aus dem Jahre 2021. In diesem Report beziffert IBM die Zeit, die vergeht, bis die IT Security eines Unternehmens illegale Aktivitäten von unbefugten Personen identifiziert, auf durchschnittlich 151 Tage. Diese 151 Tage haben Hacker Zeit, um ungestört den Zugang zu einem internen Netzwerk auszunutzen, die Strukturen auszuspionieren, sich weitere Passwörter zu verschaffen und schlussendlich den Angriff mit Ransomware sowie die Datenverschlüsselung durchzuführen.
Welche Cyberangriffe bleiben besonders lange unentdeckt?
Es gibt deutliche Unterschiede bei der Entdeckungsquote sowie der Zeit, die vergeht, bis die IT Security die verschiedenen Datenschutzverletzungen identifiziert. In diesem Zusammenhang ist es auch wichtig, die hohe Dunkelziffer zu erwähnen. Nach wie vor ist es vor allem im Bereich der Industriespionage üblich, dass der Datendiebstahl komplett unbemerkt bleibt. Teilweise sind Hacker über Monate oder gar Jahre unentdeckt in Netzwerken von Unternehmen aktiv und ziehen Informationen ab. Bei den sogenannten Advanced Persistent Threats (APTs) agieren die Angreifer so lange Zeit inkognito, bis ihre Vorbereitungen für die Datenverschlüsselung mit dem Erpressungstrojaner abgeschlossen sind. Häufig wird dann beispielsweise über das Remote Desktop Protocol auf das Netzwerk zugegriffen. Solche Aktivitäten fallen mit herkömmlichen Verteidigungstechniken höchstens auf, wenn die Angreifer bei den Login-Versuchen scheitern. Da sie jedoch beispielsweise durch Phishing oder aufgedeckte IT Security Schwachstellen einen regulären Zugang zum Netzwerk gefunden haben, identifizieren Firewalls und andere Sicherheits-Tools die Zugriffe nicht als auffällig. Aus diesem Grund haben Hacker in Netzwerken viel Zeit, um den Angriff mit dem Erpressungstrojaner sowie die finale Datenverschlüsselung vorzubereiten.
Diese Maßnahmen sind elementar, um Cyberattacken schneller zu entdecken
Die zentrale Herausforderung bei der Abwehr von Angriffen mit Ransomware und ähnlichen APTs ist die frühzeitige Entdeckung der Aktivitäten im Netzwerk. Dazu ist es wichtig, sich zunächst mit den Angriffstechniken auseinanderzusetzen.
Ein Cyberangriff mit Ransomware ist dann erfolgreich, wenn die Datenverschlüsselung möglichst umfangreich ist. Die Hacker zielen also auf alle zentralen Server, die Datensicherung und eine hohe Anzahl an Workstations ab. Nur so lässt sich der Betrieb eines Unternehmens effektiv stören und die Erpressung hat eine Chance auf Erfolg. Ein solcher Cyberangriff benötigt somit Zeit und die Angreifer führen einige Aktivitäten im Netzwerk durch, nachdem der Zugang gelegt ist. Diese Aktivitäten finden sich beispielsweise in Protokollen von Servern, Betriebssystemen oder dem Active Directory Log. Die Herausforderung ist, unter den tausenden von Einträgen, die laufend entstehen, die Aktivitäten von Hackern zu identifizieren.
Hier kommt die Angriffsfrüherkennung zum Zuge. Dieser Teil der IT-Sicherheit konzentriert sich auf die präventive Verteidigung von Cyberattacken. So erfolgt ein Fokus auf die Logdaten und die Analyse dieser Informationen. Inzwischen gibt es hierfür Softwarelösungen, die in der Lage sind, das komplette Netzwerk inklusive aller Logdateien in Echtzeit zu überwachen. Erkennt das System eine potenziell illegale Aktion, erfolgt eine Warnmeldung. Unternehmen benötigen zusätzlich zu dieser Software Mitarbeiter, die mit der gezielten Analyse der Warnmeldungen beauftragt sind. Das beste Frühwarnsystem verfehlt seine Effektivität, wenn keiner schnell auf die Meldungen reagiert. Die IT Security erhält einen Hinweis auf die spezifische Aktion und prüft dann den oder die entsprechenden Log-Einträge. So lässt sich herausfinden, von welcher IP die Aktion stammt, ob ggf. ein Mitarbeiter des Unternehmens dahintersteckt oder ein externer Angreifer. Als Konsequenz ist es dann möglich, sofort Gegenmaßnahmen einzuleiten.
Auf diese Weise erhalten Unternehmen mit der Angriffsfrüherkennung ein Verteidigungsmittel, mit dem sie Sicherheitsverletzungen und sich anbahnende Cyberattacken mit einem Erpressungstrojaner in einem frühen Stadium erkennen. Potenziell besteht also die Möglichkeit, die Erkennungsdauer von unbefugten Aktivitäten im eigenen Netzwerk von durchschnittlich über 150 Tagen auf Sekunden oder Minuten zu reduzieren.
Große Unternehmen implementieren eigene Security Operations Center (SOC), die ausschließlich und rund um die Uhr mit der Überwachung der Netzwerkaktivitäten beauftragt sind. Für kleine und mittlere Unternehmen ist ein solches SOC ein viel zu großer finanzieller Aufwand. Dennoch gibt es Optionen, wie KMUs dasselbe Sicherheitsniveau erreichen und eine Angriffsfrüherkennung umsetzen: Externe Dienstleister übernehmen die Kontrolle und Auswertung der eigenen Logs. Der ACD Service von secion beispielsweise bietet genau diese Funktionen. Die Software überwacht Logs von Betriebssystemen, Servern, Datenbanken, Routern und weiteren Systemen im Netzwerk. Es erfolgt eine Auswertung in Echtzeit. Findet das System auffällige Aktionen, informiert das ACD SOC Team umgehend die Kontaktpersonen des Unternehmens, was eine sofortige Reaktion ermöglicht. So verhindert dieser Service beispielsweise eine Datenverschlüsselung, die durch einen erfolgreichen Ransomware-Angriff droht.
Fazit
Die IT-Sicherheitslage in 2021 verschärft sich weiter. Angriffe mit Ransomware nehmen zu, wobei besonders ein Anstieg der organisierten Kriminalität zu beobachten ist. Jedes Unternehmen ist ein potenzielles Ziel und die Zahl der konkret betroffenen Firmen wächst. Auch die Schadenssummen bei den betroffenen Unternehmen nimmt zu. Nur ein Teil der Kosten sind dabei auf die Erpressungssummen der Ransomware zurückzuführen. Ein großer Teil entsteht durch Ausfälle der IT, die teilweise wochenlang nicht zur Verfügung steht und somit das Unternehmen lahmlegt.
Als Abwehrmaßnahmen gegen die Datenverschlüsselung mit Ransomware sind Lösungen für die Angriffsfrüherkennung notwendig. Auf diese Weise lässt sich die Zeit, in der die Hacker im Netzwerk aktiv sind und die Erpressungstrojaner platzieren, deutlich verkürzen. Die Entscheidungsträger stehen hier in der Verantwortung, eine effektive und vor allem umfangreiche IT-Verteidigung aufzubauen, um präventiv Cyberangriffe auf das eigene Unternehmen zu verhindern.
Cyberangriffe müssen frühzeitig erkannt werden, um Schäden abzuwenden! Wie? Kontaktieren Sie uns!
Zum Thema passende Artikel
Der Umgang mit digitalen Bildern, Dokumenten und Dateien gehört für viele zum Alltag dazu. Häufig teilen auch Mitarbeiter Daten mit unternehmensfremden Personen oder verschicken digitale Dokumente über das Internet. Was viele nicht bedenken: Es werden bestimmte zusätzliche sensible Informationen dabei preisgegeben - meist ungewollt.. Viele Nutzer sind sich der Existenz und der Reichweite dieser Informationen außerdem gar nicht bewusst. Da digitale Systeme jedoch immer tiefer in unser Leben eindringen, ist es wichtig, um die potenziellen Gefahrenquellen zu wissen und den Metadaten-Schutz aktiv voranzutreiben.
Weiterlesen … Unterschätztes Sicherheitsrisiko: Wie schützen Sie eigentlich Ihre Metadaten?
Cybersicherheitsvorfälle gehören inzwischen zu einer Alltagsbedrohung. Nicht immer handelt es sich dabei um Advanced Persistent Threats, also zielgerichtete Angriffe auf kritische Bereiche der Infrastruktur. Auch hat die IT Security von Unternehmen viele Cyberbedrohungen, die täglich auftreten, gut im Griff. Gleichzeitig sorgt dies in vielen Fällen für ein falsches Gefühl von Sicherheit: Viele Unternehmen bewerten ihre eigene IT Security als exzellent. Tatsächlich ist die IT-Sicherheit bei vielen Unternehmen ausbaufähig, das hat Marktforschungsinstitut IDC für seine Studie „Cybersecurity in Deutschland 2021" herausgefunden.