Unser CSIRT stellte in den letzten Wochen wieder einen Anstieg der Ransomware-Angriffe fest. Unternehmensdaten müssen mehr denn je in Form von Backups gesichert werden. Warum aber Backups alleine keinen genügenden Schutz bieten und wieso eine solide Datensicherungsstrategie so wichtig ist, erfahren Sie im folgenden Blogartikel.
Bei einem Ransomware-Angriff zählt jede Minute. Wie reagieren Sie? Ist die Sicherheit Ihrer Daten gewährleistet, wenn Sie sich entscheiden nicht zu zahlen – oder selbst wenn Sie zahlen? Während Sie die Optionen prüfen, bleibt Ihre Organisation gelähmt. Jede Minute, die verstreicht, erhöht den Druck, den richtigen Entscheid zu treffen.Ihre Backup-Strategie entscheidet dann nicht selten über «zahlen oder nicht zahlen». Sie sehen: Backups sind notwendig, jedoch müssen sie wiederherstellbar sein. Eine Infrastruktur eines Unternehmens ausgehend von nur einem Backup ist eher schwierig wiederherzustellen. Je diversifizierter und vielschichtiger die IT-Umgebung ist, desto grösser ist die Herausforderung. Es kann auch sein, dass ein Recovery (Wiederherstellung) nur teilweise gemacht werden kann oder noch schlimmer, wenn das Backup gar nicht erst funktioniert. Falls der Backup-Server bei einem Ransomware-Angriff innerhalb des Netzwerkperimeters agiert, wird er zusammen mit allen anderen Systemen im Netzwerk ebenfalls verschlüsselt und somit unbrauchbar gemacht. Prozesse, Technologien und Verfahren zur Erstellung regelmässiger Kopien von Daten und Anwendungen auf ein separates, sekundäres Gerät sind daher genauso wichtig wie die Recovery (Wiederherstellung) selber. Dieses sollte dann natürlich offline gehalten werden.
Wird ein Unternehmen mit diversen Infrastrukturen von einem Ransomware-Angriff getroffen, ist eine rasche Recovery unwahrscheinlich, selbst wenn ein Backup perfekt funktioniert. Dieser Stillstand verursacht im Unternehmen hohe Kosten oder kann sogar zum potenziellen Ausfall des ganzen Unternehmens führen. Wenn unser CSIRT zur Unterstützung bei einem Sicherheitsvorfall gerufen wird, ist unser oberstes Ziel, das Unternehmen schnellst möglich wieder handlungsfähig zu machen. Dabei priorisieren wir drei elementare Punkte:
1. Die Erhaltung oder Wiederherstellung der Wertschöpfungskette
2. Die zukünftig zu erwartenden Auswirkungen, z.B. von Angreifern verursachte Datenleaks
3. Das Rückkehrrisiko zu minimieren; sprich, alle Lücken und Hintertüren zu beseitigen
Eine gewisse Ausfallzeit entsteht immer, da es unwahrscheinlich ist, dass alle Dienste und Systeme sofort wieder entschlüsselt werden können, jedoch sollte diese möglichst kurz sein. Die Integrität der Backups muss daher regelmässig geprüft und in einer Staging-Umgebung sollten regelmässig Testläufe zur Wiederbelebung des Servers durchgeführt werden. So kann die Zeit für die Recovery im Falle eines Ransomware-Angriffs nicht zu lange dauert.
Moderne Ransomware sind heute keine reinen Verschlüsselungsprogramme mehr, sondern viel schlimmer. Früher zielten Ransomware-Angriffe hauptsächlich auf Endanwender ab und verlangten für die Freigabe der Daten kleinere Beträge in Kryptowährung. Inzwischen sind Angriffe auf Unternehmen viel lukrativer geworden, da diese weitaus höheren Lösegelder bezahlen können und dies auch eher tun. Moderne Ransomware lauert in Netzwerken und schöpft auch die kleinsten Daten ab, die sie ausspähen kann. Die Daten werden dann analysiert und verwendet, um Unternehmen mit Verschlüsselung, Datenlecks oder beidem zu erpressen. Bei Nichtzahlung werden vertrauliche Daten der Kunden oder Geschäftsgeheimnisse des Unternehmens veröffentlicht. Dies kann die Reputation eines Unternehmens dauerhaft schädigen und erhöht natürlich zudem den Druck auf das betroffene Unternehmen.
Mit einer geeigneten Ransomware-Strategie können Sie das Risiko eines Angriffs reduzieren und zugleich die Auswirkungen eines erfolgreichen Angriffs mindern. Mit folgenden drei Säulen können Sie die Sicherheit gegen Ransomware deutlich erhöhen:
1. Schutz vor Ransomware:
Proaktiver Ransomware-Schutz, der verhindert das Bedrohungen im Netzwerk Fuss fassen können, beispielsweise Guardicore Centra.
2. Datensicherungsstrategie:
Eine solide Datensicherungsstrategie ist von entscheidender Bedeutung – nicht nur bei einem Ransomware-Angriff und unabhängig von der Grösse Ihres Unternehmens oder der Branche.
Unsere Cyber Security Experten haben Ihnen eine Best Practices Checkliste zusammengestellt. Dieser Leitfaden soll Sie dabei unterstützen, Ihren Backup- und Recovery-Plan sowie die Backup-Architektur in groben Zügen zu überprüfen und ggf. anzupassen. Laden Sie jetzt unser Whitepaper herunter!
Die Security Awareness ist ein entscheidender Faktor, damit es gar nicht erst zu einem Ransomware-Angriff kommen kann. Durch die Sensibilisierung Ihrer Mitarbeitenden auf Themen wie Phishing und Ransomware werden Gefahren, die durch fahrlässiges Verhalten oder Unwissen entstehen, reduziert. Hierzu bieten wir Ihnen gezielte E-Learningkurse, unsere individuellen Security Awareness Services an.
Mehr Informationen rund ums Thema Security Awareness, Phishing und Social Engineering finden Sie auch auf unserer Webseite «Know-how Security Awareness»! Prüfen Sie jetzt Ihr Wissen mit unserem Security-Awareness Quiz.