Datenschutz im Jahr 2022: Ransomware und Datensicherheit

Seit einigen spektakulären Angriffen in den USA ist Ransomware auf der Weltbühne zum Cyberfeind Nummer eins geworden. Internationale Strafverfolgungsmaßnahmen, Sondereinheiten und Industriekooperationen zielen darauf ab, dieses neue Gewerbe zu Fall zu bringen. Und auch wenn jedes Unternehmen eigens dafür verantwortlich ist, sich angemessen auf Ransomware-Angriffe vorzubereiten, stellen ein Tunnelblick und das Ignorieren anderer Angriffsvektoren bereits ein Risiko an sich dar.

Was ist Ransomware?

Über unsere gesamte Reihe zu den Cyber- und Datensicherheitsrisiken im Jahr 2022 hinweg haben wir uns der Analogie eines Hauses bedient (und werden dies auch in den restlichen Artikeln tun), um zu erklären, wie verschiedene Angriffsformen funktionieren. Was also hat es mit Ransomware (Erpressungssoftware) auf sich?

Stellen Sie sich einmal vor, jemand klopft an Ihrer Haustür und gibt vor, ein Vertreter zu sein. Sie lassen die Person eintreten und gehen mit ihr in die Küche. Auf dem Weg dorthin bemerken Sie, dass die Person sich alles ganz genau anschaut, während Sie gemeinsam durch die verschiedenen Zimmer gehen. Nachdem Sie in der Küche angekommen sind und ein paar Minuten miteinander gesprochen haben, bittet die Person Sie darum, die Toilette benutzen zu dürfen. Sobald sie jedoch den Fuß über die Schwelle der Küche gesetzt hat, schlägt die Person die Tür zu und schließt Sie ein. Anschließend schiebt der „Vertreter“ einen Zettel unter der Tür durch, der Sie dazu auffordert, eine Gebühr im Gegenzug für Ihre Freilassung und für den Zugang zum Rest Ihres Hauses zu zahlen. (Ja, Ihre Küche mag ein Fenster haben, aber das Fenster in unserer Analogie lässt sich nicht öffnen.)

Während Sie jedoch eingeschlossen sind und überlegen, was zu tun ist, durchsucht der Erpresser jeden Quadratzentimeter Ihres Hauses nach nützlichen Daten. Kontoauszüge? Eingesteckt! Der Schlüssel und die Anschrift Ihres Bankschließfaches? In der Tasche! Ihre Sozialversicherungsnummer? Notiert! Und wenn der Person danach ist, zerstört sie vielleicht noch Ihre Möbel und den Rest Ihres Hauses, da sie schon mal dabei ist.

Sie entscheiden sich schließlich dazu, das Lösegeld zu zahlen. Ihr Angreifer lässt Sie aus der Küche raus, aber Ihr Haus wurde komplett vandalisiert und nun will die Person auch noch eine zusätzliche Geldsumme dafür haben, dass sie nicht alle vertraulichen Informationen, die sie im Haus gefunden hat, mitnimmt und an den höchsten Bieter verkauft. Sie geben nach und zahlen auch das zweite Lösegeld, aber Ihnen war nicht klar, dass die Person Kopien all Ihrer Unterlagen angefertigt hat und die Informationen nun trotzdem nach Belieben für ihre eigenen Zwecke missbrauchen kann.

Es ist genau dieser quasi niemals endende Kreislauf an Dingen, die sich stetig verschlimmern, der Ransomware-Angriffe so gefährlich macht. Angreifer erpressen ihre Opfer oft mehrfach. Andere Beispiele von Ransomware löschen alle Dateien, anstatt sie zu verschlüsseln. Als Ergebnis können Sie nicht einmal durch die Zahlung des Lösegelds den Zugriff auf Ihre Daten zurückerlangen. Und letztlich gibt es in der digitalen Welt keine Garantie dafür, dass die Entschlüsselungscodes, die die Angreifer dem Opfer geben, auch wirklich funktionieren werden. Daher kann es durchaus sein, dass sich Unternehmen nach Zahlung eines Lösegelds noch weiteren Kosten gegenübersehen, die durch das Ersetzen von Hardware, Datenschutzbußgelder (in dem Fall, dass private Daten von der Datenschutzverletzung betroffen sind) und allgemeine Geschäftsunterbrechungen entstanden sind. Sehen Sie sich dieses Video (auf Englisch) der amerikanischen Federal Trade Commission (FTC) an, um mehr zu erfahren.

Im Durchschnitt dauert es mehr als 280 Tage, um sich vollständig von einem Ransomware-Vorfall zu erholen. Deshalb ist die Verhinderung derartiger Angriffe so wichtig.

Bewährte Verfahren als Verteidigung gegen Ransomware im Jahr 2022

Ähnlich wie bei den meisten Cyberangriffsmethoden gibt es auch hier keine Wunderwaffe, die Unternehmen vor jeglicher Art von Ransomware-Attacken schützt. Sie können jedoch mehrere Schritte befolgen, um dem durch einen derartigen Angriff entstehenden Schaden vorzubeugen oder ihn in Grenzen zu halten.

Das Wichtigste zuerst: Ransomware wird meistens über Social-Engineering-Angriffe eingeschleust. Tatsächlich besteht der Hauptgrund, warum wir diese Reihe mit einem Artikel zu Social-Engineering-Angriffen begonnen haben, darin, dass diese oftmals als Ausgangspunkt für komplexere böswillige Aktivitäten dienen. Sie können mehr über sie und unsere Tipps zu deren Verhinderung in unserem vorherigen Blogbeitrag erfahren. Aufklärung ist das beste Mittel, um unerwünschte Angreifer aus Ihrem Netzwerk fernzuhalten. Klare Richtlinien, die Mitarbeitern erklären, was sie zu tun haben, wenn sie verdächtige Aktivitäten feststellen, sind ebenfalls wichtig, um eine schnelle Reaktion auf Angriffe zu gewährleisten.

Ihre Firewall und Virenschutzprogramme sind eine weitere wesentliche Schutzebene. All dies mag zwar zum Einmaleins der Cybersicherheit gehören, aber es gibt ausreichend Nachweise dafür, dass Patches in manchen Systemen nicht rechtzeitig ausgeführt werden. Stellen Sie sicher, dass robuste Lösungen für alle Geräte vorliegen, die mit dem Firmennetzwerk verbunden sind. Halten Sie stets alles auf dem neuesten Stand, um zu garantieren, dass Sie gegen jegliche kürzlich aufgedeckte und gepatchte Schwachstellen in den von Ihrem Team genutzten Tools geschützt sind. Setzen Sie Tools zum Monitoring von Geräten ein, um zu gewährleisten, dass Mitarbeiter keine nicht ausdrücklich autorisierte Software auf ihren Computern installieren. Legen Sie zentral verbindlich fest, dass für alle Firmengeräte ein Neustart ausgeführt wird und Updates für deren Betriebssysteme innerhalb eines angemessenen Zeitraums (24-72 Stunden) installiert werden müssen.

Derartige Tools zum Monitoring von Cybersicherheit (die sich sehr von Lösungen zur Mitarbeiterüberwachung unterscheiden – eine Datenschutzdiskussion, die wir uns für ein anderes Mal aufheben…) machen auch einen entscheidenden Bestandteil Ihrer nächsten Schutzebene aus. Statistiken weisen darauf hin, dass manche böswillige Individuen Ransomware nicht in dem Moment einsetzen, wenn sie Zugriff auf ein Enterprise-Netzwerk erlangen. Diese Angreifer durchstöbern interne Netzwerke stattdessen oft tagelang, um die wichtigsten Angriffspunkte und Datenspeicherorte für eine gezielte Attacke auszuspionieren. Wenn Monitoring-Tools und eine robuste Firewall vorhanden sind, erhöhen sich die Chancen Ihres Sicherheitsteams erheblich, verdächtige Netzwerkaktivitäten festzustellen, den Zugriff auf das kompromittierte Konto zu sperren und den Angreifer aus dem Netzwerk zu werfen, bevor er schwerwiegenden Schaden anrichten kann. Andere Angreifer ziehen es jedoch vor schnell zu agieren und verursachen umgehend durchgängige Störungen, indem sie direkt alle Inhalte verschlüsseln.

Zu guter Letzt und vor allem möchten wir Ihnen nahelegen, stets ein Back-up Ihrer Daten anzufertigen. Sie sollten immer mehrere Sicherungskopien haben und mehrere Versionen jeder Datei speichern. Über lokale Back-ups hinaus sollten Sie dafür sorgen, dass alle wichtigen Unternehmensdaten, Softwareeinstellungen, Profile etc. auch auf Speichermedien gesichert sind, die nicht direkt mit Ihrem Firmennetzwerk verbunden sind. Auch wenn Sicherungskopien Angreifer nicht daran hindern, Daten zu stehlen, zielen nicht alle Ransomware-Angriffe darauf ab, Datenbestände von Organisationen zu plündern. Aber selbst, wenn dies der Fall ist, kann ein Back-up Ihnen und Ihrem Team dabei helfen, sich schnell zu erholen und zum Alltagsbetrieb zurückzukehren, potenzielle Datenverluste zu begrenzen und sicherzustellen, dass Ihre Geschäftsaktivitäten prüfbar und Ihre Unternehmensdaten sicher bleiben.

Ein Ransomware-Angriff an sich kann bereits jede Menge Schaden anrichten. Wenn sich ein Unternehmen jedoch als unzulänglich vorbereitet erwiesen hat, kann die daraus resultierende Rufschädigung irreparabel sein.

Wie kommt Ende-zu-Ende-Verschlüsselung ins Spiel?

Interessanterweise kann eine Verwendung von Ende-zu-Ende-verschlüsselten Speicherlösungen wie Tresorit Sie darin unterstützen, sich gegen Ransomware-Angriffe zu verteidigen. Zum einen kann Tresorit Ihnen helfen, böswilligen Dritten den Zugriff auf sensible Daten zu versperren. Da alle in Tresorit gespeicherten Daten stets verschlüsselt sind, können Angreifer nicht auf Remote-Daten zugreifen, besonders dann, wenn Mitarbeiterrollen und ‑zugriffsrechte auf dem Prinzip „Kenntnis und Zugriff nur, wenn nötig“ basierend festgelegt werden. (An dieser Stelle sollten wir jedoch anmerken, dass lokal gespeicherte Daten weiterhin Risiken ausgesetzt sein können.)

Das wichtigste Element in Tresorits Tools zum Schutz vor Ransomware ist der Versionenverlauf. Tresorit speichert mehrere frühere Versionen aller auf unseren Servern gespeicherten Dateien. Im Falle eines Ransomware-Angriffs können Nutzer schnell die letzte nicht beeinträchtigte Version ihrer Dateien wiederherstellen und somit ihre Arbeit fortsetzen.

Darüber hinaus kann die Möglichkeit, Dateien permanent zu löschen, auf Admin-Ebene kontrolliert werden. Das bedeutet, dass Angriffsversuchen einfach durch eine Wiederherstellung von Dateien entgegengewirkt werden kann, selbst wenn die Angreifer versucht haben, alle in Tresorit gespeicherten Dateien über den Desktop-Client des infizierten Geräts zu löschen. Lesen Sie in unserer Wissensdatenbank nach, wie Sie Tresorit nutzen können, um sich von einem Ransomware-Angriff zu erholen.

Um Unternehmen und Privatpersonen gleichermaßen beim Schutz ihrer eigenen und der ihnen anvertrauten Daten zu helfen, haben wir im Zuge des Datenschutztags eine Reihe von Blogbeiträgen veröffentlicht, in denen wir die wichtigsten Cybersicherheits- und (im weiteren Sinne) Datensicherheitsbedrohungen im Jahr 2022 diskutieren möchten. Lesen Sie unseren bereits erschienenen Artikel und schauen Sie in den kommenden Wochen wieder vorbei, um zu erfahren, wie:

• Sicherheit, Privatsphäre, Informationssicherheit und Datenschutz im Jahr 2022 definiert werden („Zurück zu den Wurzeln“);
• Social Engineering (Phishing, Smishing) stets ausgefeilter wird;
• Lieferkettenangriffe, Schwachstellen in der Software von Drittanbietern und Sideloading Unternehmen weltweit beeinträchtigen könnten;
• Man-in-the-Middle-Angriffe inzwischen TLS-Verschlüsselung in bestimmten Szenarien umgehen;
• und warum DDoS-Angriffe leicht ausführbar und extrem schädlich sind.

Wir werden die Technologien hinter den jeweiligen Bedrohungen und die Unternehmen und Privatpersonen zur Verfügung stehenden Schutzmaßnahmen gegen diese Gefahren untersuchen sowie erkunden, wie Ende-zu-Ende-Verschlüsselung helfen kann. Schauen Sie demnächst wieder vorbei!