Erpressersoftware 09.11.2022, 12:36 Uhr

Wie man nach einer Ransomware-Attacke die Lösegeldforderung ablehnt

Die Bedrohung durch Ransomware nimmt zu. Viele Unternehmen gehen dabei auf die Lösegeldforderungen ein. Mit einer durchdachten Backup-Strategie könnten die meisten Betroffenen den Erpressern aber die kalte Schulter zeigen.
(Quelle: Archiv NMGZ)
Von Edwin Weijdema, Global Technologist bei Veeam
Mit mehr als 236 Millionen Ransomware-Angriffen in der ersten Jahreshälfte 2022 nehmen Umfang und Intensität der Angriffe zu und betreffen inzwischen fast jeden Wirtschaftszweig. Dies wird durch einen Zustrom neuer Ransomware-Hacker angetrieben, während die alteingesessen Kriminellen daran arbeiten, die Lösegeldforderung stark zu erhöhen.
Obwohl viele Unternehmen nach einem Angriff das Lösegeld zahlen, muss gesagt werden, dass dies keine Garantie nach sich zieht, die Daten zurückzuerhalten. Im Jahr 2022 haben 52 Prozent der Unternehmen weltweit wegen verschlüsselter Daten ein Lösegeld gezahlt und ihre Daten erfolgreich wiederherstellen können, doch jedes vierte Unternehmen, das gezahlt hat, konnte dies dennoch nicht. Infolgedessen ist die Debatte, ob man zahlen soll oder nicht, nach wie vor sehr hitzig. Während die einen Firmen zahlen, um schnell wieder zum Alltagsbetrieb zurückkehren zu können, sind andere fähig, die sich auf das Unvermeidliche – nämlich eine erfolgreiche Attacke – vorbereitet haben, ihre Daten auch ohne Zahlung wiederherzustellen.
Eigentlich müssten alle Unternehmen einen Punkt erreichen, an dem sie keine Angst mehr vor diesem Ereignis haben, weil sie die Zahlung verweigern können, da sie wissen, dass ihre Datensicherung gut genug, die Wiederherstellungszeit gering und der Datenverlust gleich null ist.

Die Gefahren der Zustimmung zur Erpressung

Bevor Organisationen diesen Punkt der Furchtlosigkeit erreichen können, müssen sie jedoch viele Schritte gehen. Zuerst müssen die Führungskräfte der IT verstehen, warum die Kriminellen überhaupt Forderungen stellen und worin deshalb die Gefahr eines schnellen «Ja» zur Erpressung besteht.
Im Grunde genommen haben die Verantwortlichen eben Angst vor Fehlern und versuchen, verschiedene schädliche Folgen zu vermeiden. Der Rufschaden ist ein wichtiger Faktor, ebenso wie die Sorge der Sicherheitsabteilungen um die Auswirkung auf ihre Arbeitsplätze. Dies veranlasst die Unternehmen dazu, Zahlungen zu leisten, in der Hoffnung, dass sie nicht in die Schlagzeilen geraten und die Attacke glimpflich ausgeht.
Zudem geben die von Ransomware-Kriminellen angewandten Methoden den Unternehmern oft das Gefühl, dass sie wirklich keine andere Wahl haben als zu bezahlen. Ransomware-Banden haben es auf Backups abgesehen und bringen Unternehmen in eine schwierige Lage: Obwohl diese ihre Daten gesichert haben, war es ein Teil des Angriffs, die Sicherung zu beschädigen. Wenn man sich in die Gedankenwelt eines Ransomware-Kriminellen hineinversetzt, kann man verstehen, warum er es auf Backups abgesehen hat – schliesslich sind es die wertvollsten, sensibelsten und geschäftskritischsten Daten, die vorrangig gesichert werden. Sie sind für das Funktionieren des Unternehmens von entscheidender Bedeutung und somit unverzichtbar, was die Angreifer wissen.
Wie erwähnt, bedeutet die Zahlung des Lösegelds nicht, dass die Daten erfolgreich wiederhergestellt werden können und der Fall abgeschlossen ist. Häufig löst die Zahlung des Lösegelds sogar eine Kettenreaktion aus: Wenn eine Firma auf die Lösegeldforderung eingeht, gibt sie den Angreifern zu verstehen, dass sie alles tut, was von ihr verlangt wird. Das führt dazu, dass sie weiter ausgebeutet wird. Nur etwa eines von vier Unternehmen wurde bislang lediglich einmal mit Ransomware angegriffen – zu den anderen kehrten die Angreifer zurück, um weitere Attacke zu starten und weitere Forderungen zu stellen. Dies wird als doppelte oder dreifache Erpressung bezeichnet.
Die doppelte Erpressung wird manchmal auch auf Englisch als name and shame extortion bezeichnet – auf Deutsch bedeutet das so viel wie der Begriff «anprangern» – was sehr deutlich macht, warum diese Masche eine grosse Bedrohung für Unternehmen darstellt und warum diese zahlen, um die Folgen zu vermeiden. Diese Art von Ransomware-Angriff beinhaltet hier nicht nur den Diebstahl und die Verschlüsselung von Daten, sondern auch deren Weitergabe. Die Angreifer erpressen ihre Ziele stärker, weil sie damit drohen, die gestohlenen Daten herzugeben, zum Beispiel an Konkurrenten.
Die dreifache Erpressung erhöht den Druck nochmal, weil zusätzlich ein DDoS-Angriff (Distributed Denial-of-Service) droht, wenn die Zahlung nicht rechtzeitig erfolgt. Geschieht dieser, können Unternehmer verzweifeln: Nicht nur die Daten wurden gestohlen und verschlüsselt und deren Veröffentlichung droht, sondern sie müssen mit der vollständigen Schliessung ihres Unternehmens rechnen, sollte der DDoS-Angriff erfolgreich sein.
Leider enden viele Erpressungen so, wie oben beschrieben, obwohl das Lösegeld gezahlt wurde. Der beste Weg, um dies zu vermeiden, ist eine gute Backup-Strategie, die stark genug ist, um «Nein» sagen und somit ablehnen zu können.

Aufbau einer felsenfesten Datensicherung

Das Backup ist die letzte Verteidigungslinie gegen Ransomware-Angriffe, aber nicht alle Backups sind gleich. Es reicht nicht aus, nur ein Backup zu besitzen, denn Backups sind das Ziel von Angreifern geworden. Bei 94 Prozent der untersuchten Angriffe waren Backup-Repositories ein Ziel und bei fast 70 Prozent der Zwischenfälle waren zumindest einige Repositories betroffen.

Das bedeutet, dass Entscheider die Ransomware-Forderung nur ablehnen können, wenn sie die richtigen Daten auf die richtige Weise schützen. Um dies zu erreichen, müssen diese bei der Klassifizierung der Daten sehr genau sein. Heutzutage haben Unternehmen eine grosse Menge an Daten zu verwalten und produzieren solche fortlaufend. Wenn man aber mit einer scheinbar unendlichen Menge von Daten konfrontiert wird, ist es schwierig zu wissen, welche die wichtigen Teile sind und wo diese sich befinden. Man muss dennoch herausfinden, welche Daten man überhaupt hat und welche man sichern muss.
Unklassifizierte Daten sind nicht gekennzeichnet oder identifizierbar, was die Zuordnung einer Risiko-Stufe zu den Datensätzen erschwert. Wenn die IT-Verantwortlichen geschäftskritische Daten schützen wollen, müssen sie diese daher zunächst identifizieren. Darüber hinaus ist die Kennzeichnung der Daten ebenfalls ein wichtiger Bestandteil der modernen Datenwiederherstellung. Oft können Organisationen nicht sicher sein, welche ihrer Datensätze bei einem Angriff verletzt wurden. Dies ist ein weiterer Grund, warum sie dann das Lösegeld zahlen: Weil sie nicht ausschliessen können, dass ihre sensibelsten Daten beschädigt wurden und nicht in der Lage sind, bestimmte Datensätze für die Wiederherstellung zu lokalisieren.
Neben der Sicherstellung, dass die Daten klassifiziert sind, ist es wichtig, dass alle Backup-Verantwortlichen die goldene 3-2-1-1-0 Backup-Regel befolgen: Drei Kopien jedes Backups sollten auf mindestens zwei verschiedenen Medien gespeichert werden, wobei eine der Kopien ausserhalb des Unternehmens aufbewahrt wird. Eine Kopie sollte ausserdem ohne Verbindung zum Internet gelagert werden (z. B. offline oder analog auf Band), eine muss air-gapped oder unveränderlich („immutable“) gespeichert werden, und bei der Wiederherstellung darf es keine Fehler geben, was Tests sicherstellen. Dieser letzte Punkt mag einfach erscheinen, wird aber oft übersehen, darum sei betont, dass jede Datensicherung nur dann nützlich für ein Unternehmen ist, wenn sie regelmässig geprüft wird, um sicherzustellen, dass sie keine Fehler aufweist. Andernfalls kann man sie nicht so wie geplant wiederherstellen. Dies wird durch eine tägliche Überwachung erreicht, denn Backups sollten nicht als etwas für blossen Notfall gelten, sondern als lebendiger Teil der IT-Infrastruktur, der ständige Aufmerksamkeit benötigt.
Diese Regel spiegelt einen generellen Wandel in der Einstellung von Unternehmen zur Datensicherung sowie deren veränderte Anforderungen wider. Heterogenität ist im Jahr 2022 entscheidend geworden. Der Begriff meint hier eine Strategie zur Datensicherung, die zum Schutz moderner Workloads optimiert wurde, welche über On-Premise-Server und auf einem Cloud-basierten Server verteilt sind. Da Unternehmen diesen Schritt des Netzwerkwandels zunehmend gehen, sollten sie auch sicherstellen, dass sie dessen Vorteile für ihre Datensicherung nutzen.

Die Wiederherstellung in den Mittelpunkt rücken

Mittlerweile sind Ransomware-Angriffe unvermeidlich geworden. Die Frage lautet nicht, ob man angegriffen wird, sondern wann. Daher ist die Beherrschung der eigenen Sicherungsstrategie nur die halbe Miete.
Die andere Hälfte besteht darin, sicherzustellen, dass das Unternehmen vorbereitet ist, um ihre Datenwiederherstellung an sich und die Wiederherstellungszeit (RTO) zu optimieren. Dies ist ein Prozess, der sehr viel Zeit in Anspruch nimmt. Im Durchschnitt benötigen Unternehmen 18 Tage, um ihre Datenwiederherstellung abzuschliessen, aber bei 15 Prozent der Organisationen kann sich dieser Prozess über mehrere Monate (1 bis 4 Monate) erstrecken. Dies ist nicht nur arbeitsintensiv, sondern bedeutet ausserdem, dass die Geschäftsabläufe während dieser Ausfallzeit gestört werden. Daher sollte jede Firma über eine gute Infrastruktur für eine schnelle Wiederherstellung verfügen.
Hier ist ein moderner Ansatz hilfreich: Wenn Unternehmer ihre Daten vor Ort und in der Cloud sichern, können sie heutzutage die Datensätze von beiden Servern gleichzeitig wiederherstellen. Wichtig ist auch, dass eine zusätzliche Verteidigungslinie geschaffen wurde, da wiederrum 40 Prozent der Server von unerwarteten Ausfällen betroffen sind. Wenn die IT-Entscheider dies berücksichtigen und eine entsprechende Strategie entwickeln, kann das Unternehmen jede Lösegeldforderung mit der Gewissheit abwehren, dass es über mehrere funktionierende Backups verfügt.

Nicht am falschen Ende sparen

Unternehmer neigen dazu, sich auf inkrementelle Datenwiederherstellung zu verlassen, da dies als wirtschaftlichere Option gilt. Da jedoch die Kosten für Ransomware-Angriffe steigen, lohnt es sich, die für eine umfassende Wiederherstellung erforderlichen Massnahmen zu ergreifen. Dazu muss die Infrastruktur so umgestaltet werden, dass Unternehmen ihre Daten schnell wiederherstellen können, somit in einem viel kürzeren Zeitrahmen als den erwähnten 18 Tagen, um flott wieder zur Tagesordnung überzugehen.
Sobald die Fachkräfte die genannten Faktoren angehen, die häufig zu Lösegeldzahlungen führen, wird es wesentlich einfacher werden, die für die Verweigerung erforderliche Kraft aufzubringen. In Zukunft müssen Führungskräfte aller Art in der IT ihre Angst hinter sich lassen und gestärkt durch eine neu gestaltete Backup-Strategie, die ihnen ein Gefühl der Sicherheit vermittelt, die Erpressung abschmettern.


Autor(in) Online Redaktion



Das könnte Sie auch interessieren