Ransomware-Attacken – So laufen sie für den Betroffenen ab
3 Min. Lesezeit
Managed Thread Response ist besonders effektiv gegen Ransomware-Attacken. Über das Tool lassen sich reale Abläufe eines Cyberangriffes genau beachten. Aus der Sicht des Opfers ist Ransomware meist nicht der Fuß, sondern die Spitze des Attackenberges.
Das Wichtigste in Kürze
Diebische Absichten der Angreifer haben oft mit der Sensilbilität der Daten zu tun, die es potenziell zu „erbeuten“ gibt. Quelle: iStock / Ja_Inter
Ransomware ist das Finale einer Cyberattacke
Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – zum Beispiel durch die Ransomware-Meldung – erfolgt ist. Das ist allerdings sehr selten der Fall. Tatsächlich ist es so, dass sich Angreifer in aller Regel bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten haben.
Sie agieren verborgen unter dem Radar, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern.
Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk, so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.
Opfer und Angreifer sind großem Stress ausgesetzt
Für das Opfer einer Ransomware-Attacke bedeutet das Stress und Überforderung. Quelle: iStock / PRImageFactory
Rund Neunzig Prozent der Attacken, die von Incident Respondern gesehen werden, involvieren Ransomware, und die Auswirkungen dieser Angriffe sind oft verheerend.
Dies gilt besonders für systemrelevante Organisationen, wie zum Beispiel Gesundheitseinrichtungen, wo ein erfolgreicher Angriff abgesagte Operationen, verschwundene Röntgenbilder, verschlüsselte Ergebnisse von Krebs-Screenings und mehr bedeuten kann.
Einige Opfer fühlen sich ohnmächtig und halten eine Lösegeldzahlung für die einzige Option, um zum Beispiel den Zugriff auf Daten-Backups, die von den Angreifern gekapert wurden, wiederzuerlangen. Andere Organisationen entscheiden sich gegen eine Zahlung. Wiederum andere sorgen sich mehr um den Schaden für ihre Reputation denn über Lösegeld für Entschlüsselungscodes.
Ransomware selbst variiert von geschäftsmäßig und raffiniert bis minderwertig und schlampig. Ransomware-Analysen haben gezeigt, dass Attacken nicht nur für die Opfer anstrengend und einschüchternd sind, sondern dass auch die Kriminellen zunehmend unter „Erfolgsstress“ stehen: Sie bedrängen Unternehmen, die sich weigern zu zahlen, immer massiver.
Herausforderung Wiederaufbau: Finde die Quelle
Die Incident-Responder-Daten deuten auch darauf hin, dass es vielen Opfern schwerfällt, die Bewegung von Ransomware durch die Organisation nachzuvollziehen. Es gibt die generelle Annahme, dass sie sich von ihrem Startpunkt automatisch in alle Richtungen des Netzwerks ausdehnt – während sie in Wirklichkeit strategisch auf eine vorausgewählte Liste von Geräten und Netzwerkbereichen konzentriert. Zudem zeigt sich, dass die Angreifer nicht nur Dokumente und andere Daten anvisieren, sondern sie schlichtweg die Geräte und Systeme soweit funktionsunfähig machen wollen, dass diese nur noch über genug Ressourcen verfügen, um die Ransomware-Benachrichtigung zu starten.
Für die Opfer einer Attacke bedeutet das: die Wiederherstellung des Systems beginnt nicht mit dem Wiedereinspielen eines Backups und der Suche danach, was die Angreifer noch angerichtet haben. Der Wiederherstellungsprozess startet oft mit der signifikanten Herausforderung, sämtliche betroffenen Maschinen neu aufzubauen. Und mit ihr die schwierige Aufgabe der Identifikation: von wo ging die Attacke aus und sind die Kriminellen vielleicht sogar noch immer im System?
Gefahrabwehr nur mit Mensch und Maschine
Oft ist die Sicherheitslücke dabei der Mensch und seine Angewohnheiten. Quelle: iStock / dusanpetkovic
Überwachungskameras können Verbrechen aufnehmen, Täter vielleicht auch abschrecken, aber stoppen können sie den Einbruch nicht. Entscheidend ist das Eingreifen der Sicherheitskraft, die live die Aufnahmen verfolgt und entsprechende Handlungen unternimmt.
Seitdem die Cybergangster immer häufiger im Stealth-Modus unterwegs sind und sie ihre Fähigkeiten, legitime Werkzeuge und Prozesse zu verwenden, verbessert haben, steigt der Wert des menschlichen Faktors im Threat Hunting.
Diese Methode kombiniert fortgeschrittene Algorithmen modernster Sicherheitssoftware mit täglicher menschlicher Expertise, die in der Lage ist, die Nuancen eines Angriffs zu bewerten – eine Fähigkeit, die Software (so noch) nicht besitzt.
Key Facts
Ransomware-Schäden weltweit: Über 20 Milliarden Euro jährlich – Tendenz steigend.
Durchschnittliche Ausfallzeit: Unternehmen verlieren im Schnitt 22 Tage Produktivität nach einem Ransomware-Angriff.
Häufige Fragen
Was sollte man bei einem Ransomware-Angriff als Erstes tun?
Sofort die betroffenen Systeme vom Netzwerk isolieren, den IT-Notfallplan aktivieren und das Incident-Response-Team einschalten. Auf keinen Fall vorschnell Lösegeld zahlen – laut BSI erhöht das die Wahrscheinlichkeit weiterer Angriffe.
Schützt ein Backup zuverlässig vor Ransomware?
Nur wenn die Backups offline oder in einem isolierten Netzwerk gespeichert sind. Moderne Ransomware sucht gezielt nach Backup-Systemen und verschlüsselt diese mit. Die 3-2-1-Regel (3 Kopien, 2 Medien, 1 extern) ist Mindeststandard.
Sollte man Lösegeld zahlen?
BSI und BKA raten klar davon ab. Zahlung finanziert kriminelle Strukturen und garantiert keine Entschlüsselung. Laut Cybereason wurden 77 Prozent der Zahler erneut angegriffen. Stattdessen: Anzeige erstatten und professionelle Incident Response beauftragen.
Verwandte Artikel
- Diese Tipps schützen Sie vor einer Smartphone-Sicherheitslücke im Urlaub
- CIOs sind um die Softwaresicherheitheit ihres Unternehmens besorgt
- Ransomware wird zunehmend für gezielte Angriffe genutzt
Mehr aus dem MBF Media Netzwerk
- IT-Strategien für Entscheider auf digital-chiefs.de
- Mehr IT-Sicherheits-Trends auf mybusinessfuture.com
Quelle Titelbild: iStock / glegorly
Lesen Sie weiter
