Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today
Read more

Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Abonnieren
Produkte & Lösungen

Ransomware-Angriff? Schnell Maßnahmen ergreifen

image
Ransomware

Inhalt

  1. Artikel
  2. Weitere Blogs
Dieser Artikel erschien auch auf LinkedIn.

Die jüngste Flut von Ransomware-Angriffen und die Veröffentlichung der neuen, in den USA erteilten Cyber-Sicherheitsverordnung lassen erahnen, dass Unternehmen, die kritische Infrastrukturen und personenbezogene Daten verwalten, verstärkt unter die Lupe genommen werden.

Ransomware-Angriffe nehmen an Häufigkeit zu: Neben dem berüchtigten Angriff auf Colonial Pipeline wurden am 14. Mai 2021 die zentralen Systeme des staatlichen Gesundheitswesens in Irland lahmgelegt. Zudem erfolgte ein Angriff auf AXA Partners, nachdem der Konzern die Einstellung des Versicherungsschutzes für Lösegeldzahlungen nach Ransomware-Angriffen angekündigt hatte. 

Angriffe wie der auf Colonial Pipeline haben tiefgreifende reale Auswirkungen: Millionen von Menschen ohne öffentliche Versorgung, Umsatzeinbußen in Millionenhöhe, Rufschädigung, allgemeines Chaos in der Gesellschaft sowie Angreifer, die Geld erpresst haben und weiterhin unbeschadet ihr Unwesen treiben. Ransomware-Angriffe sind bereits seit über sieben Jahren die Norm. Viele private und öffentliche Organisationen alle Größenordnungen sind Opfer solcher Angriffe geworden. 

Und doch unterschätzen Unternehmen nach wie vor das Risiko von Cyberangriffen, insbesondere von Ransomware. Warum hat Ransomware also nicht für alle oberste Priorität? Eine frühere Prüfung bei Colonial Pipeline zeigte schwerwiegende Sicherheitsmängel auf und ein Forscher kommentierte: „Ein Achtklässler hätte sich in das System einhacken können.“ 

Die jüngste Verordnung über die Verbesserung der nationalen Cyber-Sicherheit in den USA und strengere Datenschutzgesetze, wie die DSGVO und der California Privacy Rights Act (CPRA), werden bei Datendiebstahl zu interessanten Konsequenzen führen. 

Die Reaktion von Norsk Hydro auf einen Ransomware-Angriff im Jahr 2019 war ein Musterbeispiel für Veränderung. Das Unternehmen zeigte den starken Wunsch, zu lernen, sich zu verbessern und (vor allem) die dem Unternehmen anvertrauten Daten zu schützen. Es nutzte den Angriff, um die Netzwerksicherheit von Grund auf neu aufzubauen. Dabei wurden Zero-Trust-Architekturen eingesetzt, die User direkt mit Anwendungen verbinden und durch die Überwachung der Workflows über verschiedene Cloud-Deployments hinweg eine laterale Ausbreitung auf die Systeme einschränken. 

Wird Colonial Pipeline diesem Beispiel folgen?
 

Welche Lehren lassen sich aus dem Angriff auf Colonial Pipeline ziehen?

  • Es handelt sich um keinen gezielten Angriff auf die Industrial Control Systems (ICS) oder die OT-Systeme (Operational Technology). Im Gegensatz zu dem Angriff auf Saudi Aramco im Jahr 2017 gibt es bei diesem Angriff keine Hinweise darauf, dass die Pipelines beschädigt oder Mitarbeiter des Werksbetriebs verletzt wurden. Es handelt sich höchstwahrscheinlich um einen Angriff, bei dem die IT-Systeme zur Verwaltung von Betriebsinventar und Logistik blockiert wurden. 
  • Eine Lösegeldzahlung wird den Betrieb nicht rechtzeitig wiederherstellen. Doch eine gut geplante und getestete Backup- und Wiederherstellungsstrategie kann die Rettung sein. Die Zahlung eines Lösegelds ermutigt nur zu weiteren Angriffen. Ein 81-seitiger Dringlichkeitsplan, der dem Weißen Haus im April 2021 von einer öffentlich-privaten Arbeitsgruppe vorgelegt wurde, weißt darauf hin, dass die Bezahlung von Ransomware-Kriminellen nur zu mehr globaler Kriminalität, einschließlich Terrorismus, führt. 
  • Versicherungsgesellschaften beginnen damit, nicht mehr für Lösegeldzahlungen aufzukommen.In einem für die Branche offensichtlich erstmaligen Fall gab das globale Versicherungsunternehmen AXA am Donnerstag bekannt, dass es in Frankreich keine Cyber-Versicherungspolicen mehr herausgeben werde, die Kunden für an Ransomware-Kriminelle gezahltes Lösegeld entschädigten – das Unternehmen wurde daraufhin umgehend Opfer eines Ransomware-Angriffs.
  • Die US-Regierung schenkt den Entwicklungen endlich Aufmerksamkeit. Die neue Durchführungsverordnung der US-Regierung unter Präsident Joe Biden verlangt von den Unternehmen, dass sie über den auf der Einhaltung von Vorschriften basierenden Ansatz hinausgehen. „Innerhalb von 60 Tagen nach Erlassen dieser Verordnung sind die Leiter aller Bundesbehörden verpflichtet, ... einen Plan zur Umsetzung einer Zero-Trust-Architektur zu entwickeln.“
  • Vorbeugung ist viel günstiger, als die Konsequenzen eines Angriffs abzumildern. Es ist unschwer zu erkennen, dass der Umsatzverlust durch ungeplante Ausfallzeiten jede Investition in den Schutz vor solchen Angriffen weit übersteigt.

Warum war die Reaktion von Norsk Hydro auf einen Ransomware-Angriff der Goldstandard?

Ransomware-Angriffe lassen sich abmildern und verhindern. Unternehmen wie Norsk Hydro haben sich in der Vergangenheit mit solchen Angriffen auseinandergesetzt und ihre Erfahrungen öffentlich gemacht. Wie wurde vorgegangen?

  • Norsk Hydro hat kein Lösegeld gezahlt.
  • Das Unternehmen informierte die Öffentlichkeit über den Angriff und formulierte einen transparenten Reaktionsplan.
  • Das Unternehmen meldete den Angriff den Behörden und arbeitete eng mit der Sicherheitsbranche zusammen, um Angriffe auf andere Unternehmen zu verhindern.
  • Norsk Hydro nutzte die Gelegenheit, seine Sicherheit und Infrastruktur neu aufzubauen, neu zu gestalten und zu stärken. 
  • Das Unternehmen schließt die Wahrscheinlichkeit künftiger Angriffe nicht aus. 

Selbst bei bester Planung bereitet die Realität eines erfolgreichen Angriffs sehr viel mehr Schwierigkeiten. Beispielsweise konnte Norsk Hydro keine Drucker verwenden, um für die Werksmitarbeiter Sicherheitsabläufe auszudrucken. 

„Hätte Hydro die Kommunikation nicht bereits auf einen verwalteten Cloud-Service wie O365 umgestellt, wäre die Situation noch ernster gewesen.“ – Chief Financial Officer (CFO), Eivind Kallevik. 
 

Wie sollte ein Unternehmen beim Planen und Verhindern von Ransomware-Angriffen vorgehen?

Das Geschäftsrisiko für die IT- und OT-Architektur beurteilen und die Angriffsfläche reduzieren:

  • Die Überwachung von ICS-Bedrohungen sollte erst nach einer Analyse der gesamten Angriffsfläche erfolgen.
  • Beim Beurteilen der Sicherheitslage sind die richtigen Fragen zu stellen. Liegt ein flaches Netzwerk vor? Greifen die IT- und OT-Netzwerke auf dieselben Ressourcen zu (z. B. Domain Controller)? Arbeiten die IT-Sicherheitslösungen unterschiedlicher Anbieter nativ zusammen (wie die Integration des Secure Web Gateway mit der Sicherheit von Endgeräten und der SIEM-Lösung), um die Kill Chain zu durchbrechen? 
  • Eine Erweiterung von Zero Trust auf die OT-Umgebungen ist in Betracht zu ziehen. Angreifer können keine Systeme attackieren, die im offenen Internet nicht sichtbar sind. 

OT-Netzwerke mit Air Gap erfüllen nicht die geschäftlichen Anforderungen:

  • Browser Isolation ermöglicht ICS-Workstations den Zugriff auf das Internet. ICS-Mitarbeiter mit zwei Laptops können für eine Komplexität sorgen, die Sicherheitsprobleme zur Folge hat. 
  • VPNs sind durch einen Zero Trust Network Access (ZTNA) zu ersetzen, der mit einem softwaredefinierten Perimeter-Ansatz den Fernzugriff auf die OT-Systeme ermöglicht.

Segmentierung: 

  • Kontrolle, Verwaltung und IoT-Sensornetzwerke müssen in OT-Umgebungen segmentiert werden.
  • Dabei sollte es sich nicht um eine volle Mikro-Segmentierung handeln, da die Ausfallzeiten des OT-Netzwerks für eine Implementierung zu kurz sind. Der Schutz des Schnittpunkts von OT und IT bringt am meisten Vorteile.

Die Cloud zum eigenen Vorteil nutzen:

  • Die Erfahrung von Norsk Hydro zeigt, dass so viele Funktionen wie möglich in die Cloud zu verlagern sind. Dadurch ist eine schnellere Wiederherstellung und ein besserer Schutz kritischer Systeme möglich.  
  • Eine auf Secure Access Service Edge (SASE) basierende Sicherheitsimplementierung ist eine einfache Möglichkeit, um die Angriffsfläche und Komplexität des ICS-Netzwerks zu reduzieren. 

Bei dem Angriff auf SolarWinds führte das schwache interne Passwort eines Praktikanten für privilegierte Software zu einer massiven Sicherheitsbedrohung für Tausende von Unternehmen und Regierungsorganisationen und gefährdete die nationale Sicherheit. Die gemeinsamen Passwörter, die in der Wasseraufbereitungsanlage in Oldsmar verwendet wurden, stellten für eine ganze Stadt eine lebensgefährliche Bedrohung dar. 

Die kürzlich erlassene Verordnung zeigt das Engagement für die Verbesserung der Sicherheitslage der kritischen Infrastrukturen der Vereinigten Staaten. Da private Unternehmen einen Großteil davon verwalten, kann man nur hoffen, dass die Verordnung auch für sie gilt.

Die Maßnahmen von Unternehmen, die mit kritischen Infrastrukturen arbeiten, betreffen Millionen von Menschen. Unternehmen, die für kritische Infrastrukturen verantwortlich sind, müssen die besten Sicherheitspraktiken anwenden, um die Sicherheit und das Wohlergehen der Öffentlichkeit zu gewährleisten. 

form submtited
Danke fürs Lesen

War dieser Beitrag nützlich?

vote yes
Ja, sehr hilfreich!
vote no
Nicht wirklich

Weitere Zscaler-Blogs erkunden

Ransomware
Technical Analysis of CryptNet Ransomware
Blog lesen
Trigona ransomware
Technical Analysis of Trigona Ransomware
Blog lesen
Nevada ransomware
Nevada Ransomware: Yet Another Nokoyawa Variant
Blog lesen
Ransomware hacker
Nokoyawa Ransomware: Rust or Bust
Blog lesen
01 / 02
dots pattern

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.