Ransomware

Verantwortungsvolle Unternehmen müssen nach einem Ransomware-Angriff entschlossen Maßnahmen ergreifen

Ölraffinerie
Dieser Artikel erschien auch auf LinkedIn.

Die jüngste Flut von Ransomware-Angriffen und die Veröffentlichung der neuen, in den USA erteilten Cyber-Sicherheitsverordnung lassen erahnen, dass Unternehmen, die kritische Infrastrukturen und personenbezogene Daten verwalten, verstärkt unter die Lupe genommen werden.

Es kommt immer häufiger zu Ransomware-Angriffen: Neben dem Angriff auf Colonial Pipeline wurden in der vergangenen Woche die irischen Gesundheitssysteme lahmgelegt und es erfolgte ein Angriff auf AXA Partners, nachdem das Unternehmen angekündigt hatte, dass seine Versicherungspolicen keine Ransomware-Forderungen mehr abdecken würden. 

Angriffe wie der auf Colonial Pipeline haben tiefgreifende reale Auswirkungen: Millionen von Menschen ohne öffentliche Versorgung, Umsatzeinbußen in Millionenhöhe, Rufschädigung, allgemeines Chaos in der Gesellschaft sowie Angreifer, die Geld erpresst haben und weiterhin unbeschadet ihr Unwesen treiben. Ransomware-Angriffe sind bereits seit über sieben Jahren die Norm. Viele private und öffentliche Organisationen alle Größenordnungen sind Opfer solcher Angriffe geworden. 

Und doch unterschätzen Unternehmen nach wie vor das Risiko von Cyberangriffen, insbesondere von Ransomware. Warum hat Ransomware also nicht für alle oberste Priorität? Eine frühere Prüfung bei Colonial Pipeline zeigte schwerwiegende Sicherheitsmängel auf und ein Forscher kommentierte: „Ein Achtklässler hätte sich in das System einhacken können.“ 

Die jüngste Verordnung über die Verbesserung der nationalen Cyber-Sicherheit in den USA und strengere Datenschutzgesetze, wie die DSGVO und der California Privacy Rights Act (CPRA), werden bei Datendiebstahl zu interessanten Konsequenzen führen. 

Die Reaktion von Norsk Hydro auf einen Ransomware-Angriff im Jahr 2019 war ein Musterbeispiel für Veränderung. Das Unternehmen zeigte den starken Wunsch, zu lernen, sich zu verbessern und (vor allem) die dem Unternehmen anvertrauten Daten zu schützen. Es nutzte den Angriff, um die Netzwerksicherheit von Grund auf neu aufzubauen. Dabei wurden Zero-Trust-Architekturen eingesetzt, die User direkt mit Anwendungen verbinden und durch die Überwachung der Workflows über verschiedene Cloud-Deployments hinweg eine laterale Ausbreitung auf die Systeme einschränken. 

Wird Colonial Pipeline diesem Beispiel folgen?
 

Welche Lehren lassen sich aus dem Angriff auf Colonial Pipeline ziehen?

  • Es handelt sich um keinen gezielten Angriff auf die Industrial Control Systems (ICS) oder die OT-Systeme (Operational Technology). Im Gegensatz zu dem Angriff auf Saudi Aramco im Jahr 2017 gibt es bei diesem Angriff keine Hinweise darauf, dass die Pipelines beschädigt oder Mitarbeiter des Werksbetriebs verletzt wurden. Es handelt sich höchstwahrscheinlich um einen Angriff, bei dem die IT-Systeme zur Verwaltung von Betriebsinventar und Logistik blockiert wurden. 
  • Eine Lösegeldzahlung wird den Betrieb nicht rechtzeitig wiederherstellen. Doch eine gut geplante und getestete Backup- und Wiederherstellungsstrategie kann die Rettung sein. Die Zahlung eines Lösegelds ermutigt nur zu weiteren Angriffen. Ein 81-seitiger Dringlichkeitsplan, der dem Weißen Haus im April 2021 von einer öffentlich-privaten Arbeitsgruppe vorgelegt wurde, weißt darauf hin, dass die Bezahlung von Ransomware-Kriminellen nur zu mehr globaler Kriminalität, einschließlich Terrorismus, führt. 
  • Versicherungsgesellschaften beginnen damit, nicht mehr für Lösegeldzahlungen aufzukommen.In einem für die Branche offensichtlich erstmaligen Fall gab das globale Versicherungsunternehmen AXA am Donnerstag bekannt, dass es in Frankreich keine Cyber-Versicherungspolicen mehr herausgeben werde, die Kunden für an Ransomware-Kriminelle gezahltes Lösegeld entschädigten – das Unternehmen wurde daraufhin umgehend Opfer eines Ransomware-Angriffs.
  • Die US-Regierung schenkt den Entwicklungen endlich Aufmerksamkeit. Die neue Durchführungsverordnung der US-Regierung unter Präsident Joe Biden verlangt von den Unternehmen, dass sie über den auf der Einhaltung von Vorschriften basierenden Ansatz hinausgehen. „Innerhalb von 60 Tagen nach Erlassen dieser Verordnung sind die Leiter aller Bundesbehörden verpflichtet, ... einen Plan zur Umsetzung einer Zero-Trust-Architektur zu entwickeln.“
  • Vorbeugung ist viel günstiger, als die Konsequenzen eines Angriffs abzumildern. Es ist unschwer zu erkennen, dass der Umsatzverlust durch ungeplante Ausfallzeiten jede Investition in den Schutz vor solchen Angriffen weit übersteigt.

Warum war die Reaktion von Norsk Hydro auf einen Ransomware-Angriff der Goldstandard?

Ransomware-Angriffe lassen sich abmildern und verhindern. Unternehmen wie Norsk Hydro haben sich in der Vergangenheit mit solchen Angriffen auseinandergesetzt und ihre Erfahrungen öffentlich gemacht. Wie wurde vorgegangen?

  • Norsk Hydro hat kein Lösegeld gezahlt.
  • Das Unternehmen informierte die Öffentlichkeit über den Angriff und formulierte einen transparenten Reaktionsplan.
  • Das Unternehmen meldete den Angriff den Behörden und arbeitete eng mit der Sicherheitsbranche zusammen, um Angriffe auf andere Unternehmen zu verhindern.
  • Norsk Hydro nutzte die Gelegenheit, seine Sicherheit und Infrastruktur neu aufzubauen, neu zu gestalten und zu stärken. 
  • Das Unternehmen schließt die Wahrscheinlichkeit künftiger Angriffe nicht aus. 

Selbst bei bester Planung bereitet die Realität eines erfolgreichen Angriffs sehr viel mehr Schwierigkeiten. Beispielsweise konnte Norsk Hydro keine Drucker verwenden, um für die Werksmitarbeiter Sicherheitsabläufe auszudrucken. 

„Hätte Hydro die Kommunikation nicht bereits auf einen verwalteten Cloud-Service wie O365 umgestellt, wäre die Situation noch ernster gewesen.“ – Chief Financial Officer (CFO), Eivind Kallevik. 
 

Wie sollte ein Unternehmen beim Planen und Verhindern von Ransomware-Angriffen vorgehen?

Das Geschäftsrisiko für die IT- und OT-Architektur beurteilen und die Angriffsfläche reduzieren:

  • Die Überwachung von ICS-Bedrohungen sollte erst nach einer Analyse der gesamten Angriffsfläche erfolgen.
  • Beim Beurteilen der Sicherheitslage sind die richtigen Fragen zu stellen. Liegt ein flaches Netzwerk vor? Greifen die IT- und OT-Netzwerke auf dieselben Ressourcen zu (z. B. Domain Controller)? Arbeiten die IT-Sicherheitslösungen unterschiedlicher Anbieter nativ zusammen (wie die Integration des Secure Web Gateway mit der Sicherheit von Endgeräten und der SIEM-Lösung), um die Kill Chain zu durchbrechen? 
  • Eine Erweiterung von Zero Trust auf die OT-Umgebungen ist in Betracht zu ziehen. Angreifer können keine Systeme attackieren, die im offenen Internet nicht sichtbar sind. 

OT-Netzwerke mit Air Gap erfüllen nicht die geschäftlichen Anforderungen:

  • Browser Isolation ermöglicht ICS-Workstations den Zugriff auf das Internet. ICS-Mitarbeiter mit zwei Laptops können für eine Komplexität sorgen, die Sicherheitsprobleme zur Folge hat. 
  • VPNs sind durch einen Zero Trust Network Access (ZTNA) zu ersetzen, der mit einem softwaredefinierten Perimeter-Ansatz den Fernzugriff auf die OT-Systeme ermöglicht.

Segmentierung: 

  • Kontrolle, Verwaltung und IoT-Sensornetzwerke müssen in OT-Umgebungen segmentiert werden.
  • Dabei sollte es sich nicht um eine volle Mikro-Segmentierung handeln, da die Ausfallzeiten des OT-Netzwerks für eine Implementierung zu kurz sind. Der Schutz des Schnittpunkts von OT und IT bringt am meisten Vorteile.

Die Cloud zum eigenen Vorteil nutzen:

  • Die Erfahrung von Norsk Hydro zeigt, dass so viele Funktionen wie möglich in die Cloud zu verlagern sind. Dadurch ist eine schnellere Wiederherstellung und ein besserer Schutz kritischer Systeme möglich.  
  • Eine auf Secure Access Service Edge (SASE) basierende Sicherheitsimplementierung ist eine einfache Möglichkeit, um die Angriffsfläche und Komplexität des ICS-Netzwerks zu reduzieren. 

Bei dem Angriff auf SolarWinds führte das schwache interne Passwort eines Praktikanten für privilegierte Software zu einer massiven Sicherheitsbedrohung für Tausende von Unternehmen und Regierungsorganisationen und gefährdete die nationale Sicherheit. Die gemeinsamen Passwörter, die in der Wasseraufbereitungsanlage in Oldsmar verwendet wurden, stellten für eine ganze Stadt eine lebensgefährliche Bedrohung dar. 

Die kürzlich erlassene Verordnung zeigt das Engagement für die Verbesserung der Sicherheitslage der kritischen Infrastrukturen der Vereinigten Staaten. Da private Unternehmen einen Großteil davon verwalten, kann man nur hoffen, dass die Verordnung auch für sie gilt.

Die Maßnahmen von Unternehmen, die mit kritischen Infrastrukturen arbeiten, betreffen Millionen von Menschen. Unternehmen, die für kritische Infrastrukturen verantwortlich sind, müssen die besten Sicherheitspraktiken anwenden, um die Sicherheit und das Wohlergehen der Öffentlichkeit zu gewährleisten. 

Bleiben Sie auf dem Laufenden mit aktuellen Infos und Tipps für die digitale Transformation.

Durch Abschicken des Formulars stimmen Sie unserer Datenschutzerklärung zu.