Noch immer unter Schock stehend, suggerieren die Medien, dass man gegen Ransomware-Angriffe wenig tun kann, wie wir am vergangenen Wochenende bei Kaseya gesehen haben. "Das stimmt nicht ganz", sagt Piet Kerkhofs, CTO bei Eye Security. "Wenn man verdächtiges Verhalten erkennen kann, kann man diese Art von Angriffen auch rechtzeitig stoppen."
Am ersten Juliwochenende befand sich ein Großteil der Welt in Panik. Einer russischen Hackergruppe namens REvil war es gelungen, eine Schwachstelle in der Software von Kaseya - einem Tool zur Fernverwaltung von IT-Systemen - auszunutzen und Tausende von Systemen weltweit mit Ransomware zu infizieren. Diese Schwachstelle wurde vor einiger Zeit zufällig von Freiwilligen des niederländischen Institute for Vulnerability Disclosure entdeckt, einer ehrenamtlichen Organisation, die das Internet auf Schwachstellen in digitalen Systemen durchsucht. Sie arbeiteten bereits mit Kaseya zusammen, um die bis dahin unbekannte Schwachstelle (eine so genannte Zero-Day-Schwachstelle) zu beheben. Leider wurden sie kurz vor der Ziellinie von den Cyberkriminellen von REvil überholt. Betroffen waren die Kunden von Kaseya, bei denen es sich hauptsächlich um IT-Dienstleister handelt, die die Systeme ihrer Kunden aus der Ferne verwalten. So konnte sich die Ransomware wie ein Ölteppich über die ganze Welt verbreiten.
Technologische Maßnahmen
"In den Medien entsteht derzeit das Bild, dass man als Unternehmen gegen diese Art von Angriffen praktisch machtlos ist", sagt Kerkhofs. "Aber das stimmt nicht ganz." Er erklärt, dass technische Sicherheitssysteme die neue Malware nicht immer leicht erkennen können. Die meisten Systeme suchen nach bekanntem Softwarecode, der bereits für Angriffe verwendet wurde. Wenn Cyber-Kriminelle immer wieder neue Malware entwickeln und versenden, können technische Sicherheitssysteme diesen Code erkennen, solange er der im System bekannten Malware ähnelt. Sehr viel schwieriger wird es, wenn Cyberkriminelle neuen Softwarecode geschrieben haben, um ihren Angriff auszuführen. Das liegt daran, dass er in den technischen Systemen noch nicht bekannt ist.
Abweichungen im Verhalten erkennen
"Es ist - eigentlich immer, aber gerade in solchen Fällen - wichtig, abweichendes Verhalten auf Unternehmenssystemen erkennen zu können. Denn Cyber-Kriminelle sind so schlau und ihre Methoden werden immer ausgefeilter, so dass sie ihre Angriffe an die von Ihnen getroffenen technischen Maßnahmen anpassen können. Zum Beispiel passen sie ihre Malware an die Antivirenlösungen an, die unter Windows laufen." Wenn Sie wissen, welches Verhalten in Ihrem Unternehmensnetz normal ist, können Sie auch Abweichungen feststellen. Es ist unmöglich, dies selbst abzubilden, weshalb es Systeme gibt, die dies tun können. "Angenommen, es ist halb sechs und einer Ihrer Mitarbeiter hat sich gerade abgemeldet, aber das System sieht, dass er sich innerhalb von 15 Minuten mit den Daten dieses Mitarbeiters wieder anmeldet, dann aber von Russland aus.
Zusammenspiel der Maßnahmen
100-prozentige Sicherheit gibt es natürlich nicht. Dessen ist sich Kerkhofs bewusst, aber man ist nicht so hilflos, wie man manchmal denkt. "Ja, Cyber-Kriminelle können ihre Angriffe auf bekannte Sicherheitstools zuschneiden, aber dann geht man davon aus, dass in einem Unternehmen nur technologische Sicherheitsmaßnahmen getroffen werden. Ihr Sicherheitsansatz muss aus mehr als nur Technologie bestehen, dann können Sie sich sehr gut gegen diese Art von Angriffen währen." Auf dem Markt wurde bereits vorgeschlagen, dass sich auch die Art und Weise der Verteilung von Updates ändern muss oder dass jedes Unternehmen ein Update im Voraus streng prüft. "Ich kann mir vorstellen, dass ein Geheimdienst hier ein Team aufstellt, das ein Update zurückentwickelt oder in einer Sandbox laufen lässt, aber für den Rest aller Organisationen ist das nicht möglich."
Schäden stark begrenzen
Kerkhofs zieht einen Vergleich mit dem Schutz von Kleinkindern. "Als Eltern möchte man nicht, dass seinem Kind etwas zustößt. Also kleben wir Tischplatten ab, legen Gummiplatten unter die Rutsche und lassen sie lieber nicht zu hoch klettern. Aber die Realität ist, dass kein Kind ohne Beulen, Kratzer oder Blut aufwächst. Der Trick ist, den Schaden zu begrenzen. Und das gilt auch für diese Art von Angriffen. Es ist nicht mehr die Frage, ob man von Cyberkriminalität betroffen ist, sondern wann. Aber mit der richtigen Einstellung, der richtigen Konfiguration, den besten Maßnahmen und einem soliden Team können Sie den Schaden erheblich begrenzen. Stellen Sie also sicher, dass Sie über eine Sicherheitslösung verfügen, die technische Maßnahmen mit Erkennungsmethoden kombiniert, die auf abweichende Verhaltensmuster in Ihrem Netzwerk abzielen."
Was macht Eye?
Unsere Kunden sind Tag und Nacht mit guter Technik vor Cyberangriffen geschützt. Diese Software nutzt Crowdstrike Falcon. Dieses identifiziert und erkennt Verhaltensweisen, die mit Ransomware in Verbindung gebracht werden. Die Plattform verhindert dann, dass verdächtige Aktionen durchgeführt werden. Auf diese Weise wird Ransomware in einem frühen Stadium gestoppt. Erfahren Sie, wie Crowdstrike die bei dem Kaseya-Angriff verwendete Ransomware rechtzeitig blockiert hat.