Von schnell und laut zu langsam und präzise: Warum Ransomware auch 2020 ein Problem bleibt

Stellen wir uns einen Angreifer vor, der wichtige Finanzdaten einer Bank kurz vor der Bekanntgabe der Quartalszahlen verschlüsselt. Dies erhöht den (zeitlichen) Druck auf das Opfer und dürfte die Zahlungsbereitschaft deutlich verstärken. Oder denken wir an Cyberkriminelle, die vor der Verschlüsselung Daten exfiltrieren, um ein weiteres Druckmittel zu besitzen. Angesichts von Backups mag man die Auswirkungen einer Ransomware-Attacke (wenn auch mit Aufwand) revidieren können, gegen die Verbreitung sensibler Daten (und dies kann von privaten bis sehr privaten Bildern über Finanzpläne bis hin zu geistigem Eigentum gehen) ist man relativ machtlos. Das Bedrohungspotenzial ist also um einiges höher und damit auch die Bereitschaft, das Erpressergeld zu bezahlen. Es sind diese Arten von Angriffen, die uns möglicherweise bald verstärkt bevorstehen.

Die Sensibilisierung der Mitarbeiter für die Gefahren ist sicherlich ein wesentlicher Bestandteil einer Sicherheitsstrategie, hat jedoch auch ihre Grenzen. So hat eine Untersuchung der Friedrich-Alexander-Universität (FAU) Erlangen gezeigt, dass mit sorgfältiger Planung und Ausführung im Grunde jeder dazu gebracht werden kann, den Link in einer Phishing-Nachricht anzuklicken, und sei es nur aus Neugier. Entsprechend sollten Unternehmen auf diesen Fall vorbereitet sein. Hier spielen Zugriffsrechte eine Schlüsselrolle: Der Datenrisiko-Report 2019 hat ergeben, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind. Dies ist insofern relevant, da im Falle eines Lösegeldangriffs ein Hacker jede Datei verschlüsseln kann, auf die der angegriffene Benutzer Zugriff hat. Deswegen sollte ein Least-Privilege-Modell durchgesetzt werden, bei dem die Mitarbeiter nur Zugriff auf die Dateien erhalten, die sie für ihre Arbeit auch tatsächlich benötigen. Dies reduziert das Risiko und das mögliche Ausmaß einer Ransomware-Infektion deutlich. Gleichzeitig sollte man Daten im Blick halten und in der Lage sein, abnormales Verhalten (wie es das reihenweise Verschlüsseln zweifellos ist) zu erkennen und zu stoppen. Denn je schneller Ransomware gestoppt wird, desto geringer der Schaden und desto einfacher die Wiederherstellung.