{"id":16707,"date":"2020-07-31T11:48:00","date_gmt":"2020-07-31T09:48:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=16707"},"modified":"2020-07-14T11:52:13","modified_gmt":"2020-07-14T09:52:13","slug":"von-schnell-und-laut-zu-langsam-und-praezise-warum-ransomware-auch-2020-ein-problem-bleibt","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=16707","title":{"rendered":"Von schnell und laut zu langsam und pr\u00e4zise: Warum Ransomware auch 2020 ein Problem bleibt"},"content":{"rendered":"\n

Autor\/Redakteur: Klaus Nemelka, Technical Evangelist bei Varonis Systems<\/a>\/gg<\/p>\n\n\n\n

Seit Jahren h\u00f6ren wir, dass Cyberattacken immer gef\u00e4hrlicher und ausgefeilter werden (was zweifellos stimmt). Eine Ausnahme bildete \u00fcber eine sehr lange Zeit eine sehr einfach gestrickte und \u00fcberaus laute Angriffstechnik: Ransomware. Doch auch hier haben sich die Zeiten ge\u00e4ndert und so m\u00fcssen wir davon ausgehen, dass 2020 auch diese Angriffe wesentlich gezielter und raffinierter ausgef\u00fchrt werden.<\/p>\n\n\n\n

\"\"
Grafik: Varonis Systems<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Ransomware ist f\u00fcr Cyberkriminelle vor allem deshalb attraktiv, weil sie nicht viel Arbeit erfordert: Der Angreifer muss nur in das System eindringen (was \u00fcblicherweise \u00fcber Phishing geschieht), Daten, die oft nicht besonders \u00fcberwacht werden und vielfach offen zug\u00e4nglich sind, verschl\u00fcsseln, und auf die Zahlung des L\u00f6segeldes warten. Zun\u00e4chst hatten Cyberkriminelle kommerzielle Unternehmen im Visier, die mittlerweile jedoch in die Verbesserung ihrer Sicherheit investiert haben und kein ganz so leichtes Ziel mehr sind. Ganz im Gegensatz zur \u00d6ffentlichen Hand, die meist (in Hinblick auf die IT) unterbesetzt und unterfinanziert ist. Die zahlreichen Opfer der j\u00fcngsten Zeit gerade aus dem Krankenhaus-Bereich und bei st\u00e4dtischen Verwaltungen sind kein Zufall.<\/p>\n\n\n\n

Diese Verlagerung der Zielbranchen ist ein (erstes) Anzeichen f\u00fcr die Abkehr des Schrotflinten-Prinzips, bei dem einfach mal geschossen und hinterher geschaut wird, was man getroffen hat. Aber nicht nur die Auswahl der Opfer, auch die Vorgehensweise entwickelt sich. Statt eines Blitzangriffs, bei dem m\u00f6glichst schnell m\u00f6glichst viel Schaden angerichtet werden soll, halten sich auch Ransomware-Angreifer mittlerweile l\u00e4nger im Netzwerk auf und suchen die wertvollsten Daten, um diese gezielt zu verschl\u00fcsseln. Die Sicherheitsforscher der Varonis-Labs sehen immer mehr F\u00e4lle, in denen Angreifer in ein Netzwerk eindringen und sich auf der Suche nach einer Entdeckung langsam und unauff\u00e4llig (low and slow<\/em>) bewegen. Fortgeschrittene Angreifer setzen also auf einen chirurgischen Ansatz. Sie nehmen sich Zeit, um die EDR-Verteidigung zu umgehen, sich in einem Netzwerk zu bewegen, die sensibelsten Daten zu entdecken, herauszufinden, wie viel ein Unternehmen zahlen k\u00f6nnte, und legen erst dann das Netzwerk lahm. Es liegt auf der Hand, dass diese Angriffe ein wesentlich h\u00f6heres Schadenspotenzial haben als g\u00e4ngige Ransomware-Attacken.<\/p>\n\n\n\n\n\n\n\n

Stellen wir uns einen Angreifer vor, der wichtige Finanzdaten einer Bank kurz vor der Bekanntgabe der Quartalszahlen verschl\u00fcsselt. Dies erh\u00f6ht den (zeitlichen) Druck auf das Opfer und d\u00fcrfte die Zahlungsbereitschaft deutlich verst\u00e4rken. Oder denken wir an Cyberkriminelle, die vor der Verschl\u00fcsselung Daten exfiltrieren, um ein weiteres Druckmittel zu besitzen. Angesichts von Backups mag man die Auswirkungen einer Ransomware-Attacke (wenn auch mit Aufwand) revidieren k\u00f6nnen, gegen die Verbreitung sensibler Daten (und dies kann von privaten bis sehr privaten Bildern \u00fcber Finanzpl\u00e4ne bis hin zu geistigem Eigentum gehen) ist man relativ machtlos. Das Bedrohungspotenzial ist also um einiges h\u00f6her und damit auch die Bereitschaft, das Erpressergeld zu bezahlen. Es sind diese Arten von Angriffen, die uns m\u00f6glicherweise bald verst\u00e4rkt bevorstehen.<\/p>\n\n\n\n

Die Sensibilisierung der Mitarbeiter f\u00fcr die Gefahren ist sicherlich ein wesentlicher Bestandteil einer Sicherheitsstrategie, hat jedoch auch ihre Grenzen. So hat eine Untersuchung der Friedrich-Alexander-Universit\u00e4t (FAU) Erlangen<\/a> gezeigt, dass mit sorgf\u00e4ltiger Planung und Ausf\u00fchrung im Grunde jeder dazu gebracht werden kann, den Link in einer Phishing-Nachricht anzuklicken, und sei es nur aus Neugier. Entsprechend sollten Unternehmen auf diesen Fall vorbereitet sein. Hier spielen Zugriffsrechte eine Schl\u00fcsselrolle: Der Datenrisiko-Report 2019<\/a> hat ergeben, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens f\u00fcr jeden Mitarbeiter zug\u00e4nglich sind. Dies ist insofern relevant, da im Falle eines L\u00f6segeldangriffs ein Hacker jede Datei verschl\u00fcsseln kann, auf die der angegriffene Benutzer Zugriff hat. Deswegen sollte ein Least-Privilege-Modell durchgesetzt werden, bei dem die Mitarbeiter nur Zugriff auf die Dateien erhalten, die sie f\u00fcr ihre Arbeit auch tats\u00e4chlich ben\u00f6tigen. Dies reduziert das Risiko und das m\u00f6gliche Ausma\u00df einer Ransomware-Infektion deutlich. Gleichzeitig sollte man Daten im Blick halten und in der Lage sein, abnormales Verhalten (wie es das reihenweise Verschl\u00fcsseln zweifellos ist) zu erkennen und zu stoppen. Denn je schneller Ransomware gestoppt wird, desto geringer der Schaden und desto einfacher die Wiederherstellung.<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit Jahren h\u00f6ren wir, dass Cyberattacken immer gef\u00e4hrlicher und ausgefeilter werden (was zweifellos stimmt). Eine Ausnahme bildete \u00fcber eine sehr lange Zeit eine sehr einfach gestrickte und \u00fcberaus laute Angriffstechnik: Ransomware. Doch auch hier haben sich die Zeiten ge\u00e4ndert und so m\u00fcssen wir davon ausgehen, dass 2020 auch diese Angriffe wesentlich gezielter und raffinierter ausgef\u00fchrt werden.<\/p>\n","protected":false},"author":1,"featured_media":16708,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8],"tags":[6263,4925,5432,3140,36,13861],"class_list":["post-16707","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-backup","tag-cyberangriff","tag-ransomware","tag-report","tag-sicherheit","tag-varonis-systems"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16707","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16707"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16707\/revisions"}],"predecessor-version":[{"id":16710,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16707\/revisions\/16710"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/16708"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}