4 Minuten Lesezeit 21 Dezember 2020
Mann am Schreibtisch vor mehreren Monitoren

Ransomware Alert: der digitale Lockdown im eigenen Unternehmen

Autoren
Benjamin Weissmann

Partner, Wirtschaftsprüfung, Leiter Cyberforensik | Österreich

Mit einer Kombination aus technischem IT-Forensik-Wissen und organisatorischem Fokus auf Integrität unterstützt er seine Kunden dabei, unangenehme Themen im Geschäftsalltag bestmöglich zu meistern.

Gottfried Tonweber

Leiter Cyber Security und Data Privacy, Managementberatung | Österreich

Hat den Bereich Advisory am Standort Linz aufgebaut, ist dort seit 2013 für die Managementberatung verantwortlich und leitet den Bereich Cyber Security und Data Privacy. Restauriert Flipperautomaten.

4 Minuten Lesezeit 21 Dezember 2020

Wir beobachten einen enormen Anstieg von Cyberangriffen - ein Lagebericht über die jüngsten Entwicklungen in Österreich.

Laut der aktuellen EY-Datendiebstahlstudie wurden in den vergangenen drei Jahren mehr als ein Viertel der österreichi­schen Unternehmen Opfer eines Cyberangriffs. Jeder fünfte Angriff wurde dabei lediglich zufällig entdeckt; eine wesentlich höhere Dunkelziffer lässt sich nicht ausschließen. Derzeit steigt in Österreich nicht nur die Quantität der Angriffe in besorgniserregender Weise, sondern auch deren Qualität. Die jüngsten Cyberangriffe läuten auch für Österreich eine neue Ära ein. Als wohl größte Bedrohung für Unternehmen sehen wir derzeit Ransomware-Angriffe, die insbesondere aufgrund ihres massiven Schadpotenziales in den letzten Jahren große mediale Präsenz erlangten. Dabei handelt es sich um Angriffe, die darauf abzielen, die IT-Infrastruktur eines Unternehmens lahmzulegen und die Betroffenen zur Zahlung eines Lösegel­des in teils horrender Höhe zu zwingen. 

Bei einem Ransomware-Angriff gehen die Cyberkriminellen überwiegend nach einem ähnlichen Schema vor, ausgelöst durch einen einzigen unachtsamen Klick eines Mitarbeiters, beispielsweise durch das Öffnen eines Anhangs oder eines Links einer meist unauffälligen E-Mail. Das dadurch aufgeru­fene Schadprogramm umgeht nicht selten jegliche IT-Sicher­heitsmaßnahmen wie Firewalls und Virenschutzprogramme, um den Angreifern Zugang zum gesamten Unternehmensnetz­werk zu ermöglichen. In weiterer Folge spähen die Angreifer das Unternehmensnetzwerk aus, identifizieren und exfiltrie­ren hochsensible Geschäftsdaten und bereiten den eigentlichen Angriff, die Verschlüsselung von Unternehmensdaten und Backups, in den überwiegenden Fällen unbemerkt vor. Nachdem die Dateien erfolgreich verschlüsselt wurden, kon­frontieren die Angreifer die Unternehmen mit der Lösegeldforderung. 

Seit dem Ende des ersten Lockdowns in Österreich lässt sich bei derar­tigen Angriffen noch ein weiterer, durchaus beunruhigender Trend erkennen: Cyberkriminelle zielen nicht mehr nur auf die Verschlüsselung und Stilllegung des IT-Netzwerks eines Unternehmens ab, sondern zusätzlich auch auf den Diebstahl hochsensibler und geschäftskritischer Daten.

Cybersecurity

Nicht selten betreffen die Kollateralschäden auch unzureichend abgesicherte Industrieanlagen und andere vernetzte Geräte des Unternehmens. Die Folgen eines derartigen Angriffs sind oft schwerwiegend und haben noch weit­reichendere Konsequenzen: Aufgrund der flächendeckenden Vernetzung von Betriebsanlagen kommt es im Ernstfall für die angegriffenen Unternehmen zusätzlich zu einem kompletten Stillstand der Produktion. Den betroffenen Unternehmen sind zu diesem Zeitpunkt bereits die Hände gebunden: Der Angriff war erfolgreich und damit ist das „Worst-Case“-Szenario eines jeden Unternehmens eingetreten — kompletter unternehmeri­scher Stillstand. 

Darüber hinaus verschafft der Diebstahl höchst sensibler Unternehmensdaten wie beispielsweise Kundendaten oder Geschäftsgeheimnisse den Cyberkriminellen ein weiteres Druckmittel. Die „traditionelle“ Vorgehensweise betroffener Unternehmen, etwa das Zurückspielen von Backups zur Wiederherstellung der verschlüsselten Daten, ermöglicht die Wiederaufnahme der Produktion. Die entwendeten Daten sind allerdings längst im „Besitz“ der Angreifer und können weiterhin als Druckmittel zur Zahlung der Lösegeldforderung verwendet werden. 

Aber selbst bei Zahlung der geforderten Summe kann sich ein Unternehmen bloß auf das „Versprechen“ stützen, dass die widerrechtlich erlangten Informationen nicht veröffentlicht werden.

Experten gehen davon aus, dass Unternehmen auch bei erfolgter Lösegeldzahlung in Zukunft weiterhin mit ebendiesen abgeflossenen Daten erpresst werden. Eine weitere Erkenntnis aus den jüngsten Cyberangriffen auf unsere Kunden ist die enorme Professionalisierung des initialen Angriffsvektors. Gegenwärtige Phishing-E-Mails zeichnen sich durch eine besonders hohe Glaubwürdigkeit von Inhalt und Absender aus. Den einzelnen Mitarbeitern der Unternehmen wird somit die augenscheinliche Identifikation der Nachrichten als Phishing-E-Mail deutlich erschwert.

Cyberangriff: der Wettlauf gegen die Zeit

Im Fall eines vollumfänglich „erfolgreichen“ und damit abge­schlossenen Ransomware-Angriffs kann das betroffene Unter­nehmen eigentlich nur ein primäres Ziel verfolgen, nämlich das komplette Neuaufsetzen der IT-Umgebung, um die Produk­tion und den Tagesbetrieb schnellstmöglich wiederherzustel­len. Denn eine Abwehr des Angreifers ist zu diesem Zeitpunkt nicht mehr möglich, da dieser bereits all seine Ziele erreicht hat. Nun ist strukturiertes Vorgehen gefragt: Einen entschei­denden Vorteil haben Unternehmen, die ein solcher Angriff nicht unvorbereitet trifft. Eine effiziente Verteidigungsstrate­gie beginnt nämlich lange vor dem tatsächlichen Angriff. Essenziell für eine strukturierte Vorgehensweise ist die unverzügliche Reaktion anhand eines erprobten Krisenplans. Nur durch ein effektives Krisenmanagement und durch Hinzuzie­hung interner und externer Spezialisten kann angemessen reagiert werden.

In jedem Fall müssen betroffene Systeme umgehend herunter¬gefahren und vom Internet getrennt werden und es müssen gegebenenfalls entsprechende Meldungen an Polizei und Datenschutzbehörde erfolgen.

Die Krisenkommunikation ist ab Bekanntwerden des Angriffs besonders gefordert; es bedarf einer Strategie zur Kommunikation mit Mitarbeitern, Kunden, Geschäftspartnern und den Medien. Zusätzlich muss der Krisenstab die koordinative Leitung der Krisensituation über-nehmen.  Neben der Wiederherstellung verschlüsselter bzw. zerstörter Daten geht es vor allem auch um den unverzüglichen Wieder­aufbau einer sicheren, vertrauenswürdigen IT-Infrastruktur. Zumeist müssen sämtliche Endgeräte, Server und Netzwerkgeräte strikt vom infizierten Bereich des Netzwerks getrennt und von Grund auf neu installiert und konfiguriert werden. Äußerste Vorsicht ist bei der Wiederherstellung von Backups geboten. Eine neuerliche Infektion im neu aufgesetzten Sys­tem durch möglicherweise infizierte Backups ist mit aller Kraft zu verhindern. Einerseits müssen die Backups im Rahmen der Wiederherstellung verlässlich auf Infektionen überprüft werden, andererseits empfehlen wir, mithilfe eines zeitlich abgesteckten Threat Hunting die neu aufgesetzten IT-Systeme gezielt nach Schwachstellen, neuerlich aktiver Schadsoftware oder vom Angreifer hinterlassenen „Hintertüren“ zu durch-suchen. Darüber hinaus ist mittels cyberforensischer Analysen schnellstmöglich zu prüfen, ob personenbezogene Daten entwendet wurden und welche. 

Laut DSGVO müssen Unternehmen binnen maximal 72 Stunden nach Bekanntwerden möglichen Datenabflusses Meldung erstatten. Andernfalls drohen ihnen neben dem bereits entstandenen Schaden durch den Cyberangriff und Betriebsausfall auch empfindliche behördliche Strafen und Bußgeldzahlungen. 

Noch während des Neuaufbaus des Systems bedarf es einer vollständigen Analyse der betroffenen Systeme im Rahmen einer fallspezifischen forensischen Analyse. Primäre Ziele sind dabei die Identifikation der abgeflossenen Daten, das initiale Einfallstor („Patient Zero“) und eine mögliche Täterausfor­schung. Denn ein genaues Verständnis des Ablaufs des gegen­ständlichen Angriffs ist die Basis für eine zukünftige Verbesse­rung der gesamten IT-Sicherheit und Cyberresilienz.

Nach dem Angriff ist vor dem Angriff — die Organisation nachhaltig gegen Angriffe immunisieren

Unsere „Gesundheitsüberprüfung“, der EY Cybersecurity Health Check, identifiziert Schwachstellen in kritischen Berei­chen und stellt Ihren Immunisierungsgrad gegenüber Cyberangriffen auf die Probe. Wir kombinieren technische Tests von Schwachstellen mit einer Bewertung Ihrer organisatorischen Maßnahmen und Prozesse zur Erkennung, Reaktion und Ver­hinderung von Cyberattacken. Wir identifizieren mögliche Eintrittspunkte in Ihr Unternehmen und erkennen anfällige Software und Strukturen wie auch Optimierungsbedarf bei Prozessen. Mit dem Schließen dieser Lücken erhöhen wir Ihren Immunitätsgrad sofort.

Neben der bereits erwähnten präventiven Ausarbeitung eines maßgeschneiderten Krisenplans im Zuge der Verbesserung und Erweiterung des Business-Continuity-Management-Systems und der regelmäßigen Durchführung von Krisensimulationen empfehlen wir die regelmäßige Sicherheitsüberprüfung ihrer vorhandenen IT-Infrastruktur durch Experten, um bekannte Schwachstellen zu identifizieren und geeignete Präventions­maßnahmen einzuleiten. Diese Aktivitäten sollten periodisch durchgeführt werden, da sich immer wieder neue Bedrohungs­szenarien und dementsprechend auch zusätzliche Sicherheits­lücken ergeben, die identifiziert und behoben werden müssen.

Bei gegenwärtig zu beobachtenden Cyberangriffen ist der Faktor Mensch ein wesentliches Risiko. Dementsprechend müssen geeignete Schulungen, Awareness-Maßnahmen und Überprüfungen durchgeführt werden, um das Risiko der Kompromittierung durch Phishing-E-Mails bestmöglich zu reduzieren.  Auf keinen Fall vernachlässigt werden darf die kontinuierliche Bewusstseinsbildung der gesamten Belegschaft; insbesondere sollten alle Mitarbeiter als Last Line of Defense auf aktuelle Bedrohungsszenarien in Bezug auf Phishing geschult sein. 

Quick Wins zum Schutz Ihres Unternehmens

  • Administrative Berechtigungen

    Schränken Sie Admin-Rechte auf die notwendigen Personen ein. Überwachen Sie die Zugriffe auf die Betriebssysteme durch das SIEM-System.

  • Durchsetzung von Domänenrichtlinien

    Implementieren Sie eine starke Workstation Security sowie Domain-Gruppenrichtlinien für alle Computer, die mit dem Netzwerk ver­bunden sind. 

  • Antivirenprogramme

    Installieren Sie eine heuristische Endpoint Protection auf Servern und Computern und führen Sie immer wieder Antiviren-Updates durch. Identifizieren Sie ungeschützte Systeme.

  • SIEM-Lösungen

    Richten Sie SIEM-Lösungen (Security Infor­mation and Event Management) ein, um Vorfälle rechtzeitig zu erkennen und automa­tisiert Gegenmaßnahmen einzuleiten. Kleine Unternehmen können diese Dienstleistung auch einfach zukaufen.

  • Netzwerksegmentierung

    Implementieren Sie eine angemessene Netz­werksegmentierung zwischen Endgeräten und Servern, Niederlassungen und Produktions­netzwerken. Sorgen Sie für eine sichere Kom­munikation zwischen den Netzwerken.

  • Backup

    Stellen Sie sicher, dass regelmäßige Datensicherungen vorhanden sind und die Wiederherstellung der Daten getestet wird. Alle wesentlichen Unternehmensdaten sollten von den Sicherungsmechanismen erfasst werden, um bei möglichen Cyberatta­cken die Auswirkungen abzuschwächen und den Wiederherstellungsprozess zu beschleunigen. 

  • Kritische Updates und Patches

    Führen Sie regelmäßig Sicherheits- und Soft­ware-Updates durch. Überwachen Sie den Update-Stand aller IT-Geräte fortlaufend.

  • Prozesse für Notfallmaßnahmen

    Entwickeln Sie Prozesse für eine Netzwerk- und Server-Notabschaltung. Stellen Sie kurze Entscheidungswege sicher, damit Sie bei einem Angriff rechtzeitig Ihre Server abschal­ten bzw. Ihr Netzwerk deaktivieren können.

  • Awareness

    Stellen Sie sicher, dass alle Mitarbeiter ange­messene Informationen zu den Gefahren von Phishing und zu Sicherheits-Updates sowie klare Anleitungen für das Verhalten im Ernst­fall inklusive entsprechender Meldeketten erhalten.

  • Web- und E-Mail-Schutz

    Implementieren Sie Webfiltertechnologien, damit Mitarbeiter keine bösartigen Web-sites öffnen können. Filterregeln zum Blockie­ren von Spam- und Phishing-Mails sind unerlässlich.

Fazit

Eine 100-prozentige Sicherheit gegen Cyberkriminalität bleibt auch in Zukunft ein unerreichbares Ziel. Unternehmen können sich jedoch mithilfe effektiver Schutzvorkehrungen, präventiver Maßnahmen und mit einem starken externen Technologiepartner rüsten, um den Angreifern beim nächsten Cyberangriff auf Augenhöhe entgegentreten zu können.

Über diesen Artikel

Autoren
Benjamin Weissmann

Partner, Wirtschaftsprüfung, Leiter Cyberforensik | Österreich

Mit einer Kombination aus technischem IT-Forensik-Wissen und organisatorischem Fokus auf Integrität unterstützt er seine Kunden dabei, unangenehme Themen im Geschäftsalltag bestmöglich zu meistern.

Gottfried Tonweber

Leiter Cyber Security und Data Privacy, Managementberatung | Österreich

Hat den Bereich Advisory am Standort Linz aufgebaut, ist dort seit 2013 für die Managementberatung verantwortlich und leitet den Bereich Cyber Security und Data Privacy. Restauriert Flipperautomaten.