20.10.2017 Was Opfer tun sollten

Ransomware: Besser nicht erpressen lassen

Von: Ina Schlücker

Im Interview erklärt Klaus Lenssen, Chief Security Officer bei Cisco Germany, was Mittelständler als Opfer einer Ransomware-Attacke tun sollten.

„Mittelständler sollten Ransomware-Vorfälle den Behörden melden“, erklärt Klaus Lenssen von Cisco Germany.

„Mittelständler sollten Ransomware-Vorfälle den Behörden melden“, erklärt Klaus Lenssen von Cisco Germany.

ITM: Herr Lenssen, aus welchen Gründen konnten die jüngsten Ransomware-Attacken Petya und Wanna Cry so erfolgreich verlaufen?
Klaus Lenssen:
Entscheidend waren noch nicht geschlossene Sicherheitslücken, für die bereits seit längerem Patches seitens der Hersteller bereitstanden. Sie wurden aber nicht genutzt. Die Sicherheitsarchitekturen der Unternehmen sind über die Jahre sehr komplex geworden; über die Zeit wurden immer mehr Sicherheits-Tools mit unterschiedlichen Aufgaben eingeführt. Dies hat zur Folge, dass der Pflegeaufwand durch die Vielzahl an Tools steigt und deren Wechselwirkungen untereinander größere Angriffsflächen bietet. Somit steigt leider auch das Risiko eines erfolgreichen Angriffs. Diesen fragmentierten Sicherheitswerkzeugkasten gilt es zu entrümpeln und durch Konsolidierung wieder funktionsfähig zu machen.

ITM: Welche Sicherheitslücken – über die Schwachstellen in Windows-Betriebssystemen hinaus – nutzen die Angreifer weiterhin für Ransomware-Attacken aus?
Lenssen:
Der zunehmende Vernetzungsgrad von Geräten durch das Internet of Things (IoT) ist ein aktuelles Thema. Sicherheitsforscher unseres Partners TrapX Security warnen beispielsweise vor Ransomware-Angriffen auf medizinische Geräte und geben diesem Angriffsvektor die passende Bezeichnung Medjack. Wie viele IoT-Geräte sind die meisten medizinischen Geräte nicht mit einem Fokus auf IT-Sicherheit entwickelt worden. In Krankenhäusern z.B. verantworten fünf bis sechs Personen in der IT 12.000 bis 15.000 medizinische Geräte, von denen etwa zehn Prozent auf IP-Basis miteinander vernetzt sind. Werden dort Schwachstellen – etwa durch fehlende Zugriffsrechte oder das Abschalten eines Gerätes – nicht gepatcht, öffnet man den Angreifern ein Einfallstor.

ITM: Mittlerweile hört man immer wieder von „Ransomware as a Service“. Was genau steckt dahinter?
Lenssen:
Gemeint ist das Phänomen, dass sich auch Kriminelle arbeitsteilig organisieren und Ransomware als Dienstleistung anbieten. Spezialisten programmieren dabei die Schadsoftware, andere erstellen daraus einfach nutzbare Pakete und wieder andere bieten diese gegen Gebühr oder Gewinnbeteiligung an. So können auch Kriminelle mit wenig IT-Kenntnissen Erpressungssoftware verschicken.

ITM: Welche Maßnahmen sollten die Verantwortlichen in den Unternehmen in die Wege leiten, um künftig vor Ransomware-Attacken gefeit zu sein?
Lenssen:
Man sollte sicherstellen, dass nur Hard- und Software im Einsatz sind, die auch vom Hersteller unterstützt und gewartet werden. Ist diese Voraussetzung nicht gegeben, entstehen Sicherheitsrisiken, die nur noch schwer zu managen sind. Zentral ist das Patch-Management, das zeitnahes Einspielen von Sicherheits-Updates garantiert. Beide Punkte sind die Basis für den sicheren Betrieb einer umfassenden Sicherheitsarchitektur. Diese sollte verschiedene Netzwerksicherheitslösungen beinhalten, wie Next Generation Firewall und Intrusion Protection. Alles in Kombination mit cloud-basierter Advanced Malware Protection auf dem Endgerät und im Netzwerk.

ITM: Anders gefragt: Wie sieht eine IT-Landschaft aus, die einem Ransomware-Angriff standhalten und kritische Applikationen und Daten wiederherstellen kann?
Lenssen:
Unternehmen sollten dazu folgende Punkte berücksichtigen: ausreichend personelle Ressourcen für anspruchsvolle Aufgaben bereitstellen, effektives und zeitnahes Patch-Management, ausschließlicher Einsatz von Produkten, die unter Wartung sind, rechtzeitige Ablösung von Produkten, die das Ende ihres Lebenszyklus erreicht haben und Konsolidierung gewachsener Infrastrukturen. Außerdem sind Tool-Landschaften so einzusetzen, damit Prozesse automatisiert und besser überwacht werden können.

Bildquelle: Cisco

 

 

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH