
Security Check nach BSI Anforderungen
Wie der BSI-Grundschutz konkret umgesetzt werden kann erläutern wir in diesem Artikel.
Ransomware ist eine Schadsoftware mit dem Ziel, das Opfer zu erpressen (ransom = Erpressung, Lösegeld). Der Angreifer verschlüsselt dabei beispielsweise wichtige Dateien oder verhindert den Zugriff auf Systeme. Diese sind nur nach der Zahlung eines teilweise recht hohen Betrages wieder im Zugriff.
Das BSI schätzt die Bedrohungslage bezüglich Ransomware im Lagebericht aus dem Jahr 2022 als sehr hoch ein. Es gibt eine Vielzahl von Ransomware-Gruppen, diese sind teilweise sehr professionell organisiert. Im Jahr 2022 wurden interne Informationen der Gruppe „Conti“ veröffentlicht, die nahelegen das diese Gruppe wie ein Start-Up mit verschiedenen Rollen wie beispielsweise Hauptverantwortlichen, Technikern oder Personalverantwortlichen aufgebaut ist. Die „Mitarbeiter“ wurden dabei auf verschiedene Art bezahlt: Personalverantwortliche bekamen ein Fix-„Gehalt“, während Techniker abhängig vom Erfolg einer Kampagne bezahlt wurden. Einige Ransomware-Gruppen bieten ihre Möglichkeiten auch als „Dienstleistung“ an, man spricht hier von einem „Cybercrime-as-a-Service“-Modell.
Es gibt verschiedene Ausprägungen von Ransomware. So kopieren sich Angreifer teilweise Dateien, bevor sie sie verschlüsseln. Damit können sie die Wichtigkeit der Daten oder die Finanzkraft eines Unternehmens analysieren und das Lösegeld davon abhängig machen. Zudem erfolgt in diesem Fall häufig eine zweite Erpressung, indem nach der Zahlung seitens des Opfers und der Entschlüsselung der Daten damit gedroht wird, die vorher gesammelten Daten zu veröffentlichen („Double Extortion“). Möglicherweise werden zudem Dritte identifiziert, die ebenfalls von den Daten oder dem Zugriff darauf abhängig sind. Hier kann in der Folge eine zusätzliche Erpressung stattfinden („Multiple Extortion“).
Es gibt eine Vielzahl von Angriffsvektoren und Einstiegspunkten für Ransomware-Gruppen. Die wohl verbreitetsten sind das Versenden von bösartigen Mails (Phishing) sowie die massenhafte Suche nach Schwachstellen auf öffentlich erreichbaren Systemen. Beim Phishing wird eine E-Mail versendet, die den Empfänger dazu verleiten soll, eine Aktion durchzuführen welche einen Schaden verursacht. Dies kann unter anderem das Öffnen eines bösartigen Anhangs oder das Folgen eines Links sein. Folgt der Empfänger dem Link, wird er auf eine Website geleitet, auf der die Anmeldeinformationen eingegeben werden sollen. Die Website imitiert dabei vertrauenswürdige Webseiten wie die Microsoft 365-Login-Seite. Hat ein Angreifer auf diese Art Kenntnis über Anmeldeinformationen erlangt, kann er diese möglicherweise nutzen, um sich selbst auf öffentlich erreichbaren Systemen anzumelden und diesen Zugriff als Einstiegspunkt nutzen.
Nach der Veröffentlichung von kritischen Schwachstellen ist bei öffentlich erreichbaren Systemen häufig eine willkürliche Suche nach diesen zu erkennen. Wird ein System gefunden, bei dem die Schwachstelle nicht geschlossen wurde, kann der Angreifer verschiedene Aktionen wie beispielsweise das Hinterlassen einer Backdoor als Einstiegspunkt oder das direkte Platzieren einer Ransomware durchführen. Die möglichen Aktionen sind dabei abhängig von der Schwachstelle.
Es ist eine Vielzahl von Unternehmen und öffentlichen Einrichtungen betroffen. Aktuelle Beispiele aus dem Jahr 2023 sind:
Dies sind nur einige prominente aktuelle Fälle. Es gibt viele weitere veröffentlichte Fälle und auch weiterhin einige Fälle, die aus verschiedenen Gründen nicht publik werden.
Die Auswirkungen für Unternehmen können im Allgemeinen sehr vielfältig und teilweise existenzbedrohend sein. So musste der Fahrrad-Hersteller Prophete in Folge eines Ransomware-Angriffs Insolvenz anmelden. Grund für die enormen Auswirkungen auf das Business ist, dass durch einen erfolgreichen Angriff möglicherweise die gesamte IT gestört ist. So kann es beispielsweise einen Stillstand der Produktion geben und ERP-Systeme sind ebenfalls nicht betreibbar.
In einigen Fällen lassen sich Kernsysteme durch ein Backup schnell wiederherstellen. Wenn sich ein Angreifer jedoch lange genug in der Umgebung befunden hat, sind diese Backups möglicherweise ebenfalls kompromittiert oder verschlüsselt. Es reicht auch bereits aus, wenn ein System weiterhin kompromittiert ist, da ein Angriff von diesem System erneut durchgeführt werden kann. Daher muss die IT-Umgebung in den meisten Fällen komplett neu aufgebaut werden, um sicherzustellen das kein Angreifer Zugang zur Umgebung hat.
Solche Auswirkungen auf ein Unternehmen können eine deutliche Beeinflussung des Kerngeschäfts bedeuten, beispielsweise durch eine Unterbrechung der Produktion. Während kurzfristige Unterbrechungen häufig kompensiert werden können, sind längere Unterbrechungen je nach tatsächlicher Dauer teilweise existenzbedrohend.
Ebenso kann der Abfluss der Daten zu vielfältigen Problemen führen. Hier einige Beispiele:
Nicht zu vernachlässigen ist ein auch möglicher Reputationsverlust. So könnte ein Vertrauensverlust sowohl auf Seite der Kunden (z.B. durch nicht erfolgte oder unzuverlässige Lieferungen) als auch auf Seite der Lieferanten (z.B. durch Offenlegung von Konditionen oder personenbezogener Daten des Lieferanten) stattfinden. Eine solcher Vertrauensverlust wird mit großer Wahrscheinlichkeit ebenfalls zu langfristigen Auswirkungen auf das Unternehmen führen und ist nur mit großen Aufwänden abfangbar, beispielsweise durch gezielte Marketing- oder Rabattaktionen oder finanzielle Zugeständnisse für Lieferanten.
Ein Ransomware-Angriff kann auch durch die besten Maßnahmen nicht ausgeschlossen werden. Dennoch gibt es verschiedene Möglichkeiten, das Risiko eines solchen Angriffs zu minimieren und zusätzlich Vorbereitungen zu treffen, um die Auswirkungen eines Angriffs zu mindern.
Die Hauptaufgabe hierzu hat die IT. Es sollte ein mehrstufiger Plan zum Schutz vor Ransomware ausgearbeitet werden, der auch die verschiedenen bereits getroffenen Maßnahmen berücksichtigt. Hierzu kann es notwendig sein, zuerst alle Systeme und Daten zu identifizieren die für das Unternehmen und deren Kernaufgaben kritisch sind. Es hat sich dabei bewährt, jeden Unternehmenswert auf Basis der bekannten Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit nach einem einfachen Punktesystem zu bewerten. Je höher die Punkte eines Wertes sind, desto wichtiger ist dieser für das Unternehmen. Dabei kommt es häufig vor, dass nur ein Schutzziel z.B. eines Systems als kritisch bewertet wurde – ein solches System gilt in diesem Fall dennoch als kritisch.
Im nächsten Schritt können verschiedene technische und organisatorische Maßnahmen zum Schutz getroffen werden. Hierbei wird ein Basisschutz („Baseline“) definiert, der immer gilt. Beispiele hierfür sind:
Für kritische Systeme kann ergänzend ein erweiterter Schutz definiert werden. Mögliche Maßnahmen hierfür sind beispielsweise:
Diese Aufzählung ist nur ein kleiner Teil möglicher Maßnahmen. Denkbar ist möglicherweise auch eine Angriffssimulation zum Testen der existierenden Maßnahmen. Das Unternehmen sollte jedoch verschiedene mögliche Maßnahmen im Detail prüfen ausarbeiten und diese in einem Security-Konzept mit Roadmap darstellen. Dabei sollte berücksichtigt werden, ob die Kosten jeder Einzelmaßnahme sowie des Gesamtpakets sinnvoll sind oder einen möglicherweise entstehenden Schaden übertreffen. Ebenso sollte geprüft werden, ob ausreichend Personal und entsprechendes Fachwissen vorhanden ist.
Da wie eingangs erwähnt das Phishing eines der größten Risiken im Allgemeinen und vor allem bei Ransomware ist, müssen zudem alle Mitarbeiter einbezogen werden. Hier gilt es, das Bewusstsein für Sicherheitsrisiken zu erhöhen. Am besten kann dies gelingen, indem ein Security Awareness Programm etabliert wird, in dem ausgewählte Personen aus den verschiedenen Fachbereichen mitwirken. Neben IT-Security-Spezialisten sollten zudem ein Mitglied der Geschäftsführung als Executive Sponsor, das Marketing sowie Personen aus der Personalabteilung teilnehmen. Das Ziel dieses Teams ist die kontinuierliche Weiterentwicklung von Awareness-Maßnahmen wie Schulungen beispielsweise im Umgang mit E-Mails, der Umsetzung von Flyer- oder Plakat-Aktionen und Szenario-Trainings. Durch die Involvierung der Fachbereiche kann zudem der individuelle Bedarf dieser definiert und geschult werden.
Um die Auswirkungen eines Angriffs zu mindern, sollten zudem Notfall- und Wiederanlaufpläne erstellt werden. Hier sollten ebenfalls die verschiedenen Fachbereiche involviert und diese Pläne gemeinsam entwickelt werden. So sollte mit dem Marketing und der Presseabteilung eine externe Kommunikation vorbereitet werden, um schnell reagieren zu können. Kommunikationspläne beinhalten zusätzlich die interne Notfallkommunikation bei einem Angriff (wer ist wann durch wen wie zu kontaktieren?) sowie auch die Kommunikation zu den Mitarbeitern. Die Wiederherstellung der Umgebung ist zudem an Prioritäten und Abhängigkeiten gebunden, hier kann allgemein die Liste der kritischen Werte und spezifisch das Feedback der einzelnen Fachbereiche helfen.
Die Notfall- und Wiederanlaufpläne sollten regelmäßig überprüft und auch getestet werden. Denkbar sind hier verschiedene Strategien, angefangen bei einen „Read-Through Test“ (d.h. die rein theoretische schrittweise Durchsprache der Pläne) bis hin zu einem „Full-Interruption Test“.