Erst kürzlich warnte das BSI vor einer steigenden Zahl an Cyberangriffen in Deutschland. Dabei ist nicht nur die Menge der Angriffe eine Herausforderung für die Unternehmen, sondern auch die Art der Angriffe. Besonders Ransomware-Banden wollen ihren Gewinn maximieren. Dafür stehlen und verschlüsseln sie die Daten, um ihre Opfer doppelt zu erpressen.
Als Erstes fordern sie Lösegeld für die Entschlüsselung der Daten. Dann verlangen sie „Schweigegeld“, um die gestohlenen Daten nicht im Darknet zu veröffentlichen. Organisationen sollten sich auf diese Art der Angriffe vorbereiten. Wie diese ablaufen und welche sieben Tipps nicht nur eine moderne Datensicherheit ermöglichen, sondern auch den potenziellen Schaden begrenzen können, erläutert Steven Stone, Leiter der Forschungseinheit Rubrik Zero Labs bei Rubrik.
Nach einem Ransomware-Angriff haben laut Zahlen des jüngsten Rubrik Zero Labs Reports mehr als die Hälfte (57 Prozent) der in Deutschland befragten Unternehmen ein Lösegeld für verschlüsselte Daten gezahlt. Nur 24 Prozent davon konnten nach der Zahlung alle Daten mit den Entschlüsselungswerkzeugen der Angreifer wiederherstellen. Noch ärgerlicher: Einmal Lösegeld einzustreichen, reicht den meisten Cyberkriminellen nicht mehr und deswegen setzen sie auf eine zusätzliche Datenexfiltration.
Einmal angegriffen, zweimal erpresst
Double-Extortion-Angriffe stellen eine große Herausforderung für Unternehmen dar – und ihre Verbreitung nimmt zu. Das „Doppelte“ bezieht sich darauf, dass die Angreifer nicht nur eine Zahlung für die Entschlüsselung fordern, sondern auch dafür, dass sie die zuvor gestohlenen Daten nicht veröffentlichen. Das steigert den finanziellen sowie psychologischen Druck erheblich und macht diese Angriffe sehr kostspielig.
Um ihre Daten besser vor doppelten oder auch einfachen Erpressungen zu schützen, können Unternehmen ihre Angriffsfläche mit sieben Tipps reduzieren:
1. Datensicherheit oberste Priorität einräumen
Der Schwerpunkt der Cybersicherheit liegt meist auf der Infrastruktur und weniger auf den Daten. Die Infrastruktur zu priorisieren, ist zwar wichtig, aber nicht ausreichend. Datensicherheit muss als Teil einer ganzheitlichen Cybersicherheitsstrategie Vorrang haben, um modernen Cyberangriffen wirksam begegnen zu können.
2. Sensible Daten identifizieren
Werden alle Daten gleichbehandelt, werden sensible Daten nicht richtig bewertet. Handelt es sich um eine Word-Datei mit unsensiblen Daten oder enthält sie vertrauliche Informationen wie Zahlungsdaten von Kunden? Wurde ein sensibler Datensatz aus einer Datei zusätzlich per E-Mail versendet? Eine Priorisierung der Daten ermöglicht eine effektivere Abwehrhaltung.
3. Zugriffsrechte identifizieren
Haben oder hatten nur die legitimierten Personen und Teams Zugriff? Ist eine Multi-Faktor-Authentifizierung vorhanden? Hier empfiehlt sich der Zero-Trust-Gedanke. Dabei wird davon ausgegangen, dass alle Benutzer, Geräte und Anwendungen kompromittiert sein könnten, weshalb sie ihre Legitimität ständig neu nachweisen müssen.
4. Veraltete Daten entfernen
Bei monate- oder jahrelang nicht verwendeten Daten sollte deren Relevanz geklärt werden. Alte Dokumente können zwar wichtig sein, aber auch sensible Daten enthalten. Nicht benötigte Daten sollten nicht aufbewahrt werden.
5. Datenbewegungen erkennen
Angreifer konzentrieren sich meist auf einen Bereich und exfiltrieren die dortigen Daten, bevor sie weiterziehen. Deshalb ist es wichtig, Datenbewegungen und andere unregelmäßige Aktivitäten transparent darzustellen. Werden Unregelmäßigkeiten frühzeitig erkannt, können Schäden an Daten oder Systemen verhindert werden. Wichtig ist, in hybriden Umgebungen Datenbewegungen über SaaS, Cloud und On-Premises hinweg beobachten zu können.
6. Dem Datenwachstum voraus sein
Die Menge an Daten wächst jeden Tag – auch die der sensiblen. Organisationen sollten daher den Umfang des Datenwachstums in ihren lokalen, Cloud- und SaaS-Anwendungen verfolgen. Hier ist es wichtig: Sensible Daten innerhalb und zwischen diesen Bereichen bewerten und feststellen, ob sich die Daten in die richtige Richtung bewegen, beispielsweise durch genehmigte Arbeitsabläufe.
7. Einen Data Owner benennen
Oft ist in Unternehmen nicht bekannt, wer für die Datenüberwachung sowie die Festlegung und Durchsetzung der Datenstrategie verantwortlich ist, weil diese Rolle nicht etabliert wurde. Ein Data Owner übernimmt diese Rolle, bewertet kontinuierlich die Risiken der Organisation und berichtet der Unternehmensleitung.
Double-Extortion-Angriffe stellen Unternehmen vor Herausforderungen und bergen große finanzielle Risiken. Gleichzeitig unterstreicht die Vorgehensweise der Angreifer die Relevanz einer modernen Datensicherheit. Mit diesen sieben Tipps sind Organisationen nicht nur besser gegen doppelte Erpressungen oder andere Angriffsarten aufgestellt, sondern sie stellen wieder das in den Fokus, was für sie und Kriminelle das höchste Gut ist: ihre Daten.