Effektiver Schutz vor Ransomware erfordert intelligente Verteidigung
326 Tage verstreichen im Schnitt, bis ein destruktiver Cyberangriff im Unternehmen erkannt und eingedämmt wird. Dagegen helfen nur intelligente, vernetzte Sicherheitsstrategien.
Laut einer vom Ponemon Institut für IBM durchgeführten Studie für 2022 dauert es im Schnitt 237 Tage, bis Unternehmen destruktive Cyberattacken wie Ransomware-Angriffe identifizieren und weitere 89 Tage, um sie zu beheben: Angreifer tummeln sich also im Schnitt 326 Tage lang mehr oder weniger ungehindert im Netzwerk. Im Jahr davor waren es übrigens „nur“ 315 Tage.
Dass so viel Zeit zwischen Infektion und Reaktion verstreicht, hat verschiedene Gründe. So werden Angreifer immer besser darin, ihr Eindringen und ihre Anwesenheit zu verschleiern. Denn sie nutzen legitime Tools, die ohnehin zur Administration von Netzwerken, Endgeräten und Betriebssystemen im Einsatz sind. Solche Angriffe, die zunächst nur wenig oder gar keine Malware einschleusen, sondern auf bereits vorhandene Komponenten des Betriebssystems oder gängiger Softwarepakete setzen, bezeichnet man als „Living-off-the-Land“ (LotL oder LoL). Sie arbeiten typischerweise mit PowerShell- beziehungsweise VBScript-Skripten oder Batch-Dateien, die Befehlssequenzen automatisiert ausführen. Auch handelsübliche Sicherheitstools wie Cobalt Strike und Elemente des Metasploit-Frameworks, die üblicherweise von Netzwerkadministratoren und Penetrationstestern verwendet werden, können als Angriffswerkzeuge missbraucht werden. Um nicht vorzeitig aufgespürt zu werden, setzen die Angreifer häufig auch Tools ein, die Antivirus-Software deaktivieren oder gar deinstallieren.
Auf diese Weise bewegen sich Eindringlinge gut getarnt unter dem Radar der IT-Abteilung und können sich im Netzwerk ausbreiten. Über Sicherheitslücken verschaffen sie sich zusätzliche Rechte (Privilege Escalation), übernehmen unzureichend gesicherte Admin-Accounts oder fischen mit Tools wie MimiKatz Zugangsdaten ab. Über Command&Control-Server werden schließlich Verschlüsselungstrojaner und andere Schädlinge nachgeladen und Daten extrahiert.
Entdecken die für die Cybersecurity Zuständigen die Eindringlinge nicht rechtzeitig, können diese schließlich mit voller Wucht zuschlagen, ganze IT-Infrastrukturen ausschalten und maximalen Schaden anrichten. Die Schäden durch Cyber-Angriffe werden für die betroffenen Unternehmen immer kostspieliger. Zahlen des IT-Branchenverbands Bitkom zufolge waren 2020 und 2021 88 Prozent der Unternehmen in Deutschland von Datendiebstahl, Sabotage und Spionage betroffen. Die Schadenssumme belief sich für das Jahr 2020 auf 220 Milliarden Euro – eine Verdoppelung gegenüber dem Vorjahr.
Raffinierte Angriffe erfordern eine synchronisierte Abwehr
Herkömmliche Signatur- und verhaltensbasierte IT-Sicherheitslösungen erkennen raffinierte Attacken oft nicht, weil die Vorkommnisse im Netzwerk für sich betrachtet harmlos scheinen und nicht miteinander korreliert werden. So bleibt beispielsweise die Seitwärtsbewegung von Malware (Lateral Movement) oft unentdeckt. Selbst moderne, auf Machine Learning und anderen KI-Technologien basierende Security-Systeme tun sich mit der Erkennung schwer, wenn sie nur einen kleinen Ausschnitt aus dem kompletten Geschehen analysieren können. Eine effiziente und effektive Abwehr erfordert daher den Austausch von Informationen zwischen den IT-Security-Komponenten und ein Synchronisieren der Maßnahmen. Ein Beispiel: Wenn eine Firewall schädlichen Traffic im Netzwerk erkennt, sollte sie automatisch die Sicherheitssoftware auf den Endgeräten alarmieren. Diese kann dann gezielt verdächtige Prozesse identifizieren und beenden. In vielen Fällen können die Endpoint-Agenten auf Basis der Informationen sogar direkt infizierte Komponenten entfernen. Umgekehrt informiert die Endpoint-Security-Lösung sofort das gesamte Netzwerk, wenn sie die Kompromittierung eines Endgeräts feststellt, und isoliert dieses. So wird verhindert, dass sich der Angreifer im Netz ausbreitet, Daten extrahiert oder Malware nachlädt.
Fazit
IT-Abteilungen sind bei der Verteidigung gegen raffinierte und auf Dauer angelegte Angriffe häufig überfordert. Selbst mit modernen verhaltensbasierten und KI-gestützten Methoden dauert die Erkennung oft zu lange, weil Ereignisse auf Endgeräten und im Netzwerk isoliert betrachtet und nicht in Zusammenhang gebracht werden. Darauf spezialisierte integrierte Cybersecurity-Systeme schaffen hier Abhilfe: Indem die einzelnen Komponenten intelligent miteinander vernetzt werden und koordiniert zusammenarbeiten, lassen sich infizierte Endpoints schneller entdecken und isolieren, was eine Ausbreitung von Schadsoftware im Netzwerk verhindert.