Startseite > Security > Ransomware-Gefahr zwingt zum Handeln

Gastkommentar von Sophos

Ransomware-Gefahr zwingt zum Handeln

1. Juli 2021, 7:00 Uhr | John Shier/wg

Der DarkSide-Ransomware-Angriff auf die Colonial-Pipeline in den USA ist nur eines von vielen, weltweit verbreiteten Beispielen dafür, dass Security nicht nur eine Sache der IT, sondern auch der strategischen Planung und des Managements ist. Das Sophos Rapid Response Team hat seit Mai viele der DarkSide-Ransomware-Angriffe analysiert. John Shier, Senior Security Advisor bei Sophos, fasst die fünf wichtigsten Erkenntnisse aus den Angriffen im nachfolgenden Gastbeitrag zusammen.

Der DarkSide-Ransomware-Angriff auf die Colonial-Pipeline, die etwa 45 Prozent des Diesel-, Benzin- und Flugzeugtreibstoffs der Ostküste der USA liefert, ist nur ein Beispiel, das sich mittlerweile in über 60 bekannte Fälle einreiht. Auch Irlands Gesundheitsdienst, Toshiba Europa oder das Essener Chemieunternehmen Brenntag gehören zu den mutmaßlichen Opfern. Immer wieder weist die Forensik der Vorfälle auf Probleme innerhalb des IT-Netzwerks hin, die bereits vor dem Vorfall bestanden und die zur Anfälligkeit für Angriffe beigetragen haben. Folglich stellt sich die Frage, weshalb die Betroffenen nicht alle potenziell möglichen Sicherheitsvorkehrungen ausgeschöpft haben und ob ein dedizierter Verantwortlicher für die Cybersicherheit zum Zeitpunkt der Ransomware-Attacke in der Organisation existierte. Fünf Erkenntnisse aus den DarkSide-Angriffen:

1. Priorität der IT-Sicherheit: Bei der heutigen Gefahrenlage braucht es in Unternehmen und Organisationen einen Verantwortlichen, der die aktuelle Gefahrenlage im Blick hat, sich mit Security auskennt und im Führungsgremium des Unternehmens sitzt: einen Chief Information Security Officer (CISO). Auch wenn ein dedizierter CISO für manche Unternehmen nur schwer zu rechtfertigen ist, sollte eine adäquate Person existieren, die die Prioritäten für die IT-Sicherheit richtig zu setzen weiß und diese auch durchsetzt.

Beispielsweise wurde bei der Anhörung von Colonial vor dem Senat bekannt, dass in den letzten fünf Jahren etwa 200 Millionen Dollar in die IT investiert wurden – ohne genaue Angaben, wie viel davon tatsächlich in die IT-Security flossen. Die Fähigkeit, Prioritäten für die Cybersecurity im Unternehmen festzulegen, über ein ausreichendes Budget zu verfügen und die notwendigen Befugnisse zu haben, um die Prioritäten durchzusetzen, sind wesentliche Aspekte für die Cybersicherheit.

2. Sicherheitsstandards: In vielen Fällen, die das Sophos Rapid Response Team untersucht hat, ist der ursprüngliche Eintrittspunkt in das Netzwerk ein einzelnes gestohlenes Kennwort, meist für Remote-Dienste. Im Fall von Colonial benutzten die Angreifer das gestohlene Kennwort, um Zugang zu einem VPN-Dienst zu erhalten, der keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatte. Der Pipeline-Betreiber glaubte, dass dieses VPN-Profil nicht in Gebrauch sei, und schenkte ihm vermutlich weniger Beachtung – eine typische Situation, die Fachleute immer wieder beobachten.

Die Chance ist groß, dass die Angreifer das Passwort durch einen früheren Einbruch erhalten haben, um es einige Zeit später für ihre Ransomware-Attacke einzusetzen. Daraus ergeben sich zwei äußerst wichtige Folgerungen: Verfügbare Sicherheitstechnik wie MFA sollte immer aktiviert sein und die Security-Spezialisten sollten kleinere und zurückliegende Security-Vorfälle ernst nehmen, da sie die Vorboten für größere Angriffe sein können.