Ransomware-Angriffe – Erfolgreiches Krisenmanagement und Mythen
Es ist passiert: Das IT-System des größten Maschinenbauers in der Region steht still, die Bildschirme bleiben schwarz, der Zugriff auf alle E-Mails, Daten, Programme und das gesamte LAN ist nicht mehr möglich. Maschinen können nicht mehr betrieben werden. CAD-Programme sind genauso verschlüsselt wie das CRM, das Logistikprogramm oder die Payroll in der HR-Abteilung. Stattdessen erscheint die gefürchtete ellenlange Nachricht der Hacker – weiß auf schwarzem Hintergrund: Sie fordern fünf Millionen US-Dollar in Bitcoin als Lösegeld und drohen damit, sensible Daten preiszugeben und den Decryptor nicht bereitzustellen, sollte nicht innerhalb von sieben Tagen gezahlt werden. Und das alles kurz vor der Eröffnung eines weiteren Werks in Rumänien – Panik bricht aus. Genau das haben Markus D., Geschäftsführer und Eigentümer dieses mittelständischen Betriebs, und seine Belegschaft, bestehend aus 920 Mitarbeitern, erlebt.
Ein Horrorszenario, das sich mittlerweile fast täglich abspielt, wenn Unternehmen von sogenannten Ransomware-Gruppen wie z. B. Lockbit angegriffen werden. Dabei sind die Opfer längst nicht immer große, bekannte Player. Vielfach handelt es sich um kleine oder mittelständische Unternehmen, auch Ingenieurbüros, Architekten, Arztpraxen, Gemeindeverwaltungen, Universitäten, Schulen, Krankenhäuser – sprich, jede Organisation kann es treffen. Selbst NGOs sind nicht ausgenommen. Was allerdings alle betroffenen Unternehmen und Organisationen vereint: In 95 Prozent der Fälle ist der Grund für den Angriff die Schwachstelle Mensch. Genauso wie im analogen Leben suchen die Täter nach passenden Einfallmöglichkeiten. Bildlich gesprochen: Welche Tür ist nicht verriegelt, welches Fenster steht noch einen Spalt offen? Erspähen die Angreifer auch nur eine Lücke, schlagen sie zu. Erst danach wird analysiert, wen sie an der Angel haben und wieviel Geld man erpressen kann.
Die Auswirkungen eines Ransomware-Angriffs auf ein Unternehmen können verheerend sein. Verschiedenen Statistiken zufolge hat Ransomware Unternehmen im vergangenen Jahr Milliarden gekostet. Über die Hälfte aller Malware-Angriffe waren Ransomware-Angriffe. Einige Auswirkungen sind die folgenden:
- Verlust der Daten eines Unternehmens
- Ausfallzeiten als Folge einer beeinträchtigten Infrastruktur und Systeme
- Produktivitätsverluste aufgrund von Ausfallzeiten
- Verlust von potenziellen Einnahmen
- Unterbrechung von Kernprozessen
- kostspielige Wiederherstellungsbemühungen
- langfristige Schäden an Daten und Dateninfrastruktur
- Schädigung des bisherigen Rufs des Unternehmens und
- Verlust von Kunden.
Unterschiedliche Formen der Erpressung
Die Erpressungsgegenstände bei Ransomware-Angriffen variieren. Entweder werden nur Daten und Programme verschlüsselt, die dann nicht mehr genutzt werden können. Außerdem kann es vorkommen, dass Daten abgezogen werden – das Unternehmen ist nicht mehr alleiniger Besitzer. Oder die Täter drohen zusätzlich damit, die Daten zu veröffentlichen. Das kann gerade bei personenbezogenen Informationen sehr heikel sein. Einige Tätergruppen agieren besonders perfide: Sie scheuen sogar nicht davor zurück, Mitarbeiter des Unternehmens zu kontaktieren und drohen ihnen und auch deren Familienmitgliedern. Gleiches gilt für Stakeholder. Wir haben es schon erlebt, dass Kunden das Opferunternehmen angesprochen haben, obwohl noch nichts an die Öffentlichkeit gedrungen ist.
Wer sind die Täter?
Es dürfte sich mittlerweile herumgesprochen haben, dass die Täter organisiert sind und es sich nicht oder kaum um "Script-Kiddies" handelt. Vielmehr haben wir es mit dem Phänomen der "McDonaldisierung" zu tun. Franchise-Systeme, die es auch minder begabten Kriminellen erlauben, in das Ransomware-Business einzusteigen. Ransomware as a Service (RaaS) ist ein Konzept in der Welt der Cyberkriminalität, bei dem Cyberkriminelle Ransomware-Tools und -Dienste als Service an andere Personen oder Gruppen vermieten. Dieses Modell ermöglicht es auch Personen mit begrenzten technischen Fähigkeiten, Ransomware-Angriffe durchzuführen, ohne dass sie selbst die gesamte Infrastruktur und das Know-how dafür entwickeln müssen. Wir sehen, dass die Franchise-Geber häufig in Russland sitzen, während die Franchise-Nehmer mittlerweile sehr oft in Afrika, der arabischen Welt und in Asien anzutreffen sind.
Einige wichtige Tatsachen zum Phänomen Ransomware as a Service möchte ich an dieser Stelle aufführen:
- Vermietung von Ransomware-Tools: RaaS-Anbieter stellen Ransomware-Tools und -Dienste auf dem Darknet oder anderen Untergrundforen zur Verfügung. Interessierte Parteien können diese Dienste gegen eine Gebühr nutzen.
- Einfache Nutzung: RaaS macht es auch weniger technisch versierten Personen möglich, Ransomware-Angriffe durchzuführen. Die Anbieter stellen oft benutzerfreundliche Oberflächen und Anleitungen bereit.
- Gewinnbeteiligung: In vielen Fällen wird der Gewinn zwischen dem RaaS-Anbieter und dem Nutzer aufgeteilt. Der Anbieter erhält in der Regel einen Prozentsatz des erpressten Lösegelds. Die Aufteilung von 80/20 ist hierbei häufig zu sehen.
- Diversität der Angriffe: Durch RaaS gibt es eine Zunahme von Ransomware-Angriffen, da es für verschiedene Gruppen von Cyberkriminellen einfacher wird, solche Angriffe durchzuführen. Es gibt zurzeit ca. 160 RaaS-Gruppen – Tendenz steigend – und innerhalb dieser Gruppen dann mehrere Dutzende "Affiliates".
- Erschwerung der Identifizierung: Da diejenigen, die die Ransomware tatsächlich einsetzen, nicht unbedingt dieselben Personen sind wie diejenigen, die die RaaS-Dienste bereitstellen, wird die Identifizierung und Verfolgung der Verantwortlichen erschwert. Die Polizei steht hier meist vor einem unlösbaren Problem. Selbst wenn mal eine Gruppe, wie zuletzt AlphV/BlackCat, durch das FBI infiltriert und dann offline genommen wird, so sind die Köpfe ja weiterhin aktiv und verselbständigen sich. Es werden durch dieses Vorgehen also eher mehr Gruppen geschaffen als vom Markt genommen.
Die Rolle von KI
Künstliche Intelligenz (KI) spielt eine zunehmende Rolle bei der Entwicklung von Ransomware und zwar auf verschiedene Weisen.
Der Wettlauf zwischen Angriff und Verteidigung wird durch den Einsatz von KI auf beiden Seiten intensiviert.
Es ist wichtig zu beachten, dass sowohl Verteidigung als auch Angriffe in der Cyberwelt von den Fortschritten in der KI profitieren können. Hier sind einige Aspekte, wie KI bei der Entwicklung von Ransomware eine Rolle spielen kann:
- Automatisierte Angriffe: KI ermöglicht es Angreifern, Ransomware-Angriffe zu automatisieren. Durch maschinelles Lernen können Ransomware-Programme Angriffsmuster erkennen, sich anpassen und neue Wege finden, um Sicherheitsmaßnahmen zu umgehen.
- Angriffsplanung und Zielidentifikation: KI kann dazu verwendet werden, potenzielle Ziele für Ransomware-Angriffe zu identifizieren. Durch Analyse großer Datenmengen können Angreifer Organisationen mit möglicherweise schwächeren Sicherheitsvorkehrungen herausfiltern.
- Social Engineering und Phishing: KI-basierte Technologien können dazu verwendet werden, personalisierte und überzeugende Phishing-Angriffe durchzuführen. Durch die Analyse von Nutzerverhalten können Angreifer besser darauf abzielen, Opfer zur Ausführung schädlicher Aktionen zu verleiten.
- Verschleierung und Tarnung: KI kann verwendet werden, um Ransomware zu entwickeln, die sich besser tarnt und schwerer zu entdecken ist. Durch automatische Anpassung an Sicherheitsmechanismen wird es schwieriger, die schädliche Software zu erkennen.
- Entwicklung von Verschlüsselungsalgorithmen: Fortschritte in der KI können auch bei der Entwicklung von fortschrittlichen Verschlüsselungsalgorithmen helfen, die es schwieriger machen, die von der Ransomware verschlüsselten Daten zu entschlüsseln.
Es ist wichtig zu betonen, dass KI nicht nur von Angreifern, sondern auch von Sicherheitsexperten und -unternehmen genutzt wird, um fortschrittliche Abwehrmechanismen zu entwickeln. Der Wettlauf zwischen Angriff und Verteidigung wird durch den Einsatz von KI auf beiden Seiten intensiviert.
Es ist passiert – Fragen über Fragen beim betroffenen Unternehmen
Stellt sich nach einer Lageanalyse durch die eigene IT oder den IT-Dienstleister, auf den man sich verlassen hat, schließlich heraus, dass auch die Back-ups betroffen sind, wird die Situation schnell ungemütlich. Die Opfer stehen vor einem Dilemma. Denn alle Optionen, die auf dem Tisch liegen, haben Vor- und Nachteile. Der erste Reflex der Unternehmen lautet meist, in keinem Fall der Erpressung nachzugeben und sie schalten zunächst die Polizei ein – auf alle Fälle ein Schritt, den man gehen kann, der dem Unternehmen zur Minimierung des Schadens aber nichts bringt. Die Unternehmen müssen sich im ersten Schritt mit den Konsequenzen des Ransomware-Angriffs beschäftigen. Folgende Fragen sollte man dabei schnellstmöglich beantworten:
- Was ist wann passiert?
- Um welche Ransomware-/Erpressergruppe handelt es sich?
- Welche Daten und Systeme (VM?) sind von der Verschlüsselung betroffen?
- Sind Daten von Dritten betroffen, z. B. Kunden, Partner, Zulieferunternehmen etc.
- Welche Auswirkung hat dies momentan auf das Tagesgeschäft?
- Was kostet diese Krise das Unternehmen pro Tag?
- Was würde passieren, wenn diese Daten öffentlich werden würden?
- Was ist mit dem Offline-Back-up?
- Was fordern die Erpresser?
- Gibt es Zeitlimits?
- Was wurde bislang an wen kommuniziert?
- Welches übergeordnete Ziel soll erreicht werden? Bis wann?
- Haben Sie eine Wallet generiert?
- Steht Lösegeld in Form von Bitcoin zur Verfügung?
- Wer entscheidet jetzt darüber, was zu machen ist?
Alle diese Fragen brauchen schnell Antworten. Und hier besteht meistens ein gravierender Mangel – über jede Organisationsform hinweg und unabhängig von der Größe des Unternehmens. Warum ist das so? Weil sich leider bis heute verschiedene Mythen halten, die wiederum von den unterschiedlichsten Interessengruppen mantraartig ständig wiederholt werden. Es wird Zeit, einiges richtigzustellen.
Fünf Mythen
Mythos 1: Das Zahlen von Lösegeld führt zu den hohen Schadenssummen bei den Unternehmen
Falsch. Die Kosten für Wiederanlauf und Betriebsunterbrechung sind die Treiber im Bereich der Schadenssumme. Das sage nicht ich, sondern einer der größten Versicherer der Welt – die Allianz. Nachzulesen in deren jährlich erscheinenden Risk Reports [1]. Eventuell ist der Schaden sogar so groß, dass eine angemessene Lösegeldzahlung noch das kleinere Übel darstellt. Dann tauchen weitere Probleme auf, z. B. wie eine Zahlung genau abläuft und wie man mit den Angreifern überhaupt kommuniziert. Legen Sie doch mal die Kosten der Betriebsunterbrechung Ihres Unternehmens pro Tag auf den Tisch. Oder kennen Sie die etwa gar nicht? So geht es den meisten. Hier gilt es zu handeln, denn nur dann können Sie eine Kosten-Nutzen-Abwägung durchführen.
Mythos 2: Wir haben ein ISMS etabliert und sind somit auf einen Angriff gut vorbereitet, inkl. 24/7-Erreichbarkeit unseres IT-Notfall-Teams
Falsch. Denn das betroffene Unternehmen hat kein IT-Problem. Das Unternehmen hat ein Problem bezüglich des Fortbestands und der Reputation. Ein IT-Notfallteam greift zu kurz. Sie benötigen einen heterogen zusammengesetzten Krisenstab. Denn der CISO, wenn es denn überhaupt einen gibt, wird nicht über eine etwaige Lösegeldzahlung entscheiden und schon gar nicht über dessen Höhe. Wer kommuniziert den Vorfall nach innen und nach außen? Wer ist in der Lage, die Prozesse jenseits der IT in einem Notbetrieb zu betreiben? Dies sind, wie gesagt, alles Fragen, die der CISO nicht beantworten kann und will.
Mythos 3: Wir werden bei einer Ransomware-Attacke von Hackern angegriffen
Falsch. Siehe oben. Sie haben es mit Kriminellen zu tun, die evtl. ihr Business-Modell geändert haben. War es vor ein paar Jahren noch Usus, Menschen in Nigeria zu entführen, so sind es heute die gleichen Typen, die Sie erpressen. Lösen Sie sich von dem Gedanken, dass Sie es mit Hackern zu tun haben und mit denen auf technischer Ebene kommunizieren können. Sie haben es mit eiskalten Kriminellen zu tun. Sind Sie geschult darin, mit diesen Gestalten zu kommunizieren, Druck auszuhalten und deren Finten zu erkennen? Falls Sie das nicht sind und den Umgang mit Erpressern nicht kennen, laufen Sie Gefahr, zu schnell und zu viel zu zahlen. Und das alles verbunden mit dem Risiko, dann keinen Decryptor zu erhalten.
Mythos 4: Bei Zahlung von Lösegeld kann mir niemand garantieren, dass ich den Decryptor erhalte und die Daten nicht veröffentlicht werden
Ja und Nein. Ja, das kann Ihnen niemand garantieren. Wir sagen jedoch, bei der Anwendung der richtigen Strategie kann man das Risiko nach einer Zahlung und einer folgenden Nicht-Bereitstellung des Decryptors reduzieren. Die Erfahrung gibt uns Recht. In allen Fällen, die wir betreut haben, kam es zu einer Bereitstellung eines funktionierenden Decryptors. Teilweise sogar inkl. Hilfestellung der Täter, selbst noch Tage nach der Zahlung. Je nachdem, wie groß und komplex die Infrastruktur betroffen war, kann es Stunden, ja sogar Tage dauern, bis der Decryptor alle Dateien und Systeme entschlüsselt hat. Und für diesen Prozess der Entschlüsselung gilt es ebenfalls, Spezialisten hinzuzuziehen. Wir haben es erlebt, dass die hauseigene IT dies selbst versuchte und daran gescheitert ist, da die Erfahrung im Umgang mit Decryptoren nicht vorhanden war.
Mythos 5: Das Zahlen von Lösegeld ist verboten
Falsch. Auch hier werden wir immer wieder mit Falschaussagen konfrontiert. Natürlich ist die Zahlung von Lösegeld erlaubt. ABER: Es muss vor der Zahlung ein Compliance-Check durchgeführt werden. Befindet sich die Gruppe, an die gezahlt wird, Beispiel Lockbit, auf einer Sanktionsliste? Noch nie hat der Check dazu geführt, dass eine Zahlung nicht durchgeführt werden konnte. Noch nie wurde ein Unternehmen belangt, wenn es sich an die Regeln hält. Und sollte doch mal eine Gruppe sanktioniert werden, dann bekommt diese das natürlich mit und wird ihren Namen ändern. Dann wird aus LockBit eben BitLock und schon ist man von der Sanktionsliste verschwunden.
Was gilt es also zu tun?
1. Krisenstab bilden, Krisenmanagement-Handbuch bereitstellen und trainieren
Durch die Bildung eines Krisenstabs und unter Zuhilfenahme von erarbeiteten Leitlinien wird das Unternehmen in die Lage versetzt, einen Ransomware-Angriff und die damit verbundene Cyber-Erpressung effektiv und effizient zu bewältigen. Der Krisenstab hat die Aufgabe, die Bedrohung der Mitarbeiter und der materiellen und immateriellen Vermögenswerte des Unternehmens abzuwenden oder den zu erwartenden Schaden zu begrenzen. Der Krisenstab soll zudem sicherstellen, dass Entscheidungen schnell und zielgerichtet getroffen werden und die jeweiligen Geschäftsbereiche und Stakeholder des Unternehmens schnell und umfassend über den Vorfall informiert werden. Ziel muss es sein, die Verantwortlichkeiten sowie die Abläufe bei einer Ransomware-Attacke klar zu definieren.
Die Krisenstab-Struktur soll also sicherstellen, dass
- Verantwortlichkeiten definiert,
- die Aufgaben klar zugeordnet,
- die Berichtswege festgelegt,
- Entscheidungswege bekannt sind,
- externe Kontakte gezielt angesprochen und einbezogen werden,
- Krisenkommunikation als Teil des Krisenmanagements verstanden wird und
- etablierte Hierarchieebenen umgangen werden können.
2. Verhandlungsgruppe unter Einbeziehung Externer bilden
Es ist dringend anzuraten, dass Sie präventiv und reaktiv Experten hinzuziehen, die Sie bei der Verhandlungsführung unterstützen. Und zwar, bevor Sie Opfer wurden. Prävention heißt auch hier das oberste Gebot. Verlassen Sie sich dabei nicht auf Pseudo-Experten, die das vielleicht "schon einmal" gemacht haben. Keine Wirtschaftsprüfer, Anwälte oder IT-Unternehmen haben in der Regel das Know-how, die Härte, die persönliche Resilienz und das Netzwerk, um hier schnell zu einer professionellen, kostengünstigen und Ihre Reputation schützenden Lösung zu kommen. Die Verhandlungsgruppe und der Krisenstab müssen dabei aus einer Hand koordiniert und beraten werden.
Krisenmanagement-Handbuch und Cyber-Versicherungspolice sind nicht auf dem Netzwerk abzulegen.
3. Adäquate Versicherung
Bitte prüfen Sie, ob Ihr Unternehmen eine adäquate Cyber-Versicherung abgeschlossen hat. Eine Police sollte in jedem Fall den Part einer Lösegelddeckung beinhalten. Und auch hier gilt es, den versicherten Schaden nicht zu knapp zu bemessen. Und noch etwas: Kaufen Sie nicht die günstigste Lösung ein. Wir haben die Erfahrung gemacht, dass es bei den vermeintlich billigen Lösungen zu den größten Schwierigkeiten bei der Schadensabwicklung kommt. Und zu guter Letzt: Krisenmanagement-Handbuch und Cyber-Versicherungspolice sind gesondert aufzubewahren und in keinem Fall auf dem Netzwerk abzulegen. Wir haben es schon erlebt, dass die Täter die Police kannten und die Lösegeldhöhe sich an der in der Versicherung genannten Deckung orientiert hat.
Übrigens, der geschilderte Fall des mittelständischen Maschinenbauers war nach fünf Tagen gelöst. Am sechsten Tag konnten die Geschäftsprozesse wieder aufgenommen werden. Der Aufbau einer neuen und besser gesicherten IT-Infrastruktur als "Green-Field"-Lösung dauert noch an.