Schnellere Ransomware-Attacken erfordern schnellere Detection & Response

Nur elf Tage bis zur Verschlüsselung

Schnellere Ransomware-Attacken erfordern schnellere Detection & Response

Durchschnittlich werden Cyberangriffe heute nach elf Tagen entdeckt – erheblich früher als noch vor ein paar Jahren. Das bedeutet aber nicht, dass die Security so erfolgreich ist. Vielmehr haben Cyberkriminelle ihre Wertschöpfungskette verkürzt und kommen schneller ans Ziel. Für Unternehmen bedeutet das: Sie müssen noch besser in der Detection & Response werden.

Cyberkriminelle halten sich im Durchschnitt elf Tage im Netzwerk auf, bis sie auffliegen. Das klingt auf den ersten Blick kurz. Noch vor ein paar Jahren betrug die Entdeckungszeit rund 200 Tage. Elf Tage sind für Cyberkriminelle heute aber genug Zeit, um Ziele auszuspionieren, lukrative Daten zu identifizieren, sie zu stehlen und/oder zu verschlüsseln. Meist manifestiert sich ein Cyberangriff dann, wenn die Ransomware aktiviert wird. Dieser Zeitpunkt ist umso früher, je eher die Hacker ihre Vorarbeiten abgeschlossen haben. In einem aus krimineller Sicht boomenden Geschäftsumfeld gelingt das immer schneller.

Ransomware als Geschäftsmodell

Cyberkriminelle sind heute in den meisten Fällen monetär motiviert. Sie möchten möglichst einfach und schnell möglichst viel Geld verdienen. Ransomware-Attacken erfüllen diese Kriterien perfekt. Die Chancen, mit Erpressung Geld zu verdienen, stehen gut. Denn viele der Opfer sind notgedrungen bereit, auf die Forderungen der Hacker einzugehen, um größeren Schaden zu vermeiden. Laut einer aktuellen Studie haben 42 Prozent der betroffenen deutschen Unternehmen im vergangenen Jahr Lösegeld gezahlt, obwohl sie über andere Mittel zur Datenwiederherstellung verfügt hätten. Vermutlich, weil sie dadurch schneller wieder betriebsfähig waren, als wenn sie ein Backup eingespielt hätten. Im Vergleich zum Vorjahr hat sich das durchschnittlich gezahlte Lösegeld fast verdoppelt und ist auf circa eine viertel Million Euro gestiegen. Andere Studien, wie beispielsweise von Palo Alto Networks und mit Schwerpunkt auf die USA, sprechen sogar von einer durchschnittlichen Lösegeldsumme von über einer halben Million Dollar. Hacker bieten heute häufig sogar Support an, um ihre Opfer nach Zahlungseingang bei der Entschlüsselung ihrer Systeme zu unterstützen. Sie möchten als seriöse Geschäftspartner wahrgenommen werden, damit auch das nächste Unternehmen bereitwillig zahlt. 

Eine professionell aufgestellte cyberkriminelle Branche

Wenn ein Geschäftsmodell boomt, entwickelt sich schnell eine ganze Branche daraus. Das ist in Hacker-Kreisen nicht anders als in der Wirtschaft. Dadurch haben sich spezialisierte Gruppierungen gebildet, die ihre Dienstleistungen im Untergrund anbieten. Während die einen die Malware entwickeln, suchen die anderen nach lukrativen Zielen, spionieren Opfer aus und legen Zugänge. Diese bieten sie dann in einschlägigen Foren im Darknet an. Wer heute einen Ransomware-Angriff durchführen möchte, braucht also selbst kaum noch Hacking-Kenntnisse. Er kann alle Bausteine kaufen und sofort loslegen. Die Attacke erfolgt dann automatisiert, sodass man nur noch die Früchte ernten muss. Auch erbeutete Daten zu verkaufen ist viel einfacher geworden, da es im Untergrund einschlägige Kunden und etablierte Vertriebswege gibt. Diese Professionalisierung hat die Wertschöpfungskette für Ransomware-Akteure erheblich verkürzt. 

Was bedeutet das für die Security?

Wenn die Verschlüsselung schon nach elf Tagen erfolgt, heißt das für Unternehmen: Sie müssen einen Angriff früher erkennen, um Schaden zu verhindern. Doch das ist leichter gesagt, als getan. Mit der zunehmenden Digitalisierung und dem Trend zum Homeoffice wächst die Angriffsfläche. Jeder Server, jedes vernetzte Mobilgerät und jeder Cloud Service ist ein potenzielles Einfallstor. IT-Teams müssen heute eine Vielzahl von Angriffsvektoren in einer immer komplexeren IT-Umgebung im Auge behalten. Dabei sind sie meist knapp besetzt und leiden unter dem anhaltenden Fachkräftemangel. Erschwerend kommt hinzu, dass sich in vielen Unternehmen eine Schatten-IT gebildet hat. Einzelne Mitarbeiter oder ganze Fachabteilungen nutzen Software und Services, von denen die IT-Abteilung gar nichts weiß. Solche Applikationen segeln unter dem Radar und können gefährliche Schwachstellen aufweisen. Im schlimmsten Fall sind sie bereits kompromittiert und mit Malware infiziert. 

Ein SIEM reicht nicht aus

Um Cyberangriffe frühzeitig zu erkennen, müssen Unternehmen umfassende Transparenz gewinnen und alle Angriffsvektoren berücksichtigen. Viele setzen dafür bisher ein SIEM ein (Security Information and Event Management). Ein solches System sammelt die Logdaten aller angeschlossenen Security Systeme und analysiert sie auf Auffälligkeiten. Das SIEM kann jedoch nicht bewerten, ob es sich dabei tatsächlich um einen Cyberangriff handelt. Viele verdächtige Ereignisse haben ganz harmlose Ursachen. Vielleicht wird gerade eine Software installiert, die die Hashwerte von Dateien ändert. So gibt das SIEM täglich unzählige Warnmeldungen aus, von denen ein Großteil False Positives sind. Das Security-Team muss sie alle ansehen, um zu ermitteln, ob tatsächlich etwas Kritisches passiert ist. Das kostet nicht nur viel Zeit, sondern erfordert auch spezialisiertes Know-how. Viele Unternehmen stoßen hier an ihre Grenzen. Zudem besteht angesichts der Masse an Alerts ein erhebliches Risiko, gefährliche Events zu übersehen.

Automatisierung mit SOAR

Wie kann man die Zahl der Fehlalarme reduzieren, die Bedrohungserkennung verbessern und beschleunigen? Eine effektive Möglichkeit ist SOAR (Security Orchestration, Automation and Response). Ein solches System korreliert und analysiert innerhalb von wenigen Sekunden riesige Datenmengen. Dabei greift es auf verschiedenste interne und externe Threat-Intelligence-Quellen zurück, um Informationen zu überprüfen und zu bewerten. So lässt sich der Großteil der False Positives eliminieren. Das SOAR kann Vorfälle automatisiert untersuchen, indem es Logiken anwendet und definierte Workflows abarbeitet. Diese werden mithilfe von sogenannten Playbooks im System hinterlegt. Innerhalb von kürzester Zeit entsteht so ein komplettes Bild, wie ein Angriff verlaufen ist und welche Systeme infiziert sind. Darüber hinaus kann das SOAR auch automatisiert auf wiederkehrende Incidents reagieren und zum Beispiel, sofern vorab so definiert, ausgewählte Firewall-Regeln ändern. 

Ohne spezialisiertes Know-how geht es nicht

Ein SOAR in die Security-Infrastruktur zu integrieren, richtig zu konfigurieren und zu betreiben ist jedoch komplex. Außerdem sind solche Plattformen sehr teuer. Für einzelne Unternehmen lohnt sich der Aufwand in der Regel nicht. Zumal man zusätzlich immer noch Security-Analysten braucht, um die verbleibenden Warnmeldungen kontinuierlich zu überwachen, genauer zu untersuchen und zu bewerten. Eine automatisierte Response ist zwar hilfreich, aber nur für Standard-Szenarien empfehlenswert. In vielen Fällen müssen Maßnahmen individuell abgestimmt werden, um den Geschäftsbetrieb möglichst wenig zu gefährden. Hier sollte man genau wissen, was man tut. So ist es zum Beispiel wichtig, infizierte Systeme schnell zu isolieren und den Angriff zu stoppen, dabei aber möglichst so vorzugehen, dass der Hacker nicht aufgescheucht wird und vielleicht noch übereilt „um sich schlägt“. Außerdem sollte man darauf achten, keine Logdateien und Spuren zu löschen, die als Beweismittel in der Forensik dienen könnten.

Warum auslagern besser ist als selber machen

Angesichts des Aufwands und der hohen Komplexität entscheiden sich viele Unternehmen, kein eigenes SOAR anzuschaffen und kein SOC (Security Operations Center) zu betreiben. Zu Recht – denn es gibt heute spezialisierte Dienstleister, die den Service Managed Detection und Response (MDR) anbieten. Sie stellen nicht nur die SOAR-Technologie und die Security-Analysten bereit und übernehmen den Betrieb sowie das Monitoring. Im Falle eines Cyberangriffs helfen sie auch dabei, ihn schnell zu stoppen und die richtigen Maßnahmen zu ergreifen. Da ein professioneller Anbieter seine Services für viele verschiedene Kunden betreibt, lohnt es sich für ihn, in teure Security-Technologie zu investieren und seine Mitarbeiter stetig fortzubilden. Er häuft Experten-Wissen und Erfahrung an, kann auch neue Bedrohungen schneller erkennen und die Security-Systeme kontinuierlich optimieren. 
Bei einem ernsten Vorfall ist es zudem wichtig, schnell ein Incident-Response-Team einzuschalten, um den Schaden zu begrenzen. Solche Profis sind auf die tiefere Untersuchung von Cyberangriffen spezialisiert. Sie unterstützen nicht nur bei der Eindämmung der Gefahr, sondern sichern auch Beweismittel, die vor Gericht bestand haben, arbeiten mit Anwälten zusammen und beraten im Falle einer Lösegeldforderung zur richtigen Strategie. Bei der Wahl des MDR-Anbieters sollten Unternehmen daher darauf achten, dass dieser über ein entsprechendes Partner-Netzwerk verfügt und bei Bedarf umgehend ein BSI-zertifiziertes Incident-Response-Team hinzuziehen kann. So verlieren Betroffene im Ernstfall keine Zeit damit, Experten zu suchen oder Prozesse abzustimmen.

Mit MDR den Wettlauf gewinnen

Je effizienter und professioneller Cyberkriminelle agieren und je größer die Angriffsfläche, umso schwieriger wird es für Unternehmen, Vorfälle schnell genug zu erkennen und zu stoppen. Ohne die Hilfe von externen Spezialisten ist das kaum noch machbar. Und der Druck wächst. Bald werden Cyberkriminelle noch weniger als elf Tage bis zur Verschlüsselung brauchen. Am Ende ist Cybersecurity immer ein Wettlauf. Unternehmen können diesen nur gewinnen, indem sie modernste Technologie und professionelle Security-Analysten in der schnellstmöglichen Zeit einsetzen. Mit der Dienstleistung Managed Detection and Response wird das bei minimalem Eigenaufwand und zu überschaubaren Kosten möglich.

 

Wolfgang Kurz
Wolfgang Kurz

CEO, indevis

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.

indevis IT-Security News

Bleiben Sie auf dem Laufenden mit unserem informativen monatlichen Newsletter.

Tragen Sie sich einfach in den Verteiler ein:

Hier abonnieren!