Start Empfohlen Erfahren Sie mehr über Ransomware

Erfahren Sie mehr über Ransomware [Q&A]

72
0


Ransomware-Zeichen

Für jeden hochkarätigen Ransomware-Vorfall in den Schlagzeilen gibt es viele weitere, die nie gemeldet werden. Gerade bei kleinen und mittelständischen Unternehmen, oft mit kleinen IT- und Cybersecurity-Teams, kann ein Ransomware-Angriff zu einem existenziellen Problem werden.

Um zu verstehen, wie Unternehmen reagieren sollten, wenn sie feststellen, dass sie von einem Ransomware-Bedrohungsakteur erfasst werden, haben wir mit Kurtis Minder, CEO und Mitgründer von . gesprochen GroupSense, das Unternehmen hilft, diese Angriffe zu überwinden, um ihre Unternehmen wieder online zu bringen.

BN: Was müssen Unternehmen am meisten über Ransomware-Angriffe wissen?

KM: Das erste, was sie verstehen müssen, ist, dass „Ransomware-Angriff“ eine falsche Bezeichnung ist. Es deckt nur einen Teil der Techniken ab, mit denen Bedrohungsakteure Unternehmen erpressen. Ja, die Infizierung von Unternehmen mit Ransomware gehört zu ihrer Tätigkeit. Bei praktisch allen Angriffen, die wir heute sehen, handelt es sich jedoch um Bedrohungsakteure, die sich über einen längeren Zeitraum im Netzwerk des Opfers aufgehalten und deren Daten gestohlen haben. Dann setzen sie Ransomware frei, um die Aufmerksamkeit des Opfers zu erregen und Zahlungsbedingungen festzulegen. Aber jetzt treffen sie ihre Opfer mit zwei Hebelwirkungspunkten – erstens gibt es die Ransomware selbst und die Notwendigkeit für das Opfer, seine Operationen wieder online zu stellen. Und dann gibt es noch die Datenschutzverletzung und die Drohung, alle Daten freizugeben, wenn das Opfer nicht zahlt. Selbst wenn Sie den Ransomware-Angriff abwehren können, müssen Sie den Teil der Gleichung dennoch angehen. Dies wird zu einer komplexen Situation, die die meisten Unternehmen nicht bewältigen können.

BN: Was sind die größten Fehler, die Unternehmen machen, wenn sie von Ransomware betroffen sind?

KM: Der größte Fehler besteht darin, dass Führungskräfte es als Cybersicherheitsproblem abtun und es dem CISO überlassen, dies herauszufinden. Ein Ransomware-Angriff ist eine Unternehmenskrise und sollte als solche behandelt werden. Dies bedeutet, dass Sie einen Krisenreaktionsplan und ein Team haben, bevor es zu einem Angriff kommt. Alle, vom Vorstand und CEO, über Finanzen und Recht bis hin zur Unternehmenskommunikation und Öffentlichkeitsarbeit, sollten wie bei anderen Krisen mit einer angemessenen Reaktion synchronisiert werden. Selbst die grundsätzliche Frage ‚Zahlen wir Lösegeld oder nicht?‘ ist eine Entscheidung auf CEO-Ebene angesichts aller geschäftlichen Auswirkungen, die mit beiden Entscheidungen verbunden sind.

BN: Entscheiden sich die meisten Unternehmen angesichts der Nachfrage nach Ihren Ransomware-Reaktionsdiensten dafür, das Lösegeld zu zahlen?

KM: Ich kenne die Statistiken dazu nicht, aber ich kann Ihnen sagen, dass Unternehmen unter enormem Druck stehen und oft unterschiedliche Ratschläge erhalten, wenn sie von Ransomware betroffen sind. Der Geschäftsdruck ist offensichtlich – das Unternehmen muss so schnell wie möglich wieder online gehen. Dann stellt sich die Frage: „Können wir das in einem akzeptablen Zeitrahmen tun, ohne Lösegeld zu zahlen?“ Es ist eine ziemlich einfache Rechnung. Der abweichende Rat ist problematischer – die US-Regierung und das FBI fordern Unternehmen auf, niemals Lösegeld zu zahlen, aber ihre Versicherungsgesellschaften fordern sie möglicherweise auf, es zu zahlen, weil es für alle billiger ist als eine teure Sanierungsmaßnahme. Und jetzt droht die Regierung mit Geldstrafen, wenn Unternehmen einen Drohungsakteur bezahlen, der unter Wirtschaftssanktionen steht. Dies ist eine vereinfachte Herangehensweise an eine komplexe Situation – wir alle würden gerne den moralischen Weg gehen, aber wenn das Wohl Ihres Unternehmens auf dem Spiel steht, kann dieser Weg auch ein Weg zur Geschäftsaufgabe sein.

BN: Was sind die ersten Schritte, die Unternehmen unternehmen sollten, wenn sie von Ransomware betroffen sind?

KM: Erstens sollten sie nicht in Panik geraten – es gibt einen Ausweg. Und dieser Ausweg beginnt mit der Überprüfung der Behauptungen der Bedrohungsakteure – haben sie wirklich Ihre Daten gestohlen? Im Dark Web gibt es „Schamseiten“, die von Ransomware-Syndikaten genutzt werden, um Unternehmen vor einer bevorstehenden Veröffentlichung ihrer Daten zu warnen. Wenn ein Bedrohungsakteur behauptet, Ihre Daten zusätzlich zur Installation von Ransomware gestohlen zu haben, besteht die Möglichkeit, dass er auf einer dieser Schamseiten postet. Darüber hinaus werden gute Threat Intelligence-Unternehmen in der Lage sein, den Ruf des Bedrohungsakteurs zu überprüfen und ihn sogar zu beauftragen, den Nachweis zu verlangen, dass er über die Daten verfügt. Aus diesem Grund sind Dark Web Monitoring und Threat Intelligence ein unverzichtbarer Bestandteil des Lösungsprozesses.

BN: Vermutlich sind dies nicht die Fähigkeiten, die die meisten Unternehmen im Haus haben würden?

KM: Das ist richtig – das sind spezielle Fähigkeiten. Wenn Sie in größere Rechtsstreitigkeiten verwickelt sind, beauftragen Sie eine spezialisierte Anwaltskanzlei, die Sie vertritt. Die gleiche Dynamik gilt hier – Unternehmen brauchen Hilfe von Leuten, die „diesen Film schon einmal gesehen haben“ und die richtigen Knöpfe drücken können, um die Bedrohung zu bestätigen. Sobald dies erledigt ist, kann das Opfer eine fundierte Entscheidung über das weitere Vorgehen treffen – Lösegeld zahlen oder Selbstheilung durchführen. Alles hängt von der Risikobereitschaft ab – es kann sogar sein, dass ein Unternehmen über die Ressourcen verfügt, um die Ransomware-Situation in einem akzeptablen Zeitraum zu beseitigen, und die Veröffentlichung der Daten wird keinen nennenswerten Schaden anrichten. Um das Gesamtrisiko jedoch effektiv bewerten zu können, ist es wichtig zu wissen, mit wem Sie es zu tun haben. Hier ist Threat Intelligence unverzichtbar.

BN: Und wenn ein Unternehmen beschließt, das Lösegeld zu zahlen, wie sollte es dann den Bedrohungsakteur angreifen?

KM: Dies ist ein Bereich, in dem viele Unternehmen aufgrund dessen, was ich bereits erwähnt habe, scheitern – denken, dies sei nur ein Thema der Cybersicherheit. Dies ist eine Unternehmenskrise – Sie brauchen also einen guten Krisenverhandler, um den Bedrohungsakteur einzubeziehen. Diese Person ist wahrscheinlich nicht Ihr CISO, Ihr CIO, Ihr CFO oder eine andere Führungskraft. Wenn Sie von einem hartgesottenen Kriminellen in einer Bank als Geisel gehalten werden, wollen Sie dann, dass der erste Polizist am Tatort die Verhandlungen führt? Oder möchten Sie lieber, dass ein FBI-Krisenunterhändler die Führung übernimmt? Offensichtlich ist es letzteres. Bei Ransomware ist das nicht anders – es gibt eine Million Möglichkeiten, wie Ransomware-Verhandlungen aus den Fugen geraten können. Abgesehen von der Sorge, dass jeder zu viel bezahlen muss, könnten Sie den Ransomware-Akteur verärgern, sodass er Ihrem Unternehmen noch mehr Schaden zufügt. Diese Situationen müssen von erfahrenen Fachleuten richtig gehandhabt werden, die nicht nur mit Bedrohungsakteuren verhandeln können, sondern auch ihre Drohungen validieren und ihre Abmachung erfüllen (vernichten sie wirklich die gestohlenen Daten im Rahmen des Vergleichs, oder lügen sie? Können Sie Ihre Daten wirklich entschlüsseln oder nicht?). Die meisten Unternehmen haben keine erfahrenen Krisenverhandler im eigenen Haus, geschweige denn solche, die das Dark Web und das Gesamtrisiko des Unternehmens im Griff haben. Dieses Know-how findet man in der Regel nur bei externen Spezialisten.

BN: Abschließend: Woran sollten Unternehmen sonst noch denken, wenn sie von Ransomware betroffen sind?

KM: Ransomware-Angriffe werden nicht so schnell enden, weil es für Bedrohungsakteure leichtes Geld ist. Daher ist es unerlässlich, dass Unternehmen jeder Größe diese Bedrohung genauso ernst nehmen wie andere große Geschäftsrisiken. Es reicht nicht aus, nur einen Vorfall mit Ransomware/Datenverletzung zu beheben; Unternehmen müssen auch mit allen relevanten Stakeholdern kommunizieren, um Dinge wie Gesetzesverstöße, rechtliche Risiken und Schäden an Kundenbeziehungen zu vermeiden. Das Beste, was ein Unternehmen tun kann, ist, seinen ausgelagerten Ransomware-Reaktionsexperten jetzt zu identifizieren, damit es weiß, an wen es sich im Falle eines Angriffs wenden muss. Und dieser Experte sollte ihnen auch dabei helfen können, Ransomware-Angriffe in ihre Krisenreaktionspläne zu integrieren. Unternehmen, die sich auf diese Weise im Voraus vorbereiten, können die Wahrscheinlichkeit eines erfolgreichen Ergebnisses dramatisch erhöhen.

Bildnachweis: Yuri_Vlasenko / Depositphotos.com



Vorheriger ArtikelWindows 10 ist endlich – offiziell – auf 1 Milliarde Geräten
Nächster Artikeldeepin, die schönste Linux-Distribution, wechselt in 15.9.2 Beta auf Debian Stable

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein