Wenn Ransomware gleich doppelt zuschlägt

Nach einem Ransomware-Angriff haben laut Zahlen des jüngsten Rubrik Zero Labs Reports mehr als die Hälfte (57 Prozent) der in Deutschland befragten Unternehmen ein Lösegeld für verschlüsselte Daten gezahlt. Nur 24 Prozent davon, konnten nach der Zahlung alle Daten mit den Entschlüsselungswerkzeugen der Angreifer wiederherstellen. Noch ärgerlicher: Einmal Lösegeld einzustreichen reicht den meisten Cyberkriminellen nicht mehr und deswegen setzen sie auf eine zusätzliche Datenexfiltration.

Double-Extortion-Angriffe stellen eine große Herausforderung für Unternehmen dar – und ihre Verbreitung nimmt zu. Das „Doppelte“ bezieht sich darauf, dass die Angreifer nicht nur eine Zahlung für die Entschlüsselung fordern, sondern auch dafür, dass sie die zuvor gestohlenen Daten nicht veröffentlichen. Das steigert den finanziellen sowie psychologischen Druck erheblich und macht diese Angriffe sehr kostspielig.

Um ihre Daten besser vor doppelten oder auch einfachen Erpressungen zu schützen, können Unternehmen ihre Angriffsfläche mit sieben Tipps reduzieren.

Der Schwerpunkt der Cybersicherheit liegt meist auf der Infrastruktur und weniger auf den Daten. Die Infrastruktur zu priorisieren ist zwar wichtig, aber nicht ausreichend. Datensicherheit muss als Teil einer ganzheitlichen Cybersicherheitsstrategie Vorrang haben, um modernen Cyberangriffen wirksam begegnen zu können.

Werden alle Daten gleichbehandelt, werden sensible Daten nicht richtig bewertet. Handelt es sich um eine Word-Datei mit unsensiblen Daten oder enthält sie vertrauliche Informationen wie Zahlungsdaten von Kunden? Wurde ein sensibler Datensatz aus einer Datei zusätzlich per E-Mail versendet? Eine Priorisierung der Daten ermöglicht eine effektivere Abwehrhaltung.

Haben oder hatten nur die legitimierten Personen und Teams Zugriff? Ist eine Multi-Faktor-Authentifizierung vorhanden? Hier empfiehlt sich der Zero-Trust-Gedanke. Dabei wird davon ausgegangen, dass alle Benutzer, Geräte und Anwendungen kompromittiert sein könnten, weshalb sie ihre Legitimität ständig neu nachweisen müssen.

Bei monate- oder jahrelang nicht verwendeten Daten sollte deren Relevanz geklärt werden. Alte Dokumente können zwar wichtig sein, aber auch sensible Daten enthalten. Nicht benötigte Daten sollten nicht aufbewahrt werden.

Angreifer konzentrieren sich meist auf einen Bereich und exfiltrieren die dortigen Daten, bevor sie weiterziehen. Deshalb ist es wichtig, Datenbewegungen und andere unregelmäßige Aktivitäten transparent darzustellen. Werden Unregelmäßigkeiten frühzeitig erkannt, können Schäden an Daten oder Systemen verhindert werden. Wichtig ist, in hybriden Umgebungen Datenbewegungen über SaaS, Cloud und On-Premises hinweg beobachten zu können.

Die Menge an Daten wächst jeden Tag – auch die der sensiblen. Organisationen sollten daher den Umfang des Datenwachstums in ihren lokalen, Cloud- und SaaS-Anwendungen verfolgen. Hier ist es wichtig: Sensiblen Daten innerhalb und zwischen diesen Bereichen bewerten und feststellen, ob sich die Daten in die richtige Richtung bewegen, beispielsweise durch genehmigte Arbeitsabläufe.

Oft ist in Unternehmen nicht bekannt, wer für die Datenüberwachung sowie die Festlegung und Durchsetzung der Datenstrategie verantwortlich ist, weil diese Rolle nicht etabliert wurde. Ein Data Owner übernimmt diese Rolle, bewertet kontinuierlich die Risiken der Organisation und berichtet der Unternehmensleitung.

Double-Extortion-Angriffe stellen Unternehmen vor Herausforderungen und bergen große finanzielle Risiken. Gleichzeitig unterstreicht die Vorgehensweise der Angreifer die Relevanz einer modernen Datensicherheit. Mit diesen sieben Tipps sind Organisationen nicht nur besser gegen doppelte Erpressungen oder andere Angriffsarten aufgestellt, sondern sie stellen wieder das in den Fokus, was für sie und Kriminelle das höchste Gut ist: ihre Daten.

Steven Stone, Leiter der Forschungseinheit für Cybersicherheit „Rubrik Zero Labs“ bei Rubrik.