Nach den jüngsten Grossangriffen von cyberkriminellen Gruppen auf hunderte von Unternehmen stellt sich die Frage, wie man sich absichern kann. Ransomware-Kriminelle verschlüsseln die Daten des Opfers und versprechen, den Schlüssel im Austausch gegen das Lösegeld auszuhändigen. Um derartige Angriffe nutzlos zu machen, ist ein effektiver Mitigationsplan für den Fall der Fälle der beste Plan.
Die Abwehrmassnahmen sollten Best Practices für den Rundumschutz und sichere Passwortregeln mit Zwei-Faktor-Authentifizierung und vollständig authentifizierten Kommunikationskanälen umfassen.
Regelmässige und häufige Backups aller wichtigen Systeme sowie ein klarer Plan und eine erprobte Vorgehensweise, wie ein komplexes IT-System mit all seinen Abhängigkeiten wieder online gebracht werden kann, sind ein wichtiger Teil einer solchen Strategie zur Risikominderung.
Eine besondere Herausforderung besteht darin, das Backup so zu sichern bzw. zu schützen, dass Kriminelle nicht in der Lage sind das Backup unbrauchbar zu machen - indem sie nicht nur die Daten des aktuellen Tages, sondern auch die Backup-Daten verschlüsseln oder einfach die Backup-Daten löschen. Daher muss die Zugriffskontrolle auf die Backup-Daten und die erlaubten Verarbeitungsfunktionen auf den Backup-Daten mit sehr restriktiven Richtlinien gut verwaltet werden.
Eine Recovery-Strategie muss berücksichtigen, dass alle Benutzerdaten weg sind und daher kein administrativer Zugriff möglich ist. Daher sind zusätzliche "Offline"-Business-Continuity-Konten erforderlich, um die infizierten Server wiederherzustellen. Das Vorhandensein von sauberen Images der Server-Basis-OS-Infrastruktur wird die Wiederherstellung erheblich beschleunigen.
In den letzten Monaten haben sich die kriminellen Angriffe sowohl in Bezug auf die technologischen Methoden als auch auf die Strategie weiterentwickelt. Die Täter nutzen eine doppelte Erpressung, indem sie damit drohen die Daten des Opfers an Dritte zu verkaufen oder im Internet zu veröffentlichen um der Reputation zu schaden - unabhängig davon, ob das Opfer in der Lage ist, den Betrieb wiederherzustellen. Dies ist natürlich auch dann eine Drohung, wenn das Lösegeld gezahlt wurde und die Systeme erfolgreich wiederhergestellt werden.
Ein wirksamer Schutz dagegen setzt voraus, dass die Daten auf dem Speichermedium von Anfang an von Datei zu Datei verschlüsselt werden. Eine vollständige Verschlüsselung des Speichermediums hilft in diesem Fall nicht, da der Angriff auf der darüber liegenden Ebene erfolgt, wo die Daten bereits im Plaintext vorliegen. Die Verschlüsselung von Dateien macht die "gestohlenen" Daten unbrauchbar und schützt so gegen die langfristige Bedrohung, auch wenn es nicht vor dem anfänglichen Angriff schützt.
Zusammenfassend lässt sich sagen, dass eine Data-at-Rest-Verschlüsselung mit sicherer Speicherung von Verschlüsselungskeys auf Basis eines sicheren Standards wie ECIES und AES256 - in Kombination mit einer stringent durchgeführten Backup-Strategie und einem gemanagten Deployment-Prozess, wie z. B. einem vollautomatisierten CI/CD mit integritätsgeschütztem Docker - das Risiko, Opfer eines solchen Angriffs zu werden, deutlich reduzieren kann. Denn es nimmt den Kriminellen den nötigen Anreiz, selbst wenn der Systemumfang und der Zugriffsschutz durchbrochen wurden.
Die Sicherstellung der Integrität der Kommunikation mit digital verschlüsselten und signierten Nachrichten reduziert die Angriffsfläche für ein Eindringen in das System weiter.