kaptn - stock.adobe.com
Ansteigende Bedrohung durch Ransomware als Dienstleistung
Mit dem immer beliebteren Modell Ransomware as a Service können auch technisch unerfahrene Kriminelle Angriffe veranlassen. Unternehmen müssen ihre Cybersicherheit priorisieren.
Mit voranschreitender Digitalisierung erhöht sich für Unternehmen das Risiko, zum Ziel eines Cyberangriffs zu werden. Nicht nur sie selbst, sondern auch Kunden und Geschäftspartner sind bei unzureichenden Sicherheitsmaßnahmen gefährdet.
Ein sehr effizientes Mittel für Hacker, um an sensible Daten zu kommen und sich finanziell zu bereichern, ist Ransomware. Besonders das Modell Ransomware as a Service (RaaS) bereitet den Weg für Angreifer ohne größeres technisches Know-how. 66 Prozent der befragten Unternehmen des Ransomware Reports 2022 von Sophos gaben an, im vergangenen Jahr Opfer eines Hackerangriffs gewesen zu sein. Damit ist die Zahl im Vergleich zum Vorjahr um 78 Prozent angestiegen. Dabei belaufen sich die durchschnittlichen Kosten, die für Unternehmen hier entstehen, auf 1,4 Millionen US-Dollar.
Wer wird zur Zielscheibe von RaaS?
Besonders kleine und mittelständische Betriebe laufen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Gefahr, Opfer von RaaS-Attacken zu werden. Das hat der Bericht zur Lage der IT-Sicherheit in Deutschland von 2021 ergeben. Dass Ransomware-Gruppen am ehesten diese Betriebe anvisieren, liegt daran, dass ein Angriff an dieser Stelle weniger Aufmerksamkeit hervorruft als es bei großen Unternehmen der Fall wäre.
Laut Microsoft Security gibt es derzeit mehr als 35 bekannte Familien von Ransomware. Exemplarisch dafür, wie gefährlich RaaS-Angriffe auch auf globaler Ebene sind, ist der Fall Kaseya aus dem vergangenen Jahr. Mindestens 1.000 Unternehmen aus 17 Ländern waren von dem Hack der Supply Chains des US-Softwareunternehmens betroffen – darunter auch deutsche Unternehmen.
Gemietete Cyberkriminalität
Aber wie funktioniert Ransomware as a Service? Bei dem Modell handelt es sich um eine Kombination aus Malware as a Service und Phishing as a Service, welche im Darknet als Dienstleistung angeboten wird. Der potenzielle Hacker oder die potenzielle Hackerin bucht dazu ein RaaS-Kit von einem RaaS-Anbieter, welches sich individuell zusammenstellen lässt. Die Vergütung erfolgt in Kryptowährungen wie beispielsweise Bitcoin. Sowohl das Zahlungsmodell als auch die Nebendienstleistungen orientieren sich an der Vorgehensweise von seriösen Softwareanbietern.
Zusatzleistungen können je nach Preisstufe hinzugebucht werden und reichen von Informationen zu geglückten Angriffen und Zahlungssummen, über die Aufbereitung von Dashboards bis hin zu Technik-Support und Dokumentationen. Ist ein Angriff gelungen und es wurde Lösegeld erpresst, teilen sich Schadsoftwarehersteller und Auftraggeber den Betrag. Dabei gehen sie eben so professionell vor wie seriöse Softwareunternehmen. Solche Angebote können auch technisch unerfahrene Interessenten in Anspruch nehmen – was die Bedrohung für Unternehmen noch einmal deutlich erhöht.
Vertrauensverlust durch mangelhaften Schutz
Wird ein Unternehmen mit Ransomware angegriffen, schädigt dies nicht nur das Unternehmen selbst, sondern auch dessen Kunden. Dieser Umstand kann dazu führen, dass Kunden ihren Geschäftspartnern nicht mehr vertrauen – künftige Geschäfte bleiben dann eventuell aus. Vor allem für kleine und mittelständische Unternehmen kann der Wegfall des Kundenstamms ein wirtschaftliches Risiko bedeuten.
Hinzu kommen finanzielle Belastungen durch eventuelle Lösegeldzahlungen an die Angreifer. Auch für die Behebung der Angriffsfolgen entstehen Extrakosten, dazu gehören zum Beispiel Aufwände für Forensik und Wiederherstellung der Daten, Umsatzeinbußen durch Betriebsunterbrechung, Kosten für die Kundeninformation und Krisenkommunikation.
Eine sehr bekannte Ransomware ist Emotet. Diese RaaS-Software hat weltweit IT-Infrastrukturen sabotiert sowie Lösegelder erpresst und damit einen Schaden von etwa 2,5 Milliarden US-Dollar verursacht – so ein Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Im Jahr 2021 ist es den Behörden zwar gelungen, die Infrastruktur von Emotet zu zerschlagen, aber es sind bereits Nachahmer der RaaS-Architektur beobachtet worden. Das wirft die Frage auf, wie sich Unternehmen vor diesem rasant weiterentwickelnden Geschäftsmodell schützen können.
„Das Personal zu schulen ist ebenso wichtig wie technische Schutzlösungen, kontinuierliche Updates für Systeme und Programme oder ein sicherer Umgang mit Zugangsdaten.“
Parisa Kahani , Axians IT Security
+Wie sich Unternehmen schützen können
Experten raten zu einer Kombination aus unterschiedlichen Sicherheitsmaßnahmen. Das Personal zu schulen ist ebenso wichtig wie technische Schutzlösungen, kontinuierliche Updates für Systeme und Programme oder ein sicherer Umgang mit Zugangsdaten.
Der erste Schritt zu einer verlässlichen Cybersicherheit ist regelmäßiges Testen und Erstellen von Backups, damit gestohlene Daten nicht als Druckmittel verwendet werden können. Eine weitere wichtige Maßnahme ist der verantwortungsvolle Umgang mit Anmeldedaten, da Hacker sich ihren Weg ins System häufig über ahnungslose Mitarbeiter – beispielsweise über Phishing-Mails – bahnen.
Wie wichtig Zugangsdaten sind, sieht man daran, dass ein Administratorkonto häufig direkt im Preis eines RaaS-Angebots einkalkuliert ist. Kennwortrichtlinien und Passworthygiene sorgen dafür, dass die Daten sich in regelmäßigen Abständen ändern und dass Zugangsdaten nicht für mehrere Konten gelten. Technische Maßnahmen wie System-Updates und Patches, Netzwerk-Segmentierung, Mail Security und Anti-Phishing, XDR-Endpunktsicherheit sowie Multifaktor-Authentifizierung werden ebenso für eine gute Cybersicherheit gebraucht.
Diesen Aufwand können Unternehmen an einen Managed Security Service Dienstleister (MSSP) auslagern. Die Spezialisten kümmern sich um eine sinnvolle Sicherheitsarchitektur und managen diese. Natürlich gilt es, Sicherheitsmaßnahmen auch regelmäßig zu überprüfen. Schwachstellenscans und Penetrationstests spielen dabei eine zentrale Rolle, denn Kriminelle werden immer schneller bei der Umsetzung und sind sehr kreativ in ihrer Vorgehensweise. Die Überprüfung sollte deshalb nicht nur einmal pro Jahr durchgeführt werden, sondern häufiger. Experten können anschließend die Ergebnisse bewerten und das Schutzniveau weiter erhöhen.
Die Bedrohung durch RaaS-Attacken steigt
Unternehmen müssen anfangen Cybersicherheit als oberste Priorität zu betrachten. Denn Ransomware entwickelt sich rasant weiter; RaaS-Entwickler werden immer kreativer. Damit Ransomware as a Service auch technisch nicht versierte Kriminelle Cyberangriffe durchführen können, gehen Experten davon aus, dass die Anzahl an Angriffen weiterhin massiv ansteigen wird.
Für Unternehmen ist es daher sinnvoll, nicht erst tätig zu werden, wenn bereits ein Angriff stattgefunden hat, sondern schnellstmöglich wirkungsvolle Schutzmaßnahmen einzuführen – entweder in Eigenregie oder in Zusammenarbeit mit einem Managed Security Service Provider.
Über die Autorin:
Parisa Kahani ist Security Consultant bei Axians IT Security.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.