kaptn - stock.adobe.com
Ransomware-Abwehr: Bewegungen im Netzwerk begrenzen
Im Kampf gegen Ransomware bietet sich unter anderem eine Lösung für Unternehmen an: Mikrosegmentierung. Diese gelingt reibungslos mithilfe einer Security-Automatisierung.
Nicht die Attacke auf ein Netzwerk selbst, sondern das Vordringen des Hackers, oder der Malware, von weniger kritischen Systemen auf unternehmenskritische Applikationen und Daten richtet den großen Schaden an.
Während man sich bislang auf die Absicherung des sogenannten North-South-Traffics (Datenfluss aus dem und in das Rechenzentrum) fokussiert hat, gilt es vermehrt, auch den sogenannten East-West-Traffic (Datenfluss innerhalb des Rechenzentrums zwischen Geräten) zu kontrollieren und reglementieren.
Dieses sogenannte lateral movement – sprich die ungehinderte Seitwärtsbewegung – gilt es bei Angriffen zu unterbinden. Nur so kann verhindert werden, dass sensible Bereiche erreicht und Daten verschlüsselt werden, die nur gegen Zahlung eines Lösegelds (Ransom) wieder freigegen werden. Geschehen ist das unzählige Male – auch in jüngster Zeit.
Erpressungsversuche haben Hochkonjunktur
Die argentinische Einwanderungsbehörde wurde das Opfer einer Ransomware und weigerte sich, die verlangten vier Millionen US-Dollar zu bezahlen. Daraufhin wurden, unter anderem, die Namen, Geburtsdaten und Passnummern von 12.000 Deutschen, die zwischen Ende Februar 2020 und Anfang April erfasst worden waren, im Darknet veröffentlicht.
Sogar ranghohe deutsche Diplomaten befinden sich angeblich darunter. Ein weiterer Angriff zielte auf IT-Netzwerk des Fuhrparkdienstleisters der Bundeswehr. Dieser kümmert sich außerdem um die Fahrdienste des Verteidigungsministeriums und der Abgeordneten des Bundestages und sollte mit Ransomware erpresst werden.
Ebenfalls fiel die Kreuzfahrtgesellschaft Carnival Corporation einer Ransomware-Attacke zum Opfer, welche zum Verlust der personenbezogenen Daten von Millionen von Passagieren und Besatzungsmitgliedern geführt haben könnte – Carnival ist mit rund 13 Millionen Kunden im Jahr das weltweit größte Reise-Freizeitunternehmen.
Die Attacke durchbrach einen verschlüsselten Teil des Netzwerks. Auch traf es den US-Konzern Garmin, Anbieter von Sportuhren, Fitnesstrackern und Navigationsgeräten, der einen fast vollständigen Ausfall seiner Dienste melden musste – auch die zentrale App Garmin Connect ging vom Netz.
Das Springen im Netzwerk verhindern
Nun glauben viele Verantwortliche, die Lösung darin zu finden, eine unüberwindliche Schutzmauer aus Sicherheitslösungen um ihr Netzwerk herum zu ziehen. Doch ein Schlupfloch findet sich stets. Stattdessen muss die Konstruktion des Netzwerkes selbst verbessert werden – durch Mikrosegmentierung.
Hinter dem Begriff der Mikrosegmentierung verbirgt sich die Idee, das Netzwerk in viele kleine Bereiche zu teilen und an den Grenzen den Netzwerkverkehr zu überwachen. Auf diese Weise können die Segmente isoliert betrieben werden, Zugriffe lassen sich genau kontrollieren und Hacker – oder Malware – die in eines der Segmente vordringen, sitzen dort fest.
Das gefährliche Springen und ungehinderte Bewegen durch ein Netzwerk, hin zu den zentralen Dateien, wird unterbunden oder zumindest deutlich erschwert. Dadurch gewinnt die IT-Sicherheitsabteilung wertvolle Zeit und der Schaden wird eingegrenzt und lässt sich genau verorten.
Security-Automatisierung macht es möglich
Was einige Unternehmen zögern lässt, umgehend eine Mikrosegmentierung vorzunehmen, ist die Komplexität, die eine solche Einrichtung ausmacht und der Aufwand, den diese Umstellung mit sich bringt. Diese Hürde lässt sich allerdings einfach und günstig nehmen: mithilfe einer Security-Automatisierung.
Sie nimmt den IT-Fachleuten, die ohnehin meist unterbesetzt arbeiten müssen, viele kleine Aufgaben ab und räumt ihnen so die Zeit frei, um sich auf große Projekte zu konzentrieren. Zudem kann sie in Echtzeit auf Veränderungen, Anomalien und Änderungen reagieren.
„Nicht die Attacke auf ein Netzwerk selbst, sondern das Vordringen des Hackers, oder der Malware, von weniger kritischen Systemen auf unternehmenskritische Applikationen und Daten richtet den großen Schaden an.“
Elmar Albinger, AlgoSec
Richtlinienkonfiguration der Firewalls an den Übergängen einzelner Segmente verwaltet sie selbstständig und gibt Empfehlungen ab, falls Änderungen für einen reibungslosen Ablauf notwendig werden.
Geben die Fachkräfte grünes Licht, setzt die Automatisierung diese auf allen Systemen sofort durch, egal ob in traditionellen Netzwerken mit Rechenzentren, also On-Premises, Cloud-Anbindungen oder hybriden Umgebungen.
Fehler in der Konfiguration meldet sie sofort und gewährt über eine zentrale Konsole vollständigen Einblick in den gesamten Netzwerkverkehr. Um die Einhaltung der Compliance und das zuverlässige Auditing aller Änderungen kümmert sie sich ebenso.
Mittel der Wahl gegen Ransomware
Im Zusammenspiel mit einer guten Security-Automatisierung wird die Mikrosegmentierung nicht nur zur erstrebenswerten Lösung gegen die virtuellen Erpressungsversuche, sondern für Unternehmen aller Art zunehmend umsetzbar.
Ihre Einführung sollte daher dringend in die Planung jeder Führungsebene aufgenommen werden, denn niemand möchte einen ähnlichen Zwischenfall erleben, wie ihn der bekannte Hersteller von Aluminium aus Norwegen, Norsk Hydro hinnehmen musste: Im Winter 2019 traf es die Systeme der Aktiengesellschaft schwer und einige Betriebe in Europa und den USA mussten sogar auf manuellen Betrieb umgestellt werden, weil die IT komplett ausfiel.
Die Ransomware LockerGoga schlug hier erfolgreich zu. Zwar konnten viele Teile der Systeme über Backups wiederhergestellt werden, doch kostete das Ereignis insgesamt viel Geld – und beschädigte den guten Ruf des Unternehmens, sowie das Vertrauen der Partner und Kunden in die Firma.
Über den Autor:
Elmar Albinger ist Regional Sales Director bei AlgoSec.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.