michelangelus - Fotolia
Dem Risiko Ransomware in der Cloud richtig begegnen
Ransomware bedroht nicht nur lokale Daten, sondern stellt auch für Cloud-Umgebungen ein Risiko dar. Unternehmen sollten sich mit entsprechenden Maßnahmen darauf vorbereiten.
Nach den publikumswirksamen Angriffen wie WannaCry oder NotPetya dürften nunmehr die meisten Organisationen auf die Bedrohung durch Ransomware aufmerksam geworden sein. Unter Umständen wurden bereits viel Zeit und Energie in die Reaktion auf entsprechende Vorfälle gesteckt oder zumindest in die eigene Abwehrbereitschaft. Im Zusammenhang mit Ransomware wird der Angriffsfläche Cloud meist nur wenig Beachtung geschenkt.
Dabei sind Cloud-Umgebungen ja keineswegs weniger anfällig für Ransomware als andere Umgebungen. Ihre Eigenschaften erfordern allerdings eine andere Vorbereitung im Hinblick auf die Abwehr und die mögliche Reaktion.
So sind bei entsprechenden Vorfällen in der Cloud sehr wahrscheinlich andere Kommunikationskanäle, Benachrichtigungswege und auch andere Personen involviert. Zudem kommen in der Regel andere Sicherheitsmaßnahmen zum Einsatz. Unternehmen sollte sich aber auf die Problematik Ransomware in der Cloud ebenso gut vorbereiten, wie auf das Sicherheitsrisiko von Ransomware für interne Systeme.
Ransomware in der Cloud
Werden beispielsweise IaaS-Angebote genutzt (Infrastructure as a Service), verfügt der Kunde über mehr Transparenz hinsichtlich des zugrundeliegenden Betriebssystems als bei anderen Cloud-Modellen. Die Problematik des Patch-Managements und der Updates – insbesondere bei Legacy-Systemen oder sehr speziellen Lösungen – ist hier ebenso komplex wie bei anderen Umgebungen. Das kann insbesondere für den Faktor Zeit gelten.
So kann eine IaaS-Umgebung durchaus anfällig für Ransomware sein, die Art wie die Bedrohung entdeckt wird und wie man sich davor schützt, mag sich jedoch von internen Umgebungen unterscheiden. So sind für die Überwachung von IaaS-Workloads oft andere Mitarbeiter zuständig, als bei den lokalen Lösungen.
So geht ja mit der Cloud-Nutzung meist unweigerlich das Thema Schatten-IT einher. Sprich, Sicherheitsverantwortliche wissen unter Umständen nicht, welche Cloud-Anwendungen von den Mitarbeitern des Unternehmens genutzt werden. Daher ist es nicht sichergestellt, dass alle Anwendungen in den Fachabteilungen die entsprechende Aufmerksamkeit in Sachen Ransomware beziehungsweise Erpressungstrojaner erfahren.
Und selbst wenn ein Unternehmen das Thema Schatten-IT gut im Griff hat, erfolgt bei einem Ransomware-Vorfall in der Cloud die Benachrichtigung über andere Kanäle, als dies sonst üblich ist. Dies kann über die entsprechende Kontaktperson beim Cloud-Provider sein oder auch über ein vom Provider zur Verfügung gestelltes Serviceportal. Dies muss man bei der Sicherheitsstrategie und den dort definierten Prozessen berücksichtigen.
Gleichfalls muss bedacht werden, dass nicht nur die Informationswege, sondern sowohl die Lösungsansätze als auch die Gegenmaßnahmen vermutlich anders aussehen als in rein lokalen Umgebungen. Ist eine unabdingbare Gegenmaßnahme beispielsweise das Einspielen eines Updates, kann dies in Cloud-Umgebungen von unterschiedlichen Faktoren abhängen. Unter Umständen muss ein Wartungsfenster des Providers hierfür eingeplant werden.
Abseits von IaaS-Lösungen können natürlich auch alle anderen Cloud-Lösungen von Ransomware betroffen sein. Man denke da nur an die populären Cloud-Speicherlösungen wie Dropbox, OneDrive oder Google Drive. Üblicherweise arbeiten diese Dienste so, dass lokale Dateien mit der Cloud synchronisiert werden. Gerade in kleineren Unternehmen werden solche Lösungen auch gerne als Datenaustauschverzeichnisse oder gar Backup-Lösungen genutzt. Wenn nun lokale Dateien durch Ransomware verschlüsselt, überschrieben oder anderweitig kompromittiert werden, dann werden diese Änderungen mit der Cloud synchronisiert.
Abwehrstrategien für Ransomware in der Cloud
Wie können sich Unternehmen auf Ransomware in Cloud-Umgebungen vorbereiten? Einige Maßnahmen können die Reaktion auf entsprechende Vorfälle deutlich vereinfachen. Wie bei lokalen Umgebungen auch, ist es hilfreich, wenn ein detaillierter Vorfallreaktionsplan mit entsprechend definierten Abläufen existiert.
So sollte von Anfang an im Unternehmen grundsätzlich Klarheit darüber herrschen, wie man sich Lösegeldforderungen gegenüber verhält. Dergleichen sollte nicht erst im Falle eines Falles diskutiert werden. Ebenfalls sollten die Alarm- und Reaktionsszenarien grundlegend geklärt sein. Wer wird wie über einen entsprechenden Vorfall informiert? Wer muss benachrichtigt werden? Und wie sind die Benachrichtigungswege mit den entsprechenden Cloud-Anbietern? Welche Maßnahmen sind erforderlich, um auf allen Kommunikationskanälen schnell reagieren zu können?
Es sollte zudem eine systematische Risikobewertung speziell für Ransomware durchgeführt werden. Dabei ist es sinnvoll, die Backup- und Response-Prozeduren einer eingehenden Betrachtung zu unterziehen. Unternehmen müssen Schutz- und Wiederherstellungsstrategien für Daten haben, auf die bei einem Vorfall durch Ransomware nicht mehr zugegriffen werden kann.
Wenn Unternehmen IaaS-Angebote nutzen, sollte die vom jeweiligen Provider angebotenen Backup-Dienste ebenfalls einer genauen Betrachtung unterzogen werden. Die Risikoanalyse muss diesbezüglich nicht nur für das eigene Unternehmen erfolgen, sondern sich auch auf die genutzten Cloud-Dienste erstrecken. Das mag bei Nutzung von unterschiedlichsten Cloud-Anbietern etwas aufwändig sein, lohnt sich aber in Sachen Transparenz für die Gesamtsicherheit und nicht nur für den Aspekt des möglichen Ransomware-Vorfalls. Eine systematische Analyse der genutzten Cloud-Dienste im Hinblick auf die Sicherheit ist in jedem Fall empfehlenswert.
Gerade für kleinere Unternehmen kann ein Sicherheitsvorfall bei erwähnten Synchronisationsverzeichnissen eine große Herausforderung darstellen. Hier kann eine manuelle oder zeitlich gesteuerte Spiegelung der Daten in ein anderes Repository eine geeignete Schutzmaßnahme sein.
Backup-Lösungen erlauben zudem in der Regel den Rücksprung zu früheren Iterationen der Daten, selbst wenn der primäre Speicherort gefährdet ist. Aber unabhängig davon, welchen Ansatz ein Unternehmen wählt, entscheidend ist es, mögliche Vorfälle vorab durchzudenken und die Schutzmaßnahmen auf den Prüfstand zu stellen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!