Cyber-Attacken mit Ransomware sind eine der größten IT-Bedrohungen. Während sich viele Unternehmen darauf konzentrieren, unzureichend geschützte Endpoints zu sichern, verlagern die Cyber-Kriminellen die Zielrichtung ihrer Angriffe auf die Daten in der Cloud. So treffen sie neben sensiblen Daten und auch die wichtigen Datensicherungen.
Es passiert täglich: Ein E-Mail von einem vermeintlich vertrauenswürdigen Absender verspricht weitergehende Informationen, wenn man einen integrierten Link öffnet. Klickt der Empfänger auf den Link, kann dies der Start für eine Online-Erpressung mit katastrophalen Folgen sein. Ransomware wird heruntergeladen, verschlüsselt alle erreichbaren Daten auf dem Endgerät und nutzt die verfügbaren Zugriffsmöglichkeiten, um weitere Datenbestände im Unternehmensnetzwerk zu verschlüsseln.
Auch Datensicherungen können von solchen Angriffen betroffen sein, sofern die Ransomware sie erreicht. Wenn dies passiert, gibt es kaum noch eine praktikable Möglichkeit, die betroffenen Datenbestände wiederherzustellen und die Cyber-Kriminellen haben eine gute Chance auf die Zahlung von Lösegeld.
Ransomware-Attacken auf Cloud-Strukturen
Um einen umfassenden Schutz sicherzustellen, versuchen viele Unternehmen ihre Endpoints und die zugehörigen Backups noch besser abzusichern. Doch das reicht nicht aus: Zwar richtet sich Ransomware bevorzugt gegen Windows-Rechner, doch prinzipiell können alle IT-Systeme befallen werden. So kann nicht nur das komplette Unternehmensnetzwerk von einer Ransomware-Attacke betroffen sein, sondern auch die Daten, die in Cloud-Diensten vorgehalten werden.
Da Backups als die ultimative Rettung für Verschlüsselungsangriffe gelten und die Wiederherstellbarkeit der Daten die Chance auf eine Lösegeldzahlung verringert, geraten verstärkt auch Backups in den Fokus. Sind diese erst einmal verschlüsselt, wird die Lage für betroffene Unternehmen fast aussichtslos.
Gerade bei dezentral organisierten Arbeitsprozessen hat die Bedeutung der Datenverarbeitung und -bereitstellung über die Cloud kontinuierlich zugenommen. Aber viele Unternehmen nutzen die Cloud mittlerweile auch gerne für Backups. Zahlreiche Branchen vertrauen auf CSP- und MSP-Lösungen, um betriebsrelevante, vertrauliche Informationen zu hosten. Sie verlassen sich auch auf Cloud-Lösungen, um die Integrität und Verfügbarkeit der Daten zu gewährleisten und den unbefugten Zugriff zu verhindern.
Aus diesem Grund sind Cloud Service Provider (CSP) und Managed Service Provider (MSP) beliebte Angriffsziele. Diese neuartige Konstellation erleichtert den Cyber-Kriminellen sogar die Arbeit, weil sie auf diesem Weg mit einem Angriff mehrere Unternehmen gleichzeitig angreifen können. GandCrab und Sodin zielen genau auf die Schwachstellen in den CSP- und MSP-Strukturen, legen deren Infrastruktur und gehosteten Daten offen und ermöglichen, dass sich der Angriff auf alle Kunden ausbreitet.
Schutz vor Ransomware-Attacken auf Cloud-Strukturen
Ransomware-Attacken beschränken sich nicht auf Endgeräte und Netzwerkinfrastrukturen, sie betreffen alle Orte, wo Daten gespeichert und bereitgestellt werden; insbes. die Cloud. Bei der Entwicklung und Implementierung von Schutzkonzepten gegen Ransomware sind also immer auch die Daten in der Cloud zu berücksichtigen. Alle Sicherheitsempfehlungen und -maßnahmen gelten analog für die Cloud-Infrastruktur.
Es ist wichtig zu erkennen, dass der Cloud-Provider nicht alleine für die Cloud-Sicherheit verantwortlich ist. Zur erfolgreichen Abwehr von Ramsomware-Attacken ist die geteilte Verantwortung für die Cloud-Sicherheit ein entscheidender Aspekt.
- Auch für Cloud-Daten regelmäßige Sicherungsroutinen einrichten, die der 3-2-1-Regel entsprechen (d.h. mindestens 3 Kopien in 2 unterschiedlichen Formaten und eine Kopie außerhalb der Cloud).
- Cloud-Segmentierung, Datenverschlüsselung, Zugriffskontrolle und Nutzungsrichtlinien einrichten, um eine minimale Datenexposition sicherzustellen.
- Cloud-Status und Zugriff auf die verwendete Cloud-Infrastruktur überwachen, um Infektionen schnell zu identifizieren.
- Auch für die Cloud nur einen Mindestsatz von Zugriffsrechten definieren und implementieren, um die Auswirkungen von Angriffen zu minimieren (Prinzip: weniger Rechte, weniger Daten verschlüsselt).
- Auch für die Cloud-Dienste ein robustes Schwachstellen- und Patch-Management implementieren (im Rahmen der geteilten Verantwortung zwischen Cloud-Nutzer und Cloud-Provider).
- Cloud-Schutz mithilfe von geeigneten Antivirenprogrammen nutzen (auch die unberechtigte Ausführung von Dateien in der Cloud blockieren).
- Verwendung einer Whitelist, um zu verhindern, dass unbekannte ausführbare Dateien in Cloud-Diensten ausgeführt werden.
- Cloud-Nutzer regelmäßig hinsichtlich Gefährdungen durch Ransomware sensibilisieren.
02.12.2021