Reality-Check Ransomware : Status quo zu Trends und Abwehr von Cyber-Erpressung
Ein gutes Verständnis der Nuancen von Ransomware-Angriffen und der ihnen zugrunde liegenden Schwachstellen ist heute entscheidend für robuste Verteidigungsstrategien. Der vorliegende Beitrag liefert praktische Hinweise zur Einordnung von Ransomware-Bedrohungen und Strategien zu deren wirksamer Bekämpfung.
Die nachfolgenden Informationen basieren auf Ergebnissen einer kritischen Untersuchung der Cyber-Schwachstellenlandschaft. Die allgemeineren Ergebnisse, die bei einer Auswertung der Bedrohungslandschaft 2023 gefunden wurden, hatte Qualys bereits Ende 2023 vorgestellt [1] – hier geht es nun um einen tieferen Einblick in die Daten, die speziell Ransomware betreffen.
Ransomware im aktuellen Cybersecurity-Kontext
2023 wurden alarmierende 28 834 Schwachstellen verzeichnet, was einen deutlichen Anstieg von 13 % gegenüber dem Vorjahr bedeutet. Diese Statistik zeichnet ein anschauliches und besorgniserregendes Bild der eskalierenden Herausforderungen für die Cybersicherheit auf globaler Ebene. Aus der Vielzahl der Schwachstellen nutzen Cyberkriminelle vor allem eine kritische Untergruppe zunehmend für Ransomware-Attacken. Obwohl damit nur 0,07 % aller Schwachstellen in solche Angriffe involviert sind, spielen diese doch eine entscheidende Rolle bei der Gestaltung der Ransomware-Landschaft.
Ransomware zielt willkürlich auf viele Produkte – von allgegenwärtigen Plattformen wie Microsoft Windows bis hin zu spezialisierten Lösungen wie Atlassian Confluence Data Center und Citrix NetScaler ADC. Diese breite Palette, einschließlich Qlik Sense Enterprise, Apache ActiveMQ, Fortran GoAnywhere MFT et cetera, unterstreicht die weitreichende und nichtdiskriminierende Natur von Ransomwarebedrohungen.
Vielfältige Ziele
Ransomware-Angriffe betreffen letztlich alles – von Betriebssystemen über Webanwendungen bis hin zur Netzwerkinfrastruktur. Diese Vielfalt zeigt, wie raffiniert und strategisch die Angreifer* vorgehen. Ransomware nutzt häufig Schwachstellen bei der Remote-Code-Ausführung (RCE) und der Eskalation von Privilegien aus, die es Angreifern ermöglichen, die Kontrolle über die Systeme der Opfer zu erlangen und dort böswillige Aktivitäten durchzuführen. Die Angreifer zielen dabei auf grundlegende Aspekte der Software ab, indem sie tief verwurzelte Schwachstellen ausnutzen, was wieder einmal den dringenden Bedarf an sicherer Softwareentwicklung und effektiven Patch-Management-Verfahren unterstreicht.
Optimistisch stimmt, dass sich ein beträchtlicher Teil der von Ransomware bevorzugten Schwachstellen durch Patch-Management wirksam entschärfen lässt – derartige Systeme sind also nicht nur ein Reparaturwerkzeug, sondern gleichzeitig proaktiver Verteidigungsmechanismus. Auch wenn das keine neue Erkenntnis ist, muss es hier dennoch wieder einmal betont werden: Indem man sich auf das Patch-Management konzentriert, kann man einen Großteil der Cybersecurity-Bedrohungen wirksam bekämpfen und die Abwehr gegen potenzielle Sicherheitsverletzungen stärken – gerade in kritischen Bereichen wie den Betriebssystemen.
Ein weiterer wichtiger Aspekt, der bei der Entschlüsselung von Angriffsmustern hilft, ist die Verwendung von Common-Weakness-Enumeration-(CWE)-Kennungen (https://cwe.mitre.org). Diese Bezeichner dienen der systematischen Kategorisierung von Schwachstellen und gruppieren sie auf Basis der Natur von Fehlern in der Softwareentwicklung, die hierfür ausgenutzt werden. Eine solche Kategorisierung vereinfacht das Verständnis der Schwachstellen und hebt übergreifende Bereiche hervor, in denen die Sicherheit verbessert werden sollte, um Ransomware-Angriffe zu vereiteln.
Entsprechende Schwachstellen fielen häufig in die kritischen Kategorien:
- CWE-284 – unsachgemäße Zugriffskontrolle
- CWE-287 – unsachgemäße Authentifizierung
- CWE-502 – Deserialisierung nicht vertrauenswürdiger Daten
- CWE-863 – falsche Autorisierung
Diesen spezifischen Schwachstellen entgegenzuwirken, ist somit entscheidend für die Stärkung der Abwehr von Ransomware-Angriffen.
Trends und Verteidigung
Angesichts der Häufigkeit von Ransomware-Angriffen auf öffentlich zugängliche Anwendungen ist es unerlässlich, diese Plattformen robuster als bislang zu sichern. Die unterschiedlichen Taktiken, die Ransomware-Angreifer einsetzen, erfordern dazu eine mehrschichtige Verteidigungsstrategie, die auf die verschiedenen Phasen eines Angriffs ausgerichtet ist. Diese Notwendigkeit wird noch durch die Tatsache verstärkt, dass viele Ransomware-Angriffe bekannte Schwachstellen ausnutzen, was erneut verdeutlicht, wie wichtig es ist, solche Systeme regelmäßig mit den neuesten Patches zu aktualisieren.
Der Einfluss generativer KI auf die Dynamik von Ransomware
Generative künstliche Intelligenz (KI) wird die Cyber-Bedrohungslandschaft revolutionieren, da sie es Cyberkriminellen erleichtert, Schwachstellen zu entdecken und auszunutzen, was zu häufigeren und ausgefeilteren Ransomware-Angriffen führen wird. Dieser Fortschritt senkt die technischen Hürden für Angreifer und ermöglicht es ihnen, eine umfassendere Palette von Produkten ins Visier zu nehmen und Zero-Day-Schwachstellen in noch stärkerem Maße auszunutzen. Auch diese Entwicklung erfordert eine vielschichtige Verteidigungsstrategie, ein robustes Schwachstellenmanagement und dringende Investitionen in fortschrittliche Cybersicherheitsmaßnahmen, um sich zukünftig gegen die wachsende Gefahr durch verbesserte Fähigkeiten von Bedrohungsakteuren zu schützen, die generative KI einsetzen.
Die entscheidende Rolle des Patch-Managements
Eine effektive Patch-Verwaltung kann die von Ransomware ausgehende Bedrohung erheblich eindämmen. Indem sie Schwachstellen umgehend beheben, können Unternehmen ihre Systeme vor potenziellen Ransomware-Angriffen schützen.
Ein entscheidendes Element dieses Prozesses ist die Patch-Rate, die eine zentrale Rolle bei der Cybersicherheit spielt: Sie misst, wie schnell ein System Schwachstellen behebt. Eine hohe Patch-Rate gewährleistet eine rasche und effiziente Reaktion auf Bedrohungen und verringert das Risiko. Eine niedrige Patch-Rate hingegen deutet auf eine verzögerte Reaktion hin und erhöht die Gefährdung des Systems durch Cybersicherheitsrisiken.
Qualys hat Daten über Patches und die mittlere Zeit bis zur Behebung (Mean Time to Remediation, MTTR) von Ransomware-Schwachstellen im Jahr 2023 verwendet, um die Wirksamkeit des Patch-Managements bei der Abwehr von Unternehmen zu verdeutlichen. Die hierzu von der Qualys Threat Research Unit (TRU) analysierten Daten wurden einer sorgfältigen Anonymisierung unterzogen. Dieser Prozess garantiert, dass sich spätere Analysen nicht zu bestimmten Organisationen oder Anlagen zurückverfolgen lassen, um deren Vertraulichkeit und Sicherheit zu gewährleisten.
Die Dringlichkeit eines effektiven Patch-Managements wurde auch bereits durch die Ergebnisse des Qualys TruRisk Research Report 2023 [2] unterstrichen. Diesem Bericht zufolge werden „waffenfähige“ Schwachstellen in der Regel innerhalb von 30,6 Tagen gepatcht – allerdings geschieht dies nur in 57,7 % der Fälle. Im Gegensatz dazu nutzen Angreifer diese Schwachstellen oft innerhalb von nur 19,5 Tagen als Waffe. Dadurch entsteht im statistischen Mittel ein kritisches Zeitfenster von etwa 11 Tagen, in dem diese Schwachstellen Angreifer zur missbräuchlichen Verfügung stehen, bevor Unternehmen mit dem Patchen beginnen.
Diese krasse Diskrepanz unterstreicht die Notwendigkeit einer zeitnahen Patch-Verwaltung im Rahmen von Cybersicherheitsstrategien und verdeutlicht, wie wichtig es ist, die Zeitspanne zu minimieren, in der heikle Schwachstellen ungepatcht bleiben, um die Sicherheit zu erhöhen.
Der folgende Abschnitt stellt ein Rahmenwerk vor, welches das komplexe Schwachstellenmanagement in vier verschiedene Zonen unterteilt: Jede Zone stellt eine Kombination aus Patch-Rate und Behebungszeit dar und bietet Einblicke in verschiedene Strategien und ihre Auswirkungen auf die Verbesserung von Cybersicherheitsmaßnahmen – und kann somit auch als Basis für Priorisierungsentscheidungen dienen. Abbildung 2 zeigt eine detaillierte Analyse der mit Ransomware-Angriffen verbundenen Schwachstellen: Jeder Kreis im Diagramm steht für eine einzelne Schwachstelle, deren Patch-Rate und MTTR durch dessen Position veranschaulicht wird.
„Zonen“ des Schwachstellen-Managements
Die vier Zonen sind wie folgt charakterisiert:
- Wachsame Alarmzone (Vigilant-Alert-Zone, oben rechts): Hier werden Schwachstellen schnell behoben (hohe Patch-Rate), aber es dauert lange, bis sie vollständig behoben sind (lange MTTR). Es ist wie bei der Feuerwehr, die einen Brand schnell erreicht, aber Zeit braucht, um ihn vollständig zu löschen.
- Optimale Sicherheitszone (Optimal-Security-Zone, unten rechts): Dies ist der Bereich, den jeder anstreben sollte. Schwachstellen in dieser Zone werden rasch gepatcht und schnell behoben – ein Markenzeichen für effektives Schwachstellenmanagement.
- Kritische Aufmerksamkeitszone (Critical-Attention-Zone, oben links): ein Bereich der „roten Flagge“ – dort eingeordnete Schwachstellen weisen niedrige Patch-Raten und lange Behebungszeiten auf und sind daher ein ernsthaftes Sicherheitsrisiko.
- Zone der unterschätzten Risiken (UnderestimatedRisk-Zone, unten links): Hier liegen die „übersehenen“ Schwachstellen – solche mit niedrigen Patch-Raten, aber überraschend kurzen Behebungszeiten. In diesem Quadranten fi ndet man die versteckten Gefahren, die oft ignoriert wurden, bis sie plötzlich kritisch werden.
Wer diese Prinzipien versteht und anwendet, kann Risiken besser priorisieren und seine Abwehr gegen komplexe Cyberbedrohungen verbessern. Der Kampf gegen Ransomware hängt heute entscheidend von einer effi zienten Patchverwaltung ab, was deutlich macht, wie wichtig eine schnelle und konsistente Anwendung von Patches für Unternehmen ist. Die Priorisierung dieser Strategie trägt dazu bei, Schwachstellen zu schließen und die Verteidigung gegen fortschrittliche Ransomware-Bedrohungen zu stärken. Dieser proaktive Ansatz ist nicht nur eine technische Notwendigkeit, sondern ein grundlegender Pfeiler für die Sicherung unserer digitalen Umgebung.
Fazit
Die Cyber-Bedrohungslandschaft des Jahres 2023, die von der Zunahme ausgeklügelter Ransomware-Angriffe dominiert wurde, erfordert im laufenden Jahr einen informierten und proaktiven Ansatz für die Cybersicherheit. Wenn Unternehmen diese Bedrohungen verstehen und gezielte Strategien umsetzen, können sie ihre Abwehr gegen Ransomware deutlich verbessern.
Wer im Kampf gegen Ransomware vorne bleiben will, muss informiert und vorbereitet sein. Ein einfaches, aber effi zientes Anti-Ransomware-Programm lässt sich beispielsweise über die folgenden drei Schritte aufbauen (Details siehe [3]):
- Action 1: Ransomware-Schwachstellen priorisieren (z. B. anhand der hier vorgestellten Einordnung)
- Action 2: Patch-Fokus auf verwundbare Assets legen, die von außen erreichbar sind
- Action 3: Patches für Systeme automatisieren, die Daten aus dem Internet verarbeiten (z. B. Browser und Document-Viewer – siehe auch [4])
Saeed Abbasi ist Product Manager der Threat Research Unit von Qualys.