News und Produkte
Die Ransomware-Zahlungsbereitschaft hat sich innerhalb eines Jahres drastisch erhöht. Immer mehr Unternehmen zahlen Lösegeld, um verschlüsselte Daten zurückzuerhalten. Doch Experten warnen: Dies fördert weitere Cyberangriffe auf Unternehmen und garantiert keine Entschlüsselung.
Ransomware: Zahlungsbereitschaft versechsfacht?
Die Zahl der Angriffe durch Ransomware ist im Vergleich zum Vorjahr zwar gesunken, zugleich sei die Zahlungsbereitschaft der Unternehmen jedoch deutlich gestiegen, berichtet Barracuda aufgrund von Erkenntnissen aus einer Umfrage bei Security Führungskräften und -Mitarbeitern von rund 145 Organisationen aus EMEA. Rund ein Drittel (30 %) der Teilnehmer gab dabei an, Opfer eines Ransomware-Angriffs geworden zu sein, was einen deutlichen Rückgang im Vergleich zum Vorjahr bedeutet, wo das noch für 48 % galt. Auch die Einschätzung der Bedrohungslage ging leicht zurück, wenngleich mit 84 % noch immer eine große Mehrheit der Befragten in Ransomware eine besorgniserregende Bedrohung der Unternehmenssicherheit sieht (2017: 91 %).
Ein großer Unterschied zeigte sich in der Bereitschaft von Unternehmen, Lösegeld zu bezahlen: Während 2017 gerade einmal 3 % der betroffenen Organisationen ihre böswillig verschlüsselten Daten von Cyberkriminellen freikauften, stieg dieser Anteil in der aktuellen Umfrage auf 19 %, hat sich also in nur einem Jahr mehr als versechsfacht. Ein möglicher Grund hierfür könnte eine sinkende Hemmschwelle bei Unternehmen sein, Daten freizukaufen, wenn sie dies bereits in der Vergangenheit erfolgreich getan haben, mutmaßt Barracuda – ebenso sei ein gestiegenes Bewusstsein für negative Folgen eines Datenverlusts denkbar.
Als Hebel für Ransomware dienen weiterhin vor allem Phishing-Angriffe per E-Mail. Fast drei Viertel (74 %) der Befragten nannten diesen Weg (+4 %-Pkt., vgl. Abb. 1). Ein umfassender Plan zur Abwehr von Abbildung 1: Ursprung von Ransomware-Angriffen Phishing-Angriffen inklusive Mitarbeiterschulungen für die Unternehmenssicherheit sei deshalb eine notwendige Konsequenz. Immerhin 35 % der Befragten sehen solche Maßnahmen als kritisch für die Abwehr von Gefährdungen per E-Mail an – 65 % haben auch tatsächlich Trainingsprogramme für Mitarbeiter zur Phishing-Abwehr umgesetzt. Die Einschätzung sinnvoller Alternativen zum klassischen Frontalunterricht zeigt Abbildung 2.
60 % setzen bei der E-Mail-Security Hoffnungen in die Möglichkeiten der künstlichen Intelligenz (KI) – weitere erwartete Anwendungsfelder zeigt Abbildung 3. Bis solche Lösungen existieren, empfiehlt Barracuda als Best Practice: Sichere Backups anlegen und nicht auf Forderungen von Erpressern eingehen! Kein Lösegeld zu bezahlen, bleibe weiterhin die Empfehlung durch offizielle Stellen und Sicherheitsexperten. „Zwar bestätigen Ausnahmen die Regel – etwa, wenn Leib und Leben bedroht sind. Generell aber raten wir davon ab, Kriminellen Lösegeld zu zahlen, da dies die Entschlüsselung der Dateien nicht garantiert und Kriminelle dazu ermutigt, das Opfer in Zukunft wieder ins Visier zu nehmen“, betonte Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks. Je weniger Unternehmen bereit seien zu zahlen, desto schneller sinke die Attraktivität von Ransomware als lukratives Geschäftsmodell für Cyberkriminelle.
Regelmäßige Backups und die Einhaltung der „3-2-1“-Backup-Regel könnten zudem die Auswirkungen von Ransomware erheblich begrenzen und sicherstellen, dass betroffene Organisationen erst gar nicht gezwungen werden können, verschlüsselte Daten freizukaufen:
- Machen Sie 3 Kopien sämtlicher Daten
- Speichern Sie diese Kopien in 2 verschiedenen Umgebungen (z. B. Cloud und On-Premise)
- Bewahren Sie 1 Sicherungskopie außerhalb des Unternehmens auf, damit sie vor physischen Bedrohungen wie Naturkatastrophen geschützt ist
Die genannten und weitere Ergebnisse der EMEA-Umfrage stehen als 11-seitiges Whitepaper „The Email Threat: Key Concerns of EMEA IT Stakeholders and the Vital Role of Staff Training“ unter http://cuda.co/pdf33055 kostenlos zum Download zur Verfügung. (www.barracuda.com)
Pentest-Erfahrungen
Mit seinem Sicherheitsreport „Under the Hoodie 2018“ will Rapid7 die Praxis von Penetrationstests entmystifizieren und beschreibt darin, welche Sicherheitslücken Pentester des Unternehmens während eines zehnmonatigen Untersuchungszeitraums am häufigsten bei ihren Kunden beobachtet haben – von Software-Schwachstellen über Fehlkonfigurationen im Unternehmensnetzwerk bis hin zu unsicheren Passwörtern.
Insgesamt konnten die Pentester von Rapid7 nach Angaben des Unternehmens bei 84 % ihrer Einsätze im Auftrag der Kunden mindestens eine produktive Schwachstelle ausnutzen. Diese Zahl steigt bei rein intern durchgeführten Penetrationstests sogar auf 96 % – nur 4 % der untersuchten Unternehmen wiesen also keine Sicherheitslücke auf, die sich die „Angreifer“ zunutze machen konnten.
In 80 % der Fälle waren die Pentester zudem in der Lage, mindestens eine Netzwerkfehlkonfiguration zu missbrauchen – bei internen Tests konnten sie ebenfalls wieder bei fast jedem ihrer Einsätze (96 %) eine Fehlkonfiguration finden. Die nebenstehende Grafik zeigt die Top-6-Fehler, die dabei zutage traten.
Darüber hinaus gelang es den Auftragshackern, bei 53 % ihrer Untersuchungen mindestens einen Satz von Anmeldedaten zu stehlen –konnten sie eine LAN- oder WLAN-Verbindung ausnutzen, dann schafften sie es sogar in 86 % der Einsätze (Engagements), Logindaten von Unternehmensnutzern zu erfassen.
Ihr ultimatives Ziel erreichten die Tester in 28 % aller Fälle: Hier konnten sie letztlich die vollständige administrative Kontrolle über das Netzwerk der Zielorganisation erlangen. Bei internen Pentests, wo Schwachstellen, Fehlkonfigurationen und Logindaten einfacher zu finden sind, stieg dieser Prozentsatz sogar auf 67 %. Die Mehrheit der Rapid7-Pentester konnte ihre Angriffe übrigens dem Unternehmen zufolge völlig ungestört ausführen – denn in 61 % der Fälle blieben die Aktivitäten der beauftragten Eindringlinge während der Untersuchung im Ziel-Unternehmen unbemerkt.
Der vorliegende Bericht „Under the Hoodie – Lessons from a Season of Penetration Testing“ basiert auf 268 Pentest-Einsätzen im Zeitraum September 2017 bis Juni 2018 bei Unternehmen aller Größen und aus allen Branchen. Über www.rapid7.com/info/under-the-hoodie/ sind sowohl eine ExecutiveSummary und ein paar kurze Videoclips der Pentester als auch der vollständige Bericht als 41-seitiges PDF in englischer Sprache kostenlos verfügbar – nach Registrierung kann zudem ein On-demand-Webcast abgerufen werden.
(www.rapid7.com)