Wieder einmal hat es einen Großen der IT-Zunft erwischt. Die Rede ist von der Ransomware-Attacke, die vor etwa zwei Wochen die Ceconomy AG ereilte, zu der die Elektronikfachmärkte Mediamarkt und Saturn gehören. Dabei wurden mehrere Tausend Windows-Server von einem Kryptotrojaner befallen, was zu massiven Einschränkungen im Tagesablauf führte, da zahlreiche Kassensysteme vom Netz genommen werden mussten.
Und das ist beileibe kein Einzelfall, ganz im Gegenteil. Denn nahezu täglich trifft es Unternehmen und Behörden, die entweder nicht passend oder gar nicht vor Cyberangriffen geschützt sind. Doch warum ist das so und was können Firmen dagegen tun? Darüber habe ich mit Mark Sobol von der SVA GmbH und Matthias Canisius von SentinelOne gesprochen. Das komplette Video dazu befindet sich am Ende des Beitrags.
[irp posts=“168385″ ]
So bewerten SentinelOne und SVA den Ransomware-Angriff auf MediaMarkt und Saturn
Für Mark Sobol ist an diesem Sicherheitsvorfall nichts Besonders, er fällt eben nur ein wenig prominenter aus. Für ihn stellt diese Ransomware-Attacke auf MediaMarktSaturn lediglich die Spitze des Eisbergs dar, was im Grunde die zahlreichen ähnlichen Angriffe auf andere Firmen und Behörden belegen. Ob das eine bekannte Firma aus dem süddeutschen Raum ist oder kommunale Behörden in Mecklenburg-Vorpommern – die Liste ließe sich beliebig verlängern, und daran wird sich wohl auch erst einmal nichts ändern.
Hauptgrund für diese Vorfälle ist schlichtweg, dass viele Unternehmen nach wie vor die zur Verfügung stehende Sicherheitstechnik entweder ignorieren oder nicht sachgemäß einsetzen, um sich vor möglichen Cyberattacken zu schützen.
Das kann Matthias Canisius nur bestätigen und ergänzt das um einen weiteren, interessanten Aspekt. Denn die Zunahme an Ransomware-Vorfällen hat nicht nur mit fehlenden oder fehlerhaft implementierten Schutzschilden zu tun, sondern auch mit der gestiegenen „Cleverness“ vieler Angreifer. Die machen sich nämlich unter anderem den Umstand zunutze, dass Daten und die zugehörige Infrastruktur überall verfügbar sind, was das „Abgreifen“ der für einen Cyberangriff benötigten Informationen immer einfacher macht. Damit ist ein Umdenken erforderlich, was notwendige Sicherheitsvorkehrungen betrifft.
[irp posts=“161342″ ]
Darum kommen Sicherheitsvorfälle aller Warnungen zum Trotz permanent vor
Mark hat einen differenzierten Blick auf mögliche Gründe, warum Ransomware-Attacken wie auf MediaMarktSaturn regelmäßig stattfinden. Zum einen hat es damit zu tun, dass vor allem im Firmenmanagement dem Thema Sicherheit oft nicht die Wichtigkeit beigemessen wird, das es eigentlich verdient hätte. Ein anderer wesentlicher Aspekt ist das Fehlen benötigter Sicherheitsexperten, die sich um die richtigen Maßnahmen und Tools kümmern können. So bleiben viele Stellen laut Mark seit Jahren unbesetzt, weil Firmen und Behörden bei der Suche nach geeignetem Personal kaum Erfolge vorzuweisen haben.
Eine Folge davon: Zur Verfügung stehende Securitytools, die unter Zuhilfenahme automatisierter Prozesse für mehr Sicherheit sorgen können, werden aus Unwissenheit nicht eingesetzt. Was die Sicherheit zusätzlich und unnötigerweise verschlechtert.
Auch in diesem Punkt verweist Matthias auf das exponentielle Wachstum der Daten sowie auf die Zunahme an „schlaueren“ Angriffsmethoden. Auch diesen Aspekten und möglichen Angriffsszenarien können Unternehmen nicht mehr mit Werkzeugen allein begegnen. Hierfür sind automatisierte Sicherheitstools unentbehrlich. Daher verwundert es kaum, dass die Nachfrage nach Managed Security Services stetig zunimmt. Denn eines haben viele Unternehmen dann doch verstanden: Die Hilfe bei den sicherheitsrelevanten Maßnahmen kann nicht mehr rein intern geschehen, sondern muss verstärkt von außen kommen.
[irp posts=“158010″ name=“MITRE Engenuity-Sicherheitstest zeigt: SentinelOne kommt den Hackern auf die Spur Upd“]
Auf die richtigen Maßnahmen nach einer erfolgten Cyberattacke kommt es an
Doch was ist zu tun, wenn – wie im Falle der MediaMarktSaturn Retail Group – ein Ransomware-Angriff erfolgt ist? Hierfür haben Mark und Matthias die passenden Tipps parat:
- Zum einen ist zu unterscheiden zwischen Erstreaktion und Beseitigung des Schadens, wie Mark das nennt. Dazu kann im schlimmsten Fall auch das Bezahlen des geforderten Lösegelds gehören, falls die verschlüsselten Daten nicht mehr zu retten sind. Daraus leitet sich der dringende Hinweis ab, regelmäßig Backups zu erstellen, sodass im Falle eines Ransomware-Angriffs die Daten wiederhergestellt werden können.
- Mithilfe geeigneter Incident Response-Maßnahmen lässt sich im besten Fall mithilfe geeigneter Tools der Status Quo wiederherstellen, der vor der Cyberattacke bestand. Hierfür sind im Vorfeld bestimmte Aufgaben zu erledigen und eine Plattform erforderlich, die solch ein Wiederherstellen der Daten überhaupt ermöglicht. Gemeint sind hierbei Werkzeuge, die sowohl ein Compromise Assessment Management als auch das Bereinigen der betreffenden Daten ermöglichen.
- Für diese und weitere Maßnahmen arbeitet SVA mit SentinelOne eng zusammen, die auf solche Arbeiten spezialisiert sind, wie ich in der Vergangenheit ja schon des Öfteren gezeigt habe.