PARTNER-POST Dossier kompakt in Kooperation mit Trend Micro

Phishing und Ransomware bereiten Unternehmen Sorgen

Uhr
von Daniel Schmutz, Head of Channel & Marketing Alps bei Trend Micro

Eine neue Studie von Trend Micro bestätigt, dass Ransomware und Phishing zu den aktuell wichtigsten Cyberbedrohungen zählen, mit denen Unternehmen zu kämpfen haben. Wie laufen diese modernen Angriffe ab, und wie können sich Unternehmen davor schützen?

(Source: ©zephyr_p - stock.adobe.com)
(Source: ©zephyr_p - stock.adobe.com)

Ransomware und Phishing-Angriffe sind auch weiterhin Mittel der Wahl vieler Cyberkrimineller, um möglichst hohe Profite zu erzielen. Das zeigt auch die von Osterman Research durchgeführte Studie «How to Reduce the Risk of Phishing and Ransomware». In der von Trend Micro gesponserten Umfrage unter IT-Fachkräften werden Phishing und Ransomware als die Cyberbedrohungen genannt, die den Befragten am meisten Sorgen bereiten.

Die meisten Ransomware-Angriffe heutzutage beginnen mit einer Phishing-Mail, die auf Mitarbeitende abzielt. Interessanterweise zeigen unsere Daten, dass diese Mails nicht mehr entweder einen mit einem Schädling versehenen Anhang oder einen bösartigen Link enthalten, sondern beides. Böswillige Akteure hoffen offenbar, dass ein Mitarbeiter auf das eine oder das andere hereinfällt. Dass sie damit regelmässig Erfolg haben, ist nicht verwunderlich. Viele Arbeitnehmende leiden unter hoher Arbeitsbelastung und Stress, dazu kommen seltene und unzureichende Sicherheitsschulungen.

Nach dieser Infiltration des Netzwerks bewegen sich die Akteure lateral zu den kritischen Geschäftssystemen, um die Ransomware zu platzieren. In der Regel stellt die Erpressung jedoch erst den letzten Schritt des Angriffs dar, da sie für das Opfer sichtbar ist. Bevor sie Daten verschlüsseln, haben die Angreifer diese wahrscheinlich bereits für einen doppelten Erpressungsversuch exfiltriert. In vielen Fällen sind diese beiden Bedrohungen also Teil eines einzigen Angriffs gegen ein Unternehmen und müssen als solche betrachtet werden.

Besorgniserregend an den Antworten in der Umfrage war, dass fast zwei Drittel der Befragten der Meinung sind, dass sie den aktuellen Phishing- und Ransomware-Risiken nicht besonders effektiv begegnen. Ein Teil der Herausforderung liegt darin, wie gut die Mitarbeitenden über diese Bedrohungen aufgeklärt sind. Aus der Umfrage geht hervor, dass nicht einmal die Hälfte (45 Prozent) ziemlich oder vollständig davon überzeugt ist, dass alle Mitarbeitenden einen mail-basierten Phishing-Angriff erkennen können. Deshalb ist allen Unternehmen, die sich vor Phishing schützen wollen, eine Reihe von Massnahmen zu empfehlen:

  • Aktivieren Sie Multifaktor-Authentifizierung für Mail-Konten, um das Risiko zu minimieren, dass diese kompromittiert und für Angriffe verwendet werden.

  • Aktivieren Sie KI/ML innerhalb Ihrer Mail-Sicherheitslösungen, insbesondere wenn Sie Office365 verwenden.

  • Schulen Sie Ihre Mitarbeitenden zu Phishing und helfen Sie ihnen, verdächtige Mails zu erkennen. Dabei ist vor allem regelmässiges Wiederholen wichtig. Ein Training allein genügt nicht, um ein angemessenes Bewusstsein zu schaffen.

Zum Schutz vor Ransomware-Angriffen sind einige Massnahmen zu beachten:

  • Aktivieren Sie Multifaktor-Authentifizierung für Admin-Konten sowie für jedes Konto, das auf einem internetfähigen Gerät besteht.

  • Patchen Sie Ihre Anwendungen und Betriebssysteme, und nutzen Sie, wo nötig, virtuelles Patching.

  • Setzen Sie EDR/XDR-Lösungen ein, die helfen können, Frühwarnaktivitäten zu identifizieren, die zu einem Ransomware-Angriff führen.

  • Führen Sie eine 3-2-1 Backup-Strategie ein.

  • Entwickeln Sie ein unternehmensweites Schulungsprogramm für bessere Security-Awareness und stellen Sie insbesondere sicher, dass neue Mitarbeitende und Dienstleister eine umfangreiche Einführungsschulung durchlaufen.

=======

Feiertage sind bei Kriminellen besonders beliebt

Der Cyberangriff auf den IT-Management-Softwareanbieter «Kaseya» hat hohe Wellen geschlagen: Über 1000 Unternehmen waren betroffen, Supermarktketten mussten schliessen. Warum der Fall typisch ist für die aktuelle Bedrohungslage und was man daraus lernen kann, erklärt Daniel Schmutz, Head of Channel & Marketing Alps bei Trend Micro. Interview: Marc Landis

Die Welle an aufsehenerregenden Ransomware-Angriffen scheint nicht abzureissen. Erst vor Kurzem machte der Angriff auf das Softwareunternehmen Kaseya Schlagzeilen. Inwiefern ist dieser typisch für aktuelle Bedrohungen?

Daniel Schmutz: In einem entscheidenden Punkt unterscheidet sich der Fall «Kaseya» von anderen Attacken der letzten Zeit: Die Angreifer nutzten hier eine bisher unbekannte Schwachstelle, eine sogenannte Zero Day. Derartige Angriffe sind jedoch eher selten. In aller Regel setzen die Kriminellen bei ihren Angriffen eher auf die «Schwachstelle Mensch», etwa durch Phishing-Mails. Typisch war hingegen der Zeitpunkt des Angriffs am Freitagnachmittag vor einem langen Wochenende anlässlich des US-Nationalfeiertags am 4. Juli. Feiertage sind bei Kriminellen besonders beliebt. Vor dieser Taktik warnen wir schon länger explizit.

Viele Opfer dieses Angriffs sind entweder Managed Service Provider, die Kaseya-Software nutzen, oder deren Kunden. Welche Rolle spielen solche digitalen Lieferketten für die Cybersicherheit?

Der Vorfall weist tatsächlich Parallelen zu sogenannten Supply-Chain-Angriffen auf. Dabei infizieren die Täter zunächst IT-Dienstleister und nutzen deren IT-Verbindungen zu anderen Unternehmen, etwa Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen. Im Gegensatz zu «klassischen» Angriffen werden dabei die Sicherheitslösungen am Endpunkt umgangen. So können die Täter ihr Opfer schnell ausschalten und sich quasi unerkannt in Systemen lateral bewegen. Je grösser der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden kann. Supply-Chain-Angriffe sind eher selten, weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind. Ihre Wirkung ist allerdings oft fatal, geht es doch um den Verlust von Daten, Reputation und Vertrauen der Kunden.

Wie können sich Unternehmen vor solchen Attacken schützen?

Eine immer wichtigere Rolle spielen Technologien zur Erkennung und Bekämpfung von Angriffen (Detection & Response). Da diese modernen Attacken versuchen, die Sicherheitslösung an den Endpunkten zu umgehen, sollte die Lösung zusätzlich das Netzwerk, die Server und vorhandene Cloud-Infrastrukturen umfassen. Ein Muss ist auch die Einbindung der Mail-Security. Immerhin sind E-Mails noch immer mit Abstand der wichtigste Angriffsvektor für Ransomware. Mit einer solchen Detection-&-Response-Lösung haben Unternehmen eine gute Visibilität über ihre gesamte IT-Infrastruktur. So können sie schnell reagieren, falls irgendwo ungewöhnliche Vorkommnisse auftreten.

Welche Rolle spielen dabei Technologien wie maschinelles Lernen und künstliche Intelligenz?

Diese Technologien sind für uns inzwischen unverzichtbar. Tatsächlich erkennen ML-Scanner Ransomware so gut, dass böswillige Akteure inzwischen routinemässig Sicherheitsagenten ausschalten müssen, die diese ausführen. Nur so können sie sicherstellen, dass Systeme mit ihrer Malware infiziert werden. Beunruhigend ist jedoch, dass bei Weitem noch nicht alle diese Technologien durchgehend einsetzen. Wir sehen immer wieder Fälle von infizierten Unternehmen, deren Security-Lösungen ML/KI-Technologien unterstützen, die diese jedoch einfach nicht aktiviert haben. Hier kann schon ein Klick in der Management-Konsole das Sicherheitsniveau deutlich steigern.

Webcode
DPF8_224862