Cyberangriffe nehmen in Quantität und an Raffinesse zu. Diese Entwicklung veranlasst Unternehmen, in umfassende Schutzmaßnahmen zu investieren – vor allem an der vordersten Verteidigungslinie der Unternehmensnetzwerke und -systeme. Sie schützen sich mit verhaltensbasierter Endpoint-Security, beschäftigen sich mit der IT-Sicherheit von Netzwerken; sie binden EMail- und Cloudsecurity ein. Kurzum: Sie tun an der Frontline alles, um ein bösartiges Eindringen in die firmeneigenen Infrastrukturen zu verhindern.

Trotzdem schaffen es Hacker immer wieder, die Sicherheitsbarrieren zu überwinden, wobei sich besonders die Double-Extortion-Angriffe als äußerst gefährlich erweisen. Bei diesen Attacken gehen Cyberkriminelle über die herkömmliche Vorgehensweise eines Ransomware-Angriffs hinaus. Sie verschlüsseln nicht nur die Daten und fordern Lösegeld, sondern exfiltrieren vorher sensible Informationen. Dies eröffnet ihnen eine weitere Möglichkeit, die betroffene Firma zu erpressen. Denn unabhängig davon, ob Lösegeld für die Entschlüsselung gezahlt wird oder nicht, können sie mit der Veröffentlichung sensibler Daten drohen.

Der aktuelle Rubrik Zero Labs Report – "Die bittere Wahrheit der Datensicherheit" – zeigt, dass fast alle in Deutschland befragten Unternehmen (98 Prozent) 2022 von mindestens einem Cyberangriff auf ihre Systeme erfahren haben. Rund die Hälfte (51 Prozent) gab an, mit einem Ransomware-Angriff konfrontiert gewesen zu sein. 57 Prozent von ihnen bezahlten Lösegeld. Dennoch konnte nur knapp ein Viertel dieser Organisationen alle Daten erfolgreich wiederherstellen. Die Gründe dafür sind vielfältig. Teilweise geben Erpresser den Key für die Entschlüsselung trotz Zahlung nicht zurück, sondern erhöhen die Forderung sogar. Oder die bereitgestellten Werkzeuge der Kriminellen können Datenbanken und andere Informationen selbst mit dem Schlüssel nicht korrekt entschlüsseln und wiederherstellen.

Unternehmen kämpfen jedoch häufig auch aufgrund interner Hindernisse damit, sich von einem Ransomware-Angriff zu erholen. Sei es, weil sie keine regelmäßigen und vollständigen Backups durchgeführt, nicht alle betroffenen Systeme und Daten identifiziert oder nicht sofort auf den Angriff reagiert und die dringend erforderlichen Gegenmaßnahmen ergriffen haben.

Auch der Einsatz angreifbarer Sicherungen stellt ein großes Hindernis dar. Denn Frontline-Security konzentriert sich darauf, die IT-Infrastruktur vor Angriffen zu schützen und Letztere frühzeitig zu erkennen.

Nach einem Vorfall allerdings fehlen dem Admin oft die Informationen, die er braucht, damit das Unternehmen schnell wieder in den Normalbetrieb übergehen kann. Ein IT-Team muss wissen, welche Daten kompromittiert wurden – und seit wann. Es muss sicherstellen, dass die Daten sauber sind, wenn der Geschäftsbetrieb ohne größere Unterbrechungen fortgesetzt werden soll.

Stehen die dafür benötigten Berichte rechtzeitig zur Verfügung, können ITVerantwortliche adäquat handeln und den Schaden wirkungsvoll begrenzen. Die Geschäftsleitung kann die firmeneigene IT-Sicherheitsstrategie weiter stärken, wenn sie die digitale Widerstandsfähigkeit ausbaut. Cyberresilienz bezieht sich hierbei darauf, wie schnell ein Unternehmen auf einen Angriff reagieren, den Blast Radius des Angriffs bestmöglich begrenzen und sich davon erholen kann. Es geht darum, proaktive Schutzmaßnahmen zu ergreifen, aber auch darum, auf Angriffe vorbereitet zu sein und einen klaren Plan zu haben, wie darauf zu reagieren ist. Ein wichtiger Baustein: Der Einsatz unveränderlicher Backups. Unveränderlichkeit bedeutet, dass einmal geschriebene Daten nicht von außen verändert, gelöscht oder verschlüsselt werden können. Damit lässt sich der Geschäftsbetrieb nicht nur sicherer und schneller wieder aufnehmen, sondern auch die Notwendigkeit einer Lösegeldzahlung verhindern – weil das IT-Team stets das Ass eines unverschlüsselten Backups im Ärmel hat.

Es reicht nicht mehr, den Perimeter zu verteidigen und Eindringlinge fernzuhalten. In der heutigen Zeit, in der Clouddienste, mobile Geräte und die zunehmende Vernetzung von Systemen und Diensten die Norm sind, hat sich das Bedrohungsszenario grundlegend geändert. Perimeterschutz als Verteidigungsstrategie ist zu wenig. Stattdessen gewinnt Zero Trust an Bedeutung. Bei diesem Ansatz gehen die IT-Sicherheitsteams davon aus, dass jede Ressource, jede Verbindung und jedes Gerät potenziell verdächtig ist. Nehmen die IT-Teams zusätzlich an, dass das System bereits gehackt wurde oder in Zukunft gehackt wird, dann verfolgen sie einen Assume-Breach-Ansatz. Mit gesundem Misstrauen ausgestattet, überwachen sie die internen Netzwerke und Datenzugriffe, analysieren sie und sichern sie ab.

Um sensible Daten Compliance-konform schützen zu können, müssen die Teams genau wissen, wo diese liegen und wer darauf Zugriff hat. Dabei können Tools helfen, die das laufende System monitoren und automatische Berichte erstellen. Die Scans der Produktivsysteme gehen jedoch immer zulasten der Performance, weil das Monitoring wertvolle Kapazitäten erfordert.

Sicherheitskopien hingegen schlafen auf einem Backupsystem. Sie warten darauf, im Bedarfsfall restauriert zu werden und verbrauchen Speicherplatz. Warum also sollten Unternehmen sie nicht nutzen, um die für eine starke Cyberresilienz nötigen Berichte zu erstellen – ohne dabei die Produktivsysteme zu belasten?

Ein solcher Bericht kann beinhalten, dass sich auf einem bestimmten Server eine Excel-Datei mit sensiblen Informationen befindet. Zugriffsrechte wurden nicht beschränkt, jeder darf sie öffnen, lesen und kopieren. Für Angreifer also ideal, um sie bei einem Double-Extortion-Ransomware-Angriff zu exfiltrieren. Oder jemand hat aus einer Datenbank einen Datensatz kopiert und ihn per E-Mail verschickt. Dann liegen die Daten nicht nur dort, wo der Admin sie vermutet – zum Beispiel auf dem Datenbankserver der Personalabteilung –, sondern auch noch im EMail- System. Wenn er das weiß, kann er Abhilfe schaffen, bevor es zu spät ist.

Cyberkriminelle können an verschiedenen Stellen in der Unternehmensinfrastruktur Daten abgreifen. Im Backupsystem lässt sich Malware nachträglich aufspüren, sodass das Sicherheitsteam schnell und angemessen reagieren kann. Voraussetzung ist, dass Datenbewegungen kontinuierlich überwacht und unregelmäßige Aktivitäten frühzeitig identifiziert werden. Daraufhin kann die Geschäftsleitung angemessene Gegenmaßnahmen beschließen, bevor größerer Schaden entsteht.

Durch Backupscans lässt sich auch herausfinden, welche Art von Malware das System infiltriert hat, sowie der Eintrittspunkt, der Eintrittsort und der Zeitpunkt des Angriffs. Dafür lassen sich Sicherungsversionen von unterschiedlichen Zeitpunkten miteinander vergleichen. Admins können so leichter nachvollziehen, wie die Schadsoftware in das System gelangen konnte – durch unbedachte Klicks zum Beispiel, die Verwendung von USB-Sticks oder Zero-Day-Exploits. Auf diese Weise identifizieren Sie potenzielle Schwachstellen und können ihre Cyberabwehrstrategie gezielt optimieren.

Ein weiterer Vorteil ist, dass die Angreifer selbst nichts von den Aktivitäten mitbekommen und deshalb Gegenmaßnahmen nicht verhindern können. Infizierte Snapshots wandern einfach in die Quarantäne, um zu vermeiden, dass sich der Schadcode nach dem Wiederherstellen des Systems erneut einnistet.

Mithilfe spezieller Operationen und Workflows, die sich nahtlos mit anderen Sicherheitstools integrieren lassen, tauschen Admins gezielt Informationen aus und lösen auf Basis von Suchergebnissen automatisierte Reaktionen aus. Diese präzise Datenanalyse und enge Zusammenarbeit mit Sicherheitstools ermöglicht es, Schadsoftware effektiv aufzuspüren und auszuschalten.

Wenn eine Firma Opfer einer Hackerattacke wurde, ist die Hauptaufgabe des ITTeams, das System so schnell wie möglich wieder auf den gewünschten Stand zu bringen. Die Rolle effektiver und unveränderbarer Backups ist dabei nicht zu unterschätzen. Sie ermöglicht es, Daten zuverlässig zu rekonstruieren, ohne Lösegeld zahlen zu müssen. Des Weiteren dient sie als Schutzschild gegen die doppelte Bedrohung von Datenverschlüsselung und -exfiltration. Für Unternehmen ist es daher wichtig, neben dem Frontline-Schutz die Cyberresilienz auszubauen: IT-Sicherheitsteams sollten ihre Cybersicherheitsstrategien dahingehend anpassen und Backups nicht nur als Sicherungskopien betrachten, sondern als proaktive Abwehrmaßnahme. Die Aufgabe digitaler Widerstandsfähigkeit ist es, die Folgen von Cyberangriffen zu minimieren und das Risiko einer Veröffentlichung sensibler Daten zu reduzieren.