Ransomware, Phishing, Scamming: Cyberkriminalität boomt und lässt uns täglich neue Begriffe und Techniken kennenlernen. Viele Unternehmen schützen sich weitestgehend, aber viele wiegen sich auch in falscher Sicherheit. Sicherheitssoftware-Hersteller Sophos hat die 10 häufigsten Fehleinschätzungen des letzten Jahres zusammengefasst.
- "Unser Unternehmen ist zu uninteressant für eine Attacke"
Kriminelle nutzen günstige Gelegenheiten – unabhängig von der Größe, dem Erfolg oder dem Umsatz des Unternehmens. Somit können alle Firmen und jede Person mit digitaler Präsenz Opfer einer Cyberattacke werden. Dabei greifen Hacker* vor allem Unternehmen mit offenen Sicherheitslücken oder Fehlkonfigurationen an.
- "Unser Endpoint-Schutz reicht vollkommen aus"
Hacker* finden täglich neue Methoden, wie sie Endpoint Software umgehen oder unbemerkt deaktivieren können. Ob mit Social Engineering, verschleiertem Schadcode oder Malware-Angriffen: die Liste ist lang und traditionelle Antiviren-Technologien haben es schwer, solche Aktivitäten zu erkennen und blockieren.
Darüber hinaus können gehackte Endpoints die Tür zu weiteren, ungeschützten Servern sein. Beispielsweise kann auf einem gehackten Rechner eine Hintertür installiert werden, sodass die Angreifer* von dort aus stets Zugriff auf das anvisierte Netzwerk haben. Laut Sophos sind Server das beliebteste Angriffsziel von Hackern*.
Fazit: Neben Basissicherheit durch Endpoint-Schutz sind fortschrittliche Sicherheitstools wie beispielsweise verhaltens- und AI-basierte Erkennung oder eigene Sicherheitsmaßnahmen auf Servern zwingend nötig, um ausreichend Schutz sicherzustellen.
- "Unsere Sicherheitsrichtlinien sind bewährt und schützen uns gut"
Das mag zwar sein – aber Sicherheitsrichtlinien, die nicht ständig überprüft und aktualisiert werden, veralten schnell und bilden somit wieder eine Schwachstelle. Es ist essenziell darauf zu achten, dass die Sicherheitsrichtlinien stets an der aktuellen IT-Infrastruktur angepasst sind.
- "Remote Desktop Protocol (RDP)-Server schützen wir, indem wir Ports ändern und Multi-Faktor-Authentifizierungen benutzen"
Selbst diese zwei Maßnahmen schützen RDP-Server nicht ausreichend. Zwar können Sie die Ports stets ändern, aber wenn Hacker* nach Schwachstellen suchen, passiert dies vollkommen unabhängig von dem von Ihnen verwendeten Port.
Zusätzlich ist die Multi-Faktor-Authentifizierung zwar wichtig und richtig, schützt jedoch auch nur dann, wenn wirklich alle Mitarbeiter und jedes Gerät diese verwendet. Außerdem ist es zwar empfehlenswert, RDP-Aktivitäten innerhalb eines virtuellen privaten Netzwerkes (VPN) durchzuführen. Dies schützt aber nur bedingt, wenn die Angreifer* bereits einen Fuß in diesem Netzwerk haben. Schlussendlich ist es empfehlenswert, die Verwendung von RDP so weit wie möglich einzuschränken.
- "Wir blockieren IP-Adressen aus Hochrisiko-Regionen wie Russland, China und Nordkorea und sind so gegen Angriffe geschützt"
Keine schlechte Idee, dennoch sollte man sich nicht ausschließlich darauf verlassen: Mittlerweile können Hacker* ihre Angriffe auch von vielen eigentlich vertrauenswürdigen Ländern hosten, wie beispielsweise aus Amerika oder Europa.
- "Da wir viele Backups haben, sind wir immun vor den Auswirkungen von Ransomware"
Zwar sind Backups in vielen Fällen sehr wichtig, jedoch stellen sie ebenso angreifbare Ziele dar. Sobald der Angreifer* nämlich Zugriff zum Netzwerk hat, können sie die Backup-Systeme, die mit dem Netzwerk verbunden sind, verschlüsseln, löschen oder deaktivieren. In diesem Fall hat sich auch die Begrenzung der Anzahl Personen, die Zugriff auf das Backup haben, nicht bewährt: Die Hacker* haben höchstwahrscheinlich alle Zugangsdaten im Netzwerk bereits ausfindig gemacht.
Auch bei der Speicherung der Backups in einer Cloud sollte man vorsichtig sein: Sophos untersuchte einen Fall, in dem ein Cloud-Service-Provider von den Hackern* kontaktiert wurde bezüglich eines angeblich gehackten IT-Administrator-Kontos mit der Aufforderung, alle Backups zu löschen. Erschreckenderweise kam der Anbieter daraufhin der Aufforderung nach.
Wenn Sie sich unsicher bezüglich der sicheren Speicherung Ihrer Backups sind, denken Sie einfach an die goldene und bewährte 3-2-1 Regel: Am besten speichern Sie 3 Kopien auf 2 unterschiedlichen Medien, wobei Sie 1 Backup-Kopie an einem externen Speicherort aufbewahren. Hierfür bieten wir bei REISSWOLF gerne unsere Datenkoffer an, die in einem Hochsicherheitsarchiv trocken & sicher eingelagert werden.
- "Unsere Mitarbeiter* können mit solchen Vorfällen umgehen"
Dies ist die fundamentale Basis, die es jedoch stets auszubauen gilt. Hacker* werden immer raffinierter, sodass beispielsweise Phishing-E-Mails immer schwieriger zu erkennen sind. Die regelmäßige und häufige Schulung von Mitarbeitern* ist daher das A & O, um sie für die sich ständig verbessernden Arten von Attacken zu wappnen.
- "Meine Daten können nach einem Ransomware-Angriff wiederhergestellt werden"
Leider passieren Hackern* heute kaum noch Fehler und deren Verschlüsselungsprozesse haben sich enorm verbessert. Mittlerweile sind nämlich auch automatische Backups von Ransomware betroffen, weshalb das Wiederherstellen von Originaldaten kaum noch möglich ist. Da können auch Spezialisten* wohl kaum noch etwas retten.
- "Wenn wir das Lösegeld zahlen, dann bekommen wir unsere Daten wieder"
Das ist wahrscheinlich der bitterste Irrtum: Laut der "State of Ransomware"-Studie 2021 bekommen Unternehmen, die das Lösegeld zahlen, durchschnittlich nur 65% der Daten wieder. 29% der Unternehmen bekommen sogar weniger als die Hälfte wieder und nur 8% können sämtliche Daten wiederherstellen.
Darüber hinaus stellt die Wiederherstellung der Daten nur das kleinste Stück des Kuchens dar. Da in den meisten Fällen die Computer komplett lahmgelegt sind, müssen Software und Systeme von Grund auf neu aufgesetzt werden. Laut der "State of Ransomware"-Studie sind diese Wiederherstellungskosten rund zehnmal so hoch wie die Lösegeldforderungen.
- "Sobald wir den Ransomware-Angriff überstanden haben, sind wir wieder vollkommen sicher"
Auch dies ist leider selten der Fall. Der effektive Ransomware-Angriff und die Lahmlegung des gesamten IT-Systems ist erst der Zeitpunkt, an dem die Aktivitäten der Hacker* sicht- und spürbar werden. Meistens befanden sich die Angreifer* schon Wochen davor im Netzwerk. So konnten sie Backups deaktivieren oder löschen, Backdoors installieren oder wichtige Informationen löschen.
Eines der effektivsten Mittel, um sich vor Cyberattacken zu schützen, ist das Wissen, was funktioniert und was nicht, stets aktuell zu halten. Deswegen teilen wir gerne und regelmäßig solch hilfreiche Tipps. Wer keine große eigene IT-Abteilung hat, sollte unbedingt externe Fachleute einbinden, um weiterhin erfolgreich unternehmerisch tätig sein zu können. Bleiben Sie unbeschadet!
*w/m/d