Ransomware-Versicherung: Wann die Erpresser ohne Beute abziehen

Cyberpolicen sind meist ein Service-Koppelprodukt, das zum einen Kosten übernimmt, zum anderen im Ernstfall Erste Hilfe leistet, damit sich der Schaden in Grenzen hält. Das klappt aber nur, wenn das Ransomware-Opfer auf eine Datenwiederherstellung gefasst ist und für praktikable Backups gesorgt hat.

© Leon – stock.adobe.com
Bild: © Leon – stock.adobe.com

Backup oder Lösegeld

Von Dirk Bongardt

Kriminelle, die Lösegelder in Millionenhöhe erpressen wollen, müssen weder die Kinder reicher Unternehmer kidnappen noch damit drohen, Bomben in Kaufhäusern zu zünden. Es muss ihnen lediglich gelingen, Daten von Bedeutung in den IT-Systemen ihrer Opfer zu verschlüsseln, von denen keine Sicherung existiert. Allzu oft gelingt es ihnen auch. Damit sind wir bereits bei einem wesentlichen Aspekt des Themas Ransomware: der Vorbeugung.

Prävention und Vorbereitung

Dass Kriminelle mit dem Einsatz von Ransomware immer wieder erfolgreich sind, liegt nicht nur an ihrer technischen Finesse. In vielen Unternehmen mangelt es an Problembewusstsein – bis es zu einem entsprechenden Vorfall kommt. Die Verantwortlichen vernachlässigen die Einführung von Prozessen, die essenziell wären, um Ransomware-Angriffe entweder nahezu sicher zu verhindern oder deren Folgen auf ein Minimum zu reduzieren. Unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Maßnahmen wie die folgenden – und zwar als eigene, kontrollierte Prozesse:

  1. Aktualisierte Software und Patches: Stellen Sie sicher, dass alle Systeme, Betriebssysteme und Anwendungen auf dem neuesten Stand sind. Regelmäßige Updates und Patches helfen, bekannte Schwachstellen zu beheben und die Anzahl potenzieller Ransomware-Eintrittspunkte zu minimieren.
  2. Sichere Remote-Zugänge: Einer Bitkom-Umfrage zufolge gab es in der Pandemie bei 59 % der Unternehmen mit Telearbeit Cyberangriffe auf die Rechner von Beschäftigten im Homeoffice. Daher sollten auch die Zugriffe von außen abgesichert werden; in der Regel sollten Remote-Zugänge nur über Virtual Private Networks (VPNs) in Kombination mit einer Zwei-Faktor-Authentisierung genutzt werden.
  3. Eingeschränkte Makros und Programme: Damit Ransomware erst gar nicht ausgeführt werden kann, empfiehlt es sich, die ausführbaren Inhalte auf das notwendige Minimum zu beschränken, mit signierten Makros zu arbeiten und im Rahmen eines Application Whitelisting nur zugelassene Programme auszuführen. Da aber das Erstellen einer solchen Whitelist einen sehr hohen Aufwand bedeutet, rät das BSI: „Mindestens sollte die Ausführung von Programmen (per Gruppenrichtlinie) nur aus nicht durch den Benutzer beschreibbaren Verzeichnissen (Execution Directory Whitelisting) erfolgen können, was eine effektive Maßnahme zum Schutz vor der initialen Infektion darstellt.“
  4. Getrennte Admin- und User-Konten: Dass Beschäftigte, die keinen Admin-Zugang benötigen, einen einfachen User Account für ihren Zugang zu den Ressourcen des Unternehmens erhalten, ist Usus. Das BSI rät aber zu einer noch strengen Trennung auch in die andere Richtung: „Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden. Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden.“
  5. Sichere Backups: Backups sind schon immer das Stiefkind der IT gewesen. Das hat sich mit zunehmender Komplexität der Systeme nicht geändert. Im Gegenteil: Schon die Entscheidung, wann, wie und wo Daten gesichert werden, verlangt den Verantwortlichen heute einen erheblichen Aufwand ab. Aber: Sorgfältig geplante Datensicherungen können den Unterschied zwischen einer Betriebsunterbrechung von ein paar Stunden und einer von ein paar Wochen ausmachen. Auch hier ist der Rat des BSI Gold wert: „Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten. Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen.“

Ransomware in den Schlagzeilen

In den letzten Jahren haben es einige versuchte Cyber-Erpressungen in die Medien geschafft. Hier eine Auswahl der bekannteren Vorfälle:

Die Funke-Mediengruppe wurde am 22. Dezember 2020 Opfer eines Ransomware-Angriffs durch DoppelPaymer. Über 6000 Systeme an zahlreichen Standorten des Unternehmens waren betroffen. Nach etwa einer Woche konnte die Produktion von Tageszeitungen jedoch wieder in größeren Auflagen aufgenommen werden, während die zuständige Polizei Essen zusammen mit dem Landeskriminalamt vor Ort ermittelte.

Im September 2020 erlitt das Universitätsklinikum Düsseldorf einen schwerwiegenden IT-Infrastrukturausfall infolge eines Ransomware-Angriffs. Das Klinikum musste die Notfallversorgung einstellen und verschob planbare sowie ambulante Operationen. Erst nach knapp zwei Wochen, am 23. September, konnte das Klinikum wieder an der Notfallversorgung teilnehmen. Der Angriff nutzte eine Schwachstelle in einem VPN-Produkt aus, obwohl ein Patch seit Januar 2020 verfügbar war.

In der Nacht zum 19. März 2019 wurde der norwegische Aluminiumkonzern Norsk Hydro Opfer eines Ransomware-Angriffs. Die IT-Systeme des Unternehmens in den meisten Geschäftsbereichen waren betroffen, woraufhin die Produktion auf manuellen Betrieb umgestellt und die Anlagen vorübergehend vom Netz genommen wurden. Obwohl Lösegeld gefordert wurde, zahlte Norsk Hydro nicht und setzte stattdessen auf vorhandene Backups, um den Betrieb wiederherzustellen. Der Angriff erfolgte mit der Ransomware LockerGoga.

Coiled-aluminium-tubing 36728676186 o.jpg
Alles richtig gemacht: Der Cyberangriff auf Norsk Hydro traf vor allem den Bereich Extruded Solutions. Der norwegische Aluminium-Konzern blieb mit Workarounds und Handarbeit aber arbeitsfähig, zahlte nicht, sondern zog externe Fachleute sowie die Behörden hinzu und stellte seine Daten aus Backups wieder her. Norsk Hydro hatte eine Cyberversicherung. (Bild: Norsk Hydro)

Sofortreaktion im Ernstfall

Trotz aller Vorsichtsmaßnahmen gelingen Ransomware-Angriffe immer wieder – einen hundertprozentigen Schutz gibt es nicht. Wenn ein Unternehmen Opfer eines solchen Angriffs wird, sind schnelles Handeln und eine gezielte Reaktion entscheidend:

  1. Isolieren und Herunterfahren: Sobald ein Angriff entdeckt wird, gilt es, die infizierten Systeme sofort zu isolieren und vom Internet zu trennen, um eine Ausbreitung zu verhindern.
  2. Behörden benachrichtigen: Unternehmen sollten umgehend die Behörden informieren und den Angriff melden. Dies ist wichtig, weil damit der Vorfall dokumentiert wird und die Täter strafrechtlich verfolgt werden können.
  3. Mit Experten zusammenarbeiten: Es kann ratsam sein, sich mit spezialisierten Sicherheits- oder Forensikexperten zusammenzuschließen, um den Angriff zu analysieren, die Auswirkungen abzuschätzen und die Ermittlungen zu unterstützen.
  4. Keine Lösegeldzahlung: Generell wird empfohlen, kein Lösegeld zu zahlen, da dies weitere Angriffe motivieren könnte. Stattdessen sollte das Unternehmen eng mit Strafverfolgungsbehörden und Sicherheitsexperten zusammenarbeiten, um Alternativen zur Datenwiederherstellung auszuloten.
Serie: IT-Forensik
Teil 1 umreißt das Berufsbild Computerforensiker und beschriebt die wichtigsten Einsatzszenarien. Teil 2 sieht nach, welche Zertifikate, Abschlüsse und Studiengänge es bereits gibt. Zwei Updates erklären neue Studiengänge und konzentrieren sich auf die Karrierechancen für Frauen.

Cyberversicherung in der Hinterhand

Spezielle Cyberversicherungspolicen bieten Unternehmen finanzielle Absicherung und unterstützen sie bei der Bewältigung von Cyberangriffen. Zu den typischen Leistungen zählen diese:

  • Erstattung von Lösegeldzahlungen: Einige Versicherungspolicen decken die Zahlung des Lösegelds ab, das die Freigabe der verschlüsselten Daten bewirken soll. Diese Option kann es Unternehmen leichter machen, den Betrieb schnellstmöglich wieder aufzunehmen. Allerdings garantiert eine Lösegeldzahlung keineswegs immer, dass die Daten dann auch tatsächlich freigegeben werden. Eine solche Entscheidung kann letztlich nur im Einzelfall getroffen werden.
  • Krisenmanagement und forensische Untersuchungen: Cyberversicherungen bieten oft Zugang zu Fachleuten für Krisenmanagement und forensische Untersuchungen. Die Spezialisten unterstützen Unternehmen bei der Bewältigung des Vorfalls, bei der Analyse des Angriffs und bei der Wiederherstellung der Systeme.
  • Datenwiederherstellung und Geschäftsfortführung: Eine Cyberversicherung kann die Kosten der Datenwiederherstellung, die Wiederherstellung des Geschäftsbetriebs und den Umsatzverlust während der Betriebsunterbrechung abdecken. Dann kann sich das Unternehmen schneller wieder fangen, und der finanzielle Schaden hält sich in Grenzen.
  • Haftungs- und Reputationsmanagement: Eine Ransomware-Attacke kann rechtliche Konsequenzen zur Folge haben und dem Ruf des Unternehmens schaden. Cyberversicherungen können die Kosten für rechtliche Auseinandersetzungen und für das Management der Unternehmensreputation übernehmen. Sie unterstützen Unternehmen dabei, Haftungsansprüchen zu begegnen und ihren Ruf wiederherzustellen.
Secutity-Cyberversicherungen-Special 2023.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Heise-Themenspecial „Security und Cyberversicherungen“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.

Gut gesichert und versichert

Wo angemessene Vorsichtsmaßnahmen gegen Ransomware-Attacken fehlen, haben die Unternehmen früher oder später ein Problem – und Angreifer leichtes Spiel. Regelmäßige Software-Updates, sichere Remote-Zugänge, eingeschränkte Makros und Programme sowie getrennte Konten können effektiv dazu beitragen, Angriffe zu verhindern. Im Falle eines Angriffs ist wiederum rasches Handeln wichtig, einschließlich der Isolierung infizierter Systeme und der Zusammenarbeit mit Experten. Cyberversicherungen bieten eine gewisse finanzielle Absicherung, dazu Krisenmanagement und Unterstützung bei der Datenwiederherstellung und beim Reputationsmanagement – bis hin zur Übernahme des Lösegeldes. Das zu zahlen, sollten sich Verantwortliche aber dennoch zweimal überlegen.

Nützliche Links