Thomas Sandner (Senior Regional Technical Sales Director bei Veeam) im Interview
Nahezu jedes Unternehmen hat inzwischen eine Ransomware-Attacke erlebt – mit teils gravierenden Folgen. Um Ransomware-Angriffe erfolgreich zu unterbinden, müssen Firmen mehrere Themen berücksichtigen. Welche das sind, zeigt Thomas Sandner (Senior Regional Technical Sales Director bei Veeam) im Interview auf. Zudem führt er aus, inwiefern Backups eine wichtige Rolle spielen, um Ransomware-Attacken entgegenzutreten.
5. April 2023
|
Lesedauer: ca. 7 Min.
Bild: © Suttipun/stock.adobe.com
CANCOM.info: Als Veeam haben Sie jüngst den „Veeam Data Protection Trends Report 2023“ veröffentlicht. Demnach haben 85 Prozent der Unternehmen im vergangenen Jahr mindestens einen Ransomware-Angriff erlebt. Wie wirken sich diese Angriffe auf das Business aus?
Thomas Sandner: Das kommt darauf an, wie breit die Angriffe angelegt sind und wie stark sie das Unternehmen tangieren. Es macht zum Beispiel einen Unterschied, ob Cyberkriminelle den kompletten Betrieb oder „nur“ eine Außenstelle attackieren. Unabhängig davon verursachen Ransomware-Angriffe unmittelbar, dass die Systeme ausfallen – sodass man nicht mehr arbeiten kann. Und es kann einige Zeit vergehen, bis die Systeme wieder online sind.
CANCOM.info: Woran liegt das?
Thomas Sandner: Dies liegt besonders daran, dass Unternehmen ihre Systeme nicht sofort mittels Datenwiederherstellung wieder hochfahren können. Sie müssen zunächst analysieren, wie weit die Angreifer das Firmennetzwerk vor der Attacke infiltriert haben. Nur dann können sie feststellen, ab welchem Datenstand eine Wiederherstellung überhaupt vertretbar ist. Schließlich möchte man ja keine kompromittierten Daten wiederherstellen. Eine solche Analyse nimmt in der Regel viel Zeit in Anspruch. Wenn beispielsweise kritische Systeme, wie ein Active Directory, attackiert wurden, kann es Wochen dauern, bis die Systeme wieder laufen. Im schlimmsten Fall muss das Unternehmen also mehrere Wochen ohne IT auskommen – was sogar in die Insolvenz führen kann. Neben diesen unmittelbaren Folgen kommt hinzu, dass Ransomware-Angriffe häufig Nachwehen beim betroffenen Unternehmen verursachen. Zum Beispiel kann es vorkommen, dass eine Firma aus dem produzierenden Gewerbe wegen des Systemausfalls keine Bestellungen aufgeben kann – und die negativen Folgen, angesichts der Lieferengpässe, noch Monate später spürt.
CANCOM.info: Sie sagen, dass sich Ransomware-Angriffe unterschiedlich auf Unternehmen auswirken. Aus der Praxis gesprochen: Zielen die Angriffe tendenziell auf den kompletten Betrieb ab oder stehen bestimmte Unternehmensbereiche im Fokus?
Thomas Sandner: In der Tendenz zielen die Angriffe auf den kompletten Betrieb ab – um Unternehmen auf der vollen Breitseite zu erwischen. Schließlich möchte man möglichst viel Geld aus seinen Opfern herauspressen. Tatsächlich ist Ransomware heute ein Business. So sind gerade professionelle Angreifer in Banden organisiert, die wie kleine mittelständische Unternehmen arbeiten. Unter anderem gibt es eine Geschäftsführung, eine Personalabteilung sowie Mitarbeiter, die entsprechend bezahlt werden. Diese Banden versuchen häufig, kritische Systeme wie Active Directory oder Backup-Kopien zu erwischen. Um eben möglichst viel Geld zu erpressen. Damit das erreicht wird, schrecken sie auch vor perfiden Methoden nicht zurück.
CANCOM.info: Zum Beispiel?
Thomas Sandner: Ein Beispiel ist die Ansage, wichtige Daten bei ausbleibender Lösegeldüberweisung nicht nur zu verschlüsseln, sondern auch im Darknet zu veröffentlichen. Eine weitere Methode ist, zu drohen, im nächsten Schritt auch die Kunden des jeweiligen Unternehmens anzugreifen. Denn durch die gestohlenen Daten wissen die Angreifer genau, mit welchen Kunden das Unternehmen Geschäfte macht.
CANCOM.info: Wie sollen Unternehmen auf solche Drohungen reagieren? Das Lösegeld überweisen?
Thomas Sandner: In der Theorie müsste man sagen: auf keinen Fall. Dann würden sich Ransomware-Attacken nicht mehr lohnen und das Business kollabieren. In der Praxis ist es schwer, diese Frage zu beantworten. Wenn man selbst betroffen ist – und schlimme Folgen wie eine mögliche Insolvenz nur mit einer Lösegeldzahlung verhindern kann – wird man die Zahlung tätigen. Das kann ich ein Stück weit auch nachvollziehen. Unternehmen sollten sich allerdings bewusst sein: Nur weil man Geld auf den Tisch legt, heißt das nicht, dass die Angreifer nicht trotzdem Daten leaken oder verkaufen. Es gibt keine Garantie.
CANCOM.info: Was können Firmen nun tun, um die Wahrscheinlichkeit erfolgreicher Ransomware-Angriffe zu reduzieren?
Thomas Sandner: Ganz wichtig ist, dass man sich zunächst eines vor Augen führt: Für die Abwehr von Ransomware-Angriffen ist ein ganzheitlicher Ansatz nötig, der mehrere Themenbereiche umfasst. Dazu gehören präventive Maßnahmen wie Rechteverwaltung, Software Lifecycle-Management, Netzwerksegmentierung, Firewalls, Endpoint Security-Lösungen, Backup und – ganz wichtig – Mitarbeiterschulungen. So werden viele Ransomware-Attacken bis heute über Phishing E-Mails durchgeführt. Da ist es natürlich essenziell, dass Mitarbeiter Phishing E-Mails als solche erkennen. Zusätzlich müssen Firmen eine Notfallplanung aufsetzen – damit jeder weiß, was zu tun ist, wenn tatsächlich der Ernstfall eintritt.
CANCOM.info: Also eine Art Guideline?
Thomas Sandner: Genau. Eine Notfallplanung muss Fragen beantworten wie: Welche Daten lassen sich noch wiederherstellen beziehungsweise welche Backups noch einspielen? Wer muss zu welchem Zeitpunkt mit wem sprechen? Wer muss über die Ransomware-Attacke informiert werden? Über diese und weitere Fragen müssen sich Firmen frühzeitig Gedanken machen – optional mit Unterstützung professioneller Dienstleister wie CANCOM. Dann fällt es auch leichter, im Angriffsfall ruhig zu bleiben und Fehler zu vermeiden.
Seite 1
