Ransomware – OUT NOW im #ConfareBlog mit Jürgen Renfer über zunehmende Folgeschäden und die Zahlungs-„Moral“ der Opfer
Ransomware – Die Hacker werden immer besser und unverschämter, die Vernetzung und damit die Einfallstore werden mehr, die Versicherungen werden skeptischer und der verursachte Schaden wird immer größer. Ransomware ist die größte Cybersecurity Bedrohung unserer Zeit. Die einen zahlen munter die Erpressungsgelder, die anderen werden reicher und machen neue finstere Pläne-
Jürgen Renfer verantwortet Cybersecurity und Digitalisierung in einem mittelständischen Anwendungsunternehmen. Wir wollten von ihm wissen, wie man als CIO mit dieser Situation umgehen kann, warum „einfach zahlen“ nicht der Weisheit letzter Schluss ist und welche Rolle die Cloud dabei spielt.
Jürgen und mehr als 500 weitere hochkarätige IT-Chefs aus dem DACH Raum treffen Sie auf dem Confare #CIOSUMMIT Wien, dem wichtigsten IT-Management Treffpunkt Österreichs. Die Teilnahme ist für IT-Entscheider nicht mit Kosten verbunden. Hier wird der Confare #CIOAWARD an die CIOs des Jahres verliehen. Einreichen und Nominieren ist ab sofort möglich.
Ransomware ist eines der wichtigsten Risiken für die Unternehmens-IT geworden. Wie beurteilst Du die aktuelle Ransomware-Lage? Welche Trends sind erkennbar?
Als entscheidenden Trend beurteile ich erkennbaren Schwenk von Verschlüsselung zur Veröffentlichung erbeuteter Daten. Insoweit verändert sich der Ransomware-Begriff (engl. Geiselnahme), was den Druck der Angreifer weiter steigert und darüber hinaus endgültig rote Linien überschreitet: die Veröffentlichung individueller Daten zum Zweck der Erlangung finanzieller Vorteile ist nicht nur kriminell, sondern natürlich auch in hohem Maße asozial, weil dadurch Folgeschäden Dritter nicht nur billigend in Kauf genommen, sondern vorsätzlich herbeigeführt werden. Demgemäß steigen natürlich auch die Unternehmensrisiken bzgl. Haftungsfragen und Reputationsverlusten.
Warum ist es so gefährlich, dass regelmäßig die geforderten Lösegelder bezahlt werden?
Wie bei allen Erpressungen gehen mit der Lösegeldzahlung die bekannten Risiken einher:
– trotz erfüllter Forderungen keine Garantie auf Gegenleistungen wie insbes. vollständige Entschlüsselung
– trotz erfüllter Forderungen könnten Drohungen wie bspw. Veröffentlichung umgesetzt werden
– Risiko, dass nach Zahlung weitere Forderungen folgen, weil man sich zahlungsbereit zeigte
– motiviert Nachahmer und Trittbrettfahrer
Andererseits ist ein Trend erkennbar, dass Unternehmen zwischen potentieller Schadenshöhe und gefordertem Lösegeld abwägen, was im zeitlichen Ablauf mit dem Schwenk zur Veröffentlichung erbeuteter Daten korreliert. In diesem Kontext wurden erste Fälle bekannt, die zum Anfangsverdacht wegen Unterstützung krimineller Vereinigungen oder Sanktions- bzw. Embargo-verstößen führten – letzteres abhängig vom Nachweis des Angreifer-Aufenthaltsorts.
Welche Alternativen gibt es zur Lösegeld-Zahlung?
Gemäß dem Grundsatz „sorge in der Zeit, so hast Du in der Not“ ist eine möglichst frühzeitige Vorbereitung auf einen Ramsomware-Vorfall wie auch aller anderen Cyber-Vorfälle entscheidend. Dazu zählt zuerst die Vorhaltung aktueller Datensicherungen, natürlich offline. Neben dem Datensicherungs-Konzept steht zweitens das Notfall-Konzept: das beginnt mit der simplen Klärung der Erreichbarkeit zuständiger Sicherheitsbehörden und geeigneter Sicherheitsexperten, deren schnelles Beiziehen im Notfall praxisbewährte Standardabläufe garantiert, um digitale Spuren für die anschließende Forensik professionell zu sichern und den Offline-Zeitraum bis zum Wiederanlauf möglichst kurz zu halten. Im Notfallkonzept wird bspw. auch der potentielle Offline-Zeitraum und damit einhergehende Folgen sowie die Kosten der Wiederherstellung antizipiert, um bspw. unternehmensspezifische Prioritäten für den Wiederanlauf vorab entlang möglicher Szenarien festzulegen. Soweit es verfügbare Ressourcen erlauben, können drittens Parallelsysteme für einen Minimalbetrieb neben der Wiederherstellungsphase wie bspw. Not-Internet oder Not-Kommunikation (Mail, VoIP-Telefonie) im cold standby vorgehalten werden. Der Aufwand für die ständige Aktualität solcher Parallelsysteme ist nicht zu unterschätzen.
Welchen Schutz bieten die gängigen Versicherungs-Angebote?
Infolge des massiven Vorfall-Wachstums und damit einhergehender Versicherungsschäden stellt sich in Anbetracht der Risikokalkulationen zunächst die Frage, ob jeweils gebotene Leistungen für die dafür geforderten Beiträge wirtschaftlich getragen werden können und sollen. Diese Abwägung ist je konkretem Einzelfall zu treffen. Die grundsätzliche Auseinandersetzung mit Versicherungs-Angeboten ist schon deshalb wertvoll, weil vor konkreten Angeboten im Regelfall Assessments vorzubereiten sind, die zur Offenlegung der aktuellen Cyberschutz-Unternehmensreife und die Sensibilität hinsichtlich organisatorischen neben technischen Sicherheitsdefiziten fördert. Nicht zu unterschätzen ist übrigens die Position einiger Versicherer, je nach konkretem Einzelfall evt. die Zahlung von Lösegeld zu bevorzugen – aus wirtschaftlicher Sicht ein wohl nachvollziehbarer Aspekt, aus Unternehmenssicht ggf. inakzeptabel und daher rechtzeitig vorab zu klären.
Was sollten IT-Manager im Fall eines Ransomware -Vorfalls tun?
Wie in allen Krisen-Situationen gilt es, Ruhe zu bewahren. Dafür hilft geeignete Vorbereitung, insbes. die Notfallplanung und regelmäßige Übungen dazu. Betroffene stehen häufig wochenlang im Feuer, werden ggf. hierarchisch übersteuert und wissen im Zweifel nicht, ob sie anschließend noch mit Unterlassens- und damit Haftungsfragen konfrontiert werden könnten. Daher ist auch eine mentale Vorbereitung auf den Notfall ratsam, in dem verschiedene Szenarien und Handlungsoptionen vorausschauend durchdacht werden.
Kann das Ransomware -Übel an der Wurzel gepackt werden, falls ja wie?
Natürlich gibt’s keine Patentlösung, sonst wäre die längst am Markt. Interessant scheint jedoch die Frage, wie es zur Vielzahl der Ransomware-Angriffe kommt: neben ad hoc Angriffen nisten sich Angreifer zunächst in Systeme über kurzfristige Lücken ein, um diese intern auszuspähen. Neben der Binsenweisheit „patchen, patchen , patchen“ liegen die Ursachen nicht alleine auf der Seite von Anwenderhäusern. Vielmehr müssen die Softwareentwicklungsprozesse hinterfragt werden: was unternehmen Softwarehersteller, die Vielzahl auftretender Softwarelücken und damit der Angriffsflächen in Standardsoftware signifikant zu reduzieren? Was tun unternehmenseigene Entwicklungsleiter für sichere Individual-Software, bspw. durch strikte Entwicklungsvorgaben und/oder Härtungsmaßnahmen? Dabei greift der bequeme Glaubenssatz „es gibt keine fehlerfreie Software“ viel zu kurz. Vielmehr muss die Softwarequalität hinsichtlich robuster Sicherheit „by design“ deutlich gesteigert werden. Das kann insbes. durch Verstärkung des Qualitätsmanagements vorm Ausliefern erfolgen. Zu Ende gedacht muss „security by design“ schon in der Informatik-Ausbildung grundlegend verankert werden. Erfreulicherweise sind hierfür vielfältige Anstrengungen erkennbar. Natürlich gilt das Alles auch für Firmware, also Software in Hardware-Modulen bis hin zu IoT-Komponenten, wo erschwerend eingeschränkte Update-Möglichkeiten hinzukommen. Sinngemäß ähnliche Aspekte gelten schließlich für betriebliche IT-Infrastrukturen, was wiederum Systemarchitekt:innen auf „security by desing“ verpflichtet.
Was steckt hinter der Initiative von Prof. Dr. Eric Bodden? Wie kann man dazu beitragen?
Der offene Brief vom 30.07.2022 (https://ransomletter.github.io/) richtet sich primär gegen die Zahlung von Lösegeldern. Aus meiner Sicht geht der offene Brief jedoch weit darüber hinaus: er hat das Potential, gerade auch IT-ferne Akteur:innen für Cyber Security zu sensibilisieren, indem er die betriebs- und volkswirtschaftlichen Dimensionen bis hin zu geostrategischen Aspekten thematisiert. Darin liegt auch der Grund für meine Mitzeichnung.
Gibt es ähnliche Initiativen seitens der Anwenderunternehmen
Anwenderunternehmen können alleine vermutlich eher weniger bewirken, außer sich angemessen zu schützen und Notfallmaßnahmen vorzubereiten. Gemäß der „gewöhnlich gut unterrichteter Kreise“ sollen sich dem Vernehmen nach jedoch Anwenderverbände mit der Frage beschäftigen, ob und ggf. in welcher Weise ähnliche oder gar weitergehende Initiativen wie die von Prof. Bodden folgen könnten.
Welche Maßnahmen müsste der Gesetzgeber jetzt treffen?
Mit Blick auf die betriebs- und volkswirtschaftlichen Dimensionen bis hin zu geostrategischen Aspekten infolge von CyberSecurity-Vorfällen im Allgemeinen und Ransomware-Angriffen im Besonderen stellt sich regelmäßig die Frage, wie die Cyber-Risiken des kommerziellen IuK-Einsatzes angemessen zwischen Anbieter- und Anwenderseite aufgeteilt werden können. Zur gegenwärtigen Rechtslage mit nennenswerten Verpflichtungen der Anwenderunternehmen wird häufig die Auffassung vertreten, dass weniger das Inverkehrbringen (Anbieter) als vielmehr das konkrete Nutzungsszenario (Anwender) für das Maß damit einhergehender Cyberrisiken entscheidend sei. Vorm Hintergrund der offenbar weiterhin stark steigenden Zahl der Vorfälle stellt sich die naheliegende Frage, ob diese Auffassung auf Dauer Bestand haben kann. Das oftmals bemühte Narrativ vom unzureichend sensibilisierten und aufgestellten Anwenderunternehmen verblasst zunehmend, weil die weitreichenden Konsequenzen erfolgreicher Cyberangriffe mit anwachsendem Sensibilisierungsmaß in Anwenderunternehmen auf allen Ebenen folgerichtig auch zunehmend erst genommen werden. Damit einhergehend ist der Ausbau vielfältiger Schutzmaßnahmen zu beobachten. Sollte die Zahl der Angriffe oder jedenfalls deren Schäden dennoch nicht signifikant sinken, werden weitergehende Ursachen zu hinterfragen sein. In diesem Fall könnte dem Gesetzgeber die Aufgabe einer Nachjustierung der Risikoverteilung zufallen. Dafür werden nationale Alleingänge aufgrund des internationalen IuK-Markts nicht ausreichen und deshalb EU-weite Regelungen wie bspw. die sog. NIS2-Novelle sowie deren nationale Umsetzungen erforderlich werden. Diese sieht im gegenwärtigen Entwurfsstadium neben weiteren Verpflichtungen der Anwenderunternehmen bspw. auch die Verpflichtung zur Offenlegung von Schwachstellen vor. Die weitere Entwicklung wird zeigen, ob NIS2 zur ausgewogenen Risikoverteilung, signifikantem Rückgang erfolgreicher Angriffe und daraus resultierender, betriebs- wie volkswirtschaftlicher Schäden führt.
Löst die Cloud das Problem?
Cloud-basierte Lösungen verlagern die Problem- und damit in gewissen Grenzen auch die Risiko- und damit die Haftungslage zwangsläufig zunehmend auf Anbieter mit deren Cloud-Implementierungen. Beim Anwender verbleibt i.d.R. der Zugangsschutz. Darüber hinaus entfallen Risiken, die aus unzureichenden oder gar fehlerhaften Anwender-Installationen herrühren konnten. Insoweit könnte die Cloud möglicherweise helfen, das Cyber- und Ransomware-Problem zu reduzieren. Gleichzeitig eröffnen sich damit natürlich neue Cloud-spezifische Problemfelder, wie bspw. Abhängigkeiten, Interoperabilität und Kosten. Diese sind wiederum im konkreten Einzelfall zu bewerten.