Unternehmens-IT in der Zwickmühle: Jeder bezahlte Euro macht Ransomware noch gefährlicher

 OUT NOW im #Confare Blog mit Gottfried Tonweber, Partner bei EY: Unternehmens-IT in der Zwickmühle: Jeder bezahlte Euro macht Ransomware noch gefährlicher

Die Hacker werden immer besser und unverschämter, die Vernetzung und damit die Einfallstore werden mehr, die Versicherungen werden skeptischer und der verursachte Schaden wird immer größer. Ransomware ist zum profitablen Geschäftsmodell geworden. Die einen zahlen munter die Erpressungsgelder, die anderen werden reicher und machen neue finstere Pläne.

Im Bloginterview zur wichtigsten Cyberbedrohung unserer Zeit: Gottfried Tonweber, Partner bei EY und ein profunder Cybersecurity Experte.

Gottfried und mehr als 500 weitere hochkarätige IT-Chefs aus dem DACH Raum treffen Sie auf dem Confare #CIOSUMMIT Wien, dem wichtigsten IT-Management Treffpunkt Österreichs. Die Teilnahme ist für IT-Entscheider nicht mit Kosten verbunden. Hier wird der Confare #CIOAWARD an die CIOs des Jahres verliehen. Einreichen und Nominieren ist ab sofort möglich.

Ransomware ist eines der wichtigsten Risiken für die Unternehmens-IT geworden. Wie beurteilst Du die aktuelle Ransomware-Lage? Welche Trends sind erkennbar?

Ransomware ist tatsächlich die aktuell stärkste Gefährdung von allgemeinen IT-Infrastrukturen. Der Haupteinfalls-Vektor sind Phishing-Mails, deren Anhänge dann unbedacht geöffnet und damit Malware ausgeführt wird. Im Gegensatz zu gezielten Attacken (SpearPhishing, CEO Fraud) sind die Ziele zufällig ausgewählt. Der Angreifer wartet wie ein Fischer einfach darauf, wer anbeißt. Womit wir bei den Verteidigungsmaßnahmen wären: Awareness, Vorsicht und Vorbeugung. Das schwächste Glied in der Kette ist der Mensch, der User, der das Attachment öffnet. Dagegen hilft Information und Training (in Form von „Phishing Kampagnen“), damit die Mitarbeiter lernen, vorsichtig und kritisch zu sein und sich ihrer Verantwortung zur Abwehr derartiger Angriffe bewusst werden. Tendenziell gehen die Angriffe zurück, besonders gegen große Unternehmen. Leider trifft es jetzt zunehmend kleine Unternehmen und lokale öffentliche Einrichtungen, die sich dann fragen: „Warum wir?“ Aber dann ist es bereits zu spät.

Warum ist es so gefährlich, dass regelmäßig die geforderten Lösegelder bezahlt werden?

Ganz einfach: Gelegenheit macht Diebe. Jeder bezahlte Euro stärkt die Gewissheit bei den Kriminellen, dass dieses „Geschäftsmodell“ funktioniert. Wir wissen, dass sich gerade im Bereich Ransomware eine professionelle Arbeitsteilung bei den Kriminellen etabliert hat, von der Ausspähung und dem Verkauf der Schwachstellen über die Entwicklung ganzer Frameworks („Ransomware as a Service“) bis hin zur „Betreuung“ des Opfers, dem dann Unterstützung bei der Rückgewinnung der Daten angeboten wird. Das klingt bizarr, ist aber die traurige Realität und spricht für den fragwürdigen Erfolg dieser Form von Cyberkriminalität.

Welche Alternativen gibt es zur Lösegeld-Zahlung?

Es ist bekannt, dass Unternehmen im Falle einer „Datenentführung“ ökonomisch vorgehen. Wenn also eine Verschlüsselung nicht bereits durch Sicherheitsfirmen gebrochen wurde und damit eine Rückgewinnung ohne Zahlung des Lösegelds möglich ist, dann bleibt oft nur eine beinharte Kalkulation von Aufwand gegen Ergebnis. Fakt ist: wer bereits im Schlamassel steckt, der kommt ohne Schrammen auch nicht mehr heraus. Die Rückgewinnung der Daten kostet viel Geld. Ob das nun an die Kriminellen, an externe Dienstleister oder Mehraufwand durch Überstunden, das entscheidet sich in der jeweiligen Situation. Daher gilt: lassen Sie es gar nicht soweit kommen.

Welche Maßnahmen müsste der Gesetzgeber jetzt treffen?

Wir glauben, dass der Gesetzgeber über die Situation gut im Bilde ist und durch die bestehenden Vorgaben, insbesondere für systemkritische Unternehmen, gut umsetzbare Maßnahmen vorschreibt. Die Strafverfolgungsbehörden haben ebenso aufgerüstet und sind international erfolgreich, wie man an den Medienberichten über ausgehobene Hackergangs sieht. In Österreich sind die Behörden aktuell jedoch unterbesetzt, obwohl passende Planstellen längst geschaffen wurden. Das „übliche“ Problem am Personalmarkt. Die Hauptlast liegt natürlich bei den Unternehmen und ihren IT-Sicherheitsabteilungen.

Was sollten IT-Manager im Fall eines Ransomware-Vorfalls tun?

IT-Manager sollten bereits im Vorfeld einen Plan haben, wie im Fall des Falles vorzugehen ist. Sie sollten diesen Plan durchgespielt haben, um seine Wirksamkeit zu erproben. Wir unterstützen Kunden bei der Gestaltung dieser „Desaster Recovery“-Pläne, bei der Implementierung und auch bei den Testläufen. Jedes Unternehmen sollte sich die Frage stellen: wie hart trifft mich die „Entführung“ meiner Daten, wie kann ich mich dagegen schützen und wie lange brauche ich, um einen operationalen Zustand wiederherzustellen.