Server gegen Ransomware-Angriffe härten
Abwehr von Bedrohungen durch Cyberangriffe auf Server
Ransomware-Angriffe werden gezielter und häufiger. Mit Botnet-as-a-Service greifen die Erpresser direkt im Herzen der Unternehmen an – an den Servern. Dabei wird ein Netz aus mit automatisierten Schadprogrammen infizierten Rechnern im Untergrund angeboten.
Diese Gefahr ist den Anwendern noch kaum bewusst. Dabei müssen sie jetzt handeln, um ihre Server abzusichern und mögliche Risiken abzuwenden.
E-Mail, Datensperre, Lösegeldforderung – Opfer einer Ransomware-Attacke zu werden, stellt ein Horrorszenario für Unternehmen dar. Und Cyberkriminelle haben es längst nicht mehr nur auf die Großindustrie abgesehen; zunehmend geraten auch kleine und mittlere Unternehmen in ihr Fadenkreuz. Wenn die Kriminellen mit ihrer Erpressung Erfolg haben, bleiben dauerhafte Schäden, die von lädierten Datenbeständen bis hin zu angeschlagenem Ruf reichen können. Sich vor Attacken abzusichern und die Bedrohungslandschaft auf neue Angriffsformen zu sondieren, sind IT-Sicherheitsverantwortliche daher gewohnt. Doch während sie Ausschau nach möglichen neuen Angreifern und Angriffsformen halten, sehen sie sich gleichzeitig immer gezielteren Attacken ausgesetzt. Allein im vergangenen Jahr erkannten und blockierten Trend Micros Sicherheitssysteme über 161 Milliarden Mal bösartige Aktivitäten.
Im Fokus der Cyberkriminellen standen in erster Linie Regierungseinrichtungen und Behörden. Der öffentliche Sektor war weltweit am stärksten von Malware-Kampagnen betroffen, gefolgt von der Gesundheitsbranche und der Industrie. Bei den Ransomware-Kampagnen führt dagegen weltweit die Finanzbranche mit rund 20.000 blockierten individuellen Attacken an. Die Cyberkriminellen setzen zunehmend auf Qualität statt Quantität und verwenden immer raffiniertere Methoden.
Jobangebote+ passend zum Thema
Ransomware erlaubt Anwendern keine Atempause
Dass die Bedrohung durch Ransomware nicht geringer wird, war absehbar. Denn von der Digitalisierung profitieren nicht nur die »Guten«. Auch in Bezug auf Cyberbedrohungen hat die Digitalisierung die Entwicklung beschleunigt. Entstanden ist eine regelrechte Ransomware-Industrie, deren Produkt – Ransomware-as-a-Service – ein Erfolgsversprechen für alle liefert, die ohne viel Aufwand an hohe Geldsummen gelangen wollen. Darüber hinaus liefert Ransomware-as-a-Service auch jenen das nötige Know-how, die keine Programmierkenntnisse besitzen. Auf dieser Basis hat sich das Spektrum der Angreifer deutlich vergrößert und verändert. Erweiterte Tools für die virtuellen Raubzüge bieten mit RATs (Remote Access Trojaner), Minern, Botnet-as-a-Service und ähnlichen Anwendungen einen äußerst wirksamen Werkzeugkasten. Dies ermöglicht es den Cyberkriminellen, zunehmend größere Ziele ins Visier zu nehmen. Ihre Attacken zielen dabei zunehmend auf die Cloud – und sie beschränken sich nicht mehr nur auf die Endpunkte.
Der Server wird zum Hauptschauplatz der Cyberkriminalität
Der Schutz der Endpunkte war eines der großen Sicherheitsthemen der Corona-Pandemie. Denn die vielen im Homeoffice und jüngst für das hybride Arbeiten genutzten zusätzlichen Endgeräte stellten neuralgische Punkte für Cyberangriffe dar. Hier haben die Unternehmen schon weitgehend gehandelt und Sicherheitssysteme installiert, ihre Security-Teams, soweit es trotz des Fachkräftemangels möglich war, vergrößert und das Bewusstsein ihrer Belegschaften für das Thema Sicherheit geschärft. Die Angreifer, immer auf der Suche nach Schwachstellen und lohnenden Einfallstoren, haben darauf reagiert: Sie haben den Server zu ihrem Hauptschauplatz erkoren. Das ist nur folgerichtig, denn Ransomware-Attacken haben immer häufiger Datendiebstahl und Daten-Exfiltration zum Ziel.
Mit dem direkten Zugriff auf den Server – auch und vor allem in der Cloud – ist es weitaus einfacher, an sensible Daten zu kommen, etwa jenen aus intelligenten Geräten. So zeichnen zukunftsträchtige Intelligente Transportsysteme (ITS) beispielsweise nicht nur die Route, die Geschwindigkeit und den Energieverbrauch auf, sondern auch das Geburtsdatum oder den Namen des Fahrenden. Daten wie beispielsweise jene eines ITS zu filtrieren, zu verändern oder zu verkaufen, ist ein verlockendes Geschäft für die Cyberkriminellen. Je mehr Daten, desto besser die Einnahmen – und so perfektionieren sie ihre Angriffe entsprechend. Es ist damit zu rechnen, dass die Standard-Malware des Jahres 2022 ein besonders heimtückisches Botnet-as-a-Service-Modell umfassen wird. Dieses wird in der Lage sein, mehrere Plattformen gleichzeitig zu kompromittieren, so dass sich mit nur einem Angriff gleich mehrere Player lahmlegen lassen.
Die drohende Gefahr wird bisher weitgehend unterschätzt
Weil Unternehmen zunehmend Anwendungen des Internet of Things (IoT) nutzen oder IoT-fähige Geräte einsetzen, ist ihr Risiko, Opfer eines Botnet-as-a-Service-Angriffs zu werden, entsprechend hoch. Ein solcher Angriff bleibt unter Umständen unbemerkt, bis es zu spät ist. Denn es ist keineswegs einfach, Bedrohungen, die auf Server gerichtet sind, zwischen den weiteren ebenfalls laufenden Angriffen herauszufiltern, die etwa über virtuelle private Netzwerke (VPNs), Spear-Phishing-E-Mails oder ungeschützte RDP-Ports (Remote Desktop Protocol) erfolgen. Zudem lässt sich vor allem in hybriden Arbeitsumgebungen äußerst schwer nachvollziehen, wo und wie Cyberkriminelle eindringen oder sich Ransomware-Angriffe wirksam stoppen lassen. Die meisten Unternehmen sind überdies mit der Optimierung ihrer IT-Landschaft beschäftigt – in manchen Fällen mit der Migration in die Cloud oder mit der Einrichtung einer hybriden Arbeitsumgebung und der dazu nötigen IT-Infrastruktur. Nicht zuletzt fehlt es ihnen an Security-Spezialisten. Wegen des Fachkräftemangels sind die IT-Abteilungen notorisch zu eng besetzt und kennen die Gefahr, die von Ransomware für Server ausgeht, oft nicht. Kurz gesagt: Anwender sind noch wenig darauf eingerichtet, ihre Server auf diese Art der Bedrohung zu überprüfen und sie vor ihr wirksam zu schützen.
Gegen die Bedrohung wappnen – Server sichern
Auch wenn Security in vielen Unternehmen noch nicht wirklich zum Chefthema geworden ist, sind sich Anwender meist doch bewusst, dass sie Cyberrisiken im Blick behalten müssen. Doch 2025 könnte die Bedrohungslage noch einmal eine ganz andere Dimension erreichen. Die zunehmende Vernetzung und Kommerzialisierung der Cyberkriminalität ruft neue Akteure auf den Plan, die immer gezielter vorgehen. Sie spezialisieren sich zunehmend auf kleine und mittlere Unternehmen, weil diese angreifbarer sind als große Organisationen. Die Angriffsmethoden jedoch bleiben dieselben, die auch KRITIS-Betreiber oder Regierungen bereits verzeichnen mussten. Mit den zu erwartenden Botnet-as-a-Service-Aufkommen wachsen die Risiken auch für jene, die bisher nicht im Fokus der Angreifer standen. Die Opfer werden mit Datensperren, Datendiebstahl oder der Verwendung wichtiger Informationen gegen sie konfrontiert – und sehen sich gezwungen, den Erpressern nachzugeben. Was können Unternehmen also tun, damit es nicht so weit kommt?
- Bestehende Patch-Lücken schließen, um das Risiko für Zero-Day-Exploits möglichst gering zu halten.
- IoT-fähige Geräte absichern, beziehungsweise sichere IoT-Geräte verwenden. Roadmaps für die Sicherheit dieser Geräte festlegen.
- Die Server absichern (etwa durch Verschlüsselung) und Richtlinien für die Absicherung erstellen.
- Prüfen, ob die Konfigurationsanforderungen der Server erfüllt sind. Ordnungsgemäß konfigurierte Server sind wirksam vor Ransomware-Angriffen geschützt.
Die Anzahl der Anwendungen in einem Server ist begrenzt, zudem beruhen die Anwendungen auf spezifischen Rollen. Daher ist eine Applikationskontrolle, die Anwendungen blockiert, einschränkt oder auf eine Safelist setzt, ein Muss.
Unternehmen, die diese Punkte beachten, sollten weitgehend vor den wachsenden Risiken durch Cyberkriminelle geschützt sein. Besser und umfassender wird der Schutz, wenn sie zusätzlich umfassende Sicherheitskonzepte und wirksame Schutzmechanismen einsetzen, gegebenenfalls auch im Rahmen eines Security-as-a-Service-Modells. Besonders eine Lösung zur Erkennung und Bekämpfung von Angriffen über die verschiedenen Schichten der IT-Infrastruktur, wie Endpunkte, Server, Netzwerke und die Cloud, hinweg (Extended Detection and Response / XDR) hilft dabei, die heutigen Bedrohungen frühzeitig zu entdecken und zu beseitigen, bevor sie Schaden anrichten.
Lesen Sie mehr zum Thema
