Cyberangriffe auf staatliche Institutionen: BSI-Warnung für 2023
In seinem Bericht zur Lage der IT-Sicherheit in Deutschland gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jährlich einen Überblick über die Bedrohungen im Cyberraum. Für 2023 kommt die Cybersicherheitsbehörde zu dem Ergebnis, dass die Bedrohung im Cyberraum so hoch ist wie nie zuvor.
Als größte Bedrohung nennt das BSI Ransomware und beobachtet eine Verlagerung der Attacken. Statt große, zahlungskräftige Unternehmen, rücken zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen in den Mittelpunkt der Attacken.
Die Gefahr der Datenverschlüsselung durch Ransomware
Ein Ransomware-Angriff ist eine Form der digitalen Erpressung, bei der die Angreifer beispielsweise Fehler wie Fehlkonfigurationen, veraltete Softwareversionen, falsche Bedienung oder mangelhafte Datensicherung ausnutzen, um Systeme tiefgreifend zu infiltrieren und Daten zu verschlüsseln. Für die Entschlüsselung verlangen die Angreifer dann Lösegeld, sonst werden die zuvor gestohlenen Daten veröffentlicht. Bei dieser Form der Erpressung, auch Double Extortion genannt, fungiert das Lösegeld in der Regel auch als Schweigegeld und die Zahlung wird meist in elektronischen Währungen, wie Bitcoin oder Monero, gefordert. Die unmittelbare Wirkung, die bei einem Angriff auftritt, macht Ransomware für Angreifer so effektiv. Die vom Angriff Betroffenen können zum Beispiel ihren Zugriff auf wichtige Unternehmensdaten verlieren oder sehen sich mit einem Verlust all ihrer gespeicherten Dokumente konfrontiert. Dadurch ist der Druck zur Schadensbegrenzung bei in der Regel so hoch, dass viele Geschädigte bereit sind das geforderte Lösegeld in der Hoffnung zu zahlen, schnell wieder arbeitsfähig zu sein. Das BSI rät jedoch grundsätzlich von einer Zahlung eines Lösegelds ab, da es keine Garantie dafür gibt, dass die Cybererpresser die verschlüsselten Daten tatsächlich wieder freigeben oder die gestohlenen Daten tatsächlich löschen. Auch ist es schon vorgekommen, dass das vom Angreifer zur Verfügung gestellte Entschlüsselungstool, fehlerhaft war.
Vorbeugende Maßnahmen gegen Verschlüsselung von Daten (Angriffsphase 6)
In der heutigen zunehmend vernetzen Welt mit teils multinationalen Unternehmen, beschränken sich die Schäden im Falle eines erfolgreichen Ransomware-Angriffs oft nicht mehr nur auf die regionale Ebene, sondern breiten sich oft unabhängig von nationalen und territorialen Grenzen weltweit im Unternehmensnetzwerk aus. Dadurch stellen Ransomware-Angriffe unverändert die größte cyberkriminelle Bedrohung dar.
Effektive Maßnahmen gegen Ransomware-Angriffe:
Ein Ransomware-Angriff besteht aus mehreren Schritten, die im Folgenden genannt und denen das BSI jeweils Maßnahmen zugeordnet hat, die Auswirkungen im Ernstfall begrenzen oder sogar vollständig kompensieren können.
Angriffsphase 1 – Einbruch
Als die drei häufigsten Einfallsvektoren von Ransomware-Gruppen wurden Malware-Spam oder Links auf schadcodebehaftete Server, die Ausnutzung von Schwachstellen sowie der Zugriff über schlecht abgesicherte externe Zugänge identifiziert.
Gegenmaßnahmen: E-Mails als „Nur-Text“ oder „reiner Text“ codiert anzeigen zu lassen, sodass in der Darstellung keine eventuell enthaltenen Makros oder versteckte Befehle ausgegeben werden, oder Webadressen verschleiert werden können. Weiterhin sollten regelmäßig Sicherheitsupdates in die IT-Systeme eingespielt und der Zugriff von außen abgesichert werden – normalerweise über Virtual Private Networks (VPNs) in Kombination mit einer Multifaktor-Authentifizierung.
Angriffsphase 2 – Rechteerweiterung
Gegenmaßnahme: Absicherung der Administrator-Accounts über eine Multifaktor-Authentifizierung.
Angriffsphase 3 – Ausbreitung
Gegenmaßnahme: Sichere Verwendung von Administrator-Accounts durch eine saubere Netzwerksegmentierung. So können Schäden einer eventuell eingeschleusten Ransomware zunächst nur die Systeme im jeweiligen Segment erreichen.
Angriffsphase 4 – Datenabfluss
Gegenmaßnahme: Anomalie-Detektion im Netzwerk um zeitnah einen potenziell unerwünschten Datenabfluss zu erkennen.
Angriffsphase 5 – Verschlüsselung
Gegenmaßnahme: Regelmäßige Offline-Backups von Daten.
Angriffsphase 6 – Incident Response
Gegenmaßnahme: Notfallplanung für Notbetrieb und Wiederherstellung geschäftskritischer Systeme.
Notwendigkeit von regelmäßigen Sicherheitsupdates und Antivirensoftware
Cyberangriffe kommen jedoch auf den unterschiedlichsten Wegen (zum Beispiel im E-Mail-Anhang, über Webserver, Exploit etc.) zum Einsatz und treffen nicht nur Unternehmen oder Institutionen. Diverse Schadprogramme können jeden Nutzer angreifen und beispielsweise über Verlinkungen in E-Mails, im Anhang oder über einen Link auf einer unseriösen Webseite auf einen Computer gelangen.
Schutz gegen Angriffe mit Schadprogrammen bieten regelmäßige Sicherheitsupdates und die Investition in geeignete Antivirensoftware, die die Schadsoftware rechtzeitig entdecken, an einer Ausführung hindern und vom System entfernen. Zu den führenden Anbietern solcher Antivirenprogramme gehören Kaspersky, McAfee, G Data, sowie Lösungen aus dem Angebot von Microsoft Office. Für weitere Informationen und Produkte besuchen Sie gerne unsere Webseite Softwareindustrie24.
Vgl. Die Lage der IT-Sicherheit in Deutschland 2023. Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland (bund.de)
