Ransomware

Was bedeutet Ransomware?

Ransomware ist seit 2017 (WannaCry, NotPetya) eines der dominierenden IT-Sicherheitsrisiken — mit jährlichen Schäden im zweistelligen Milliardenbereich. Aktuelle Familien (LockBit, Black Basta, Akira u. a.) arbeiten als Ransomware-as-a-Service: Entwickler bauen die Schadsoftware, Affiliates dringen in Netze ein und teilen sich die Lösegelder.

Typischer Angriffsablauf: Phishing oder kompromittierte Credentials für den Erstzugang, anschließend Privilege Escalation, Lateral Movement durch das Active Directory, Backup-Server identifizieren und löschen, Daten exfiltrieren, dann Verschlüsselungs-Trigger über alle Hosts. Vom Erstzugriff bis zum Trigger vergehen heute oft nur noch Stunden bis wenige Tage.

Wirksame Verteidigung kombiniert mehrere Schichten: MFA flächendeckend (auch für RDP und VPN), segmentierte Netze, Endpoint-Detection-and-Response, vor allem aber ein Backup-Konzept, das einen aktiven Angriff überlebt — Stichwort Immutable Backups nach 3-2-1-1-Regel mit getrennten Credentials und WORM-Storage. Nur das macht den Unterschied zwischen Ransomware-Vorfall und Ransomware-Insolvenz.

Verwandte Begriffe

• Immutable Backup — Eine Sicherung, die nach dem Schreiben nicht mehr verändert oder gelöscht werden kann — auch nicht von einem Angreifer mit Admin-Rechten oder vom Hersteller selbst.
• 3-2-1-1-Regel — Backup-Strategie: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, davon 1 Offsite, plus 1 immutable bzw. offline.
• SIEM — Security Information and Event Management — zentrale Sammelstelle für Log- und Event-Daten aus dem gesamten IT-Betrieb, mit Korrelationsregeln und Alerting.
• Pentest — Penetrationstest — kontrollierter Angriffsversuch auf eine Infrastruktur durch beauftragte Sicherheitsexperten, mit dem Ziel, Schwachstellen vor dem realen Angreifer zu finden.