Ransomware-Angriffe abwehren

Angriffserfolge vermeiden

Um weder den Cyberkriminellen, den IT-Sicherheitsberatern, den Schutzsoftwareherstellern noch den teuren Plattformanbietern ausgeliefert zu sein, kann jede Organisation sich gegen Angriffe wappnen, indem intelligente IT-Architekturen und Netzwerktopologien diese Angriffsvariante weitgehend scheitern lassen.

Das Vertrauen auf Front-End Security – also Virenscans auf Clients und Mailservern, Blacklists, Security-Awareness-Training für Endbenutzer greift offensichtlich zu kurz. Backendsysteme und Netzwerk müssen ebenfalls gehärtet werden. Jede Maßnahme hilft, denn sie erschwert den Angriff und/oder mindert das Erpressungspotenzial bzw. wirtschaftliche Schäden.

Die Organisation ertüchtigt man durch Stärkung ihrer Resilienz durch eingeübte, robuste Wiederanlaufverfahren und Unangreifbarkeit trotz Datenverlusts (Disaster Recovery Verfahren): Sind z.B. die erbeuteten Daten bereits verschlüsselt und damit für die Angreifer nicht weiter nutzbar, reduziert sich das „Schreckensszenario“ auf ein bereits geplantes und idealerweise erprobtes  Überbrückungsszenario (gemäß Business Continuity Plan).

Vorbeugende IT-Strategie

Anwendungen feien Sie vor vielen Angriffsszenarien: Sie halten die Daten typischerweise in Datenbanksystemen, die ihre eigenen Sicherheitsmechanismen besitzen und vom sonstigen IT-Betrieb weitgehend isoliert betrieben werden können.

Angreifer müssen dann versuchen, das Datenmodell zu interpretieren oder die Anwendung selber in eigener Infrastruktur inkl. Datenbank und Anwendung (tunlichst ohne Lizenz) wiederherzustellen, um Datensätze zu extrahieren und daraus Erpressungspotenzial mit Nutzdaten zu erzeugen. Dieser Prozess ist sehr aufwendig, langwierig und fehleranfällig.

Flache Dateisysteme mit üblichen Datenformaten machen den Angreifern das Leben leicht. Sie finden die einzelnen Daten zu verwertbaren Informationen in Dokumenten oder Dateien bereits korrekt abgemischt und verknüpft vor.

Dokumentenmanagement spielt eine Schlüsselrolle

Um Wildwuchs insbesondere bei sensiblen Informationen zu vermeiden und damit das Erpressungspotenzial gegen die eigene Organisation zu reduzieren, sollten „freie Datenhaltungen“ auf Clients lokal oder auf Netzlaufwerken bzw. Fileservern vermieden werden. Dateien und Informationen, die die Organisation benötigt sollten getrost Dokumentenmanagementsystemen überlassen werden. Diese sorgen für eine strukturierte Ablage, effiziente Weiterverarbeitung sowie ausreichende Schutzmechanismen:

·                        Zusätzlicher logischer Zugriffsschutz mit Rollenkonzept,

·                        Begrenzte Aufbewahrungsdauer überwacht durch das DMS führt zu schlanker datenschutzkonformer Datenhaltung,

·                        Zentraler Virenschutz auf dem Anwendungsserver,

·                        Gekapselte Datenbank,

·                        Verschlüsselung der Inhalte, bestimmter Felder, Tabellen oder der gesamten Datenbank,

·                        Zugriffschutz auf Ebene des Datenbankserver-Betriebssystems und des Datenbankmanagementsystems – auch außerhalb der Netzwerkdomäne der Organisation

DMS mit Datenhaltungen außerhalb einer Datenbank haben demzufolge nicht nur das Konsistenzproblem bei Backup und Recovery sondern ihnen fehlen auch viele der Schutzmechanismen für die eigentlich wertvollen Inhalte. Demzufolge sind solche Architekturen unter Sicherheitsaspekten kritisch zu sehen.

Abwehrstrategie mit verschiedenen Schichten und Verteidigungslinien

Scheitern von Ransomware Angriffen im DMS

 Einige der Barrieren bzw. Verteidigungsschichten eines modernen und sicheren DMS gegen einen solchen Cyberangriff seien hier noch einmal dargestellt:

1.                        Die Daten befinden sich in der Datenbank. Auf dem Datenbankserver gibt es zu keinem Zeitpunkt infizierte Dateien. Er ist nicht aus dem Internet, sondern nur vom Anwendungsserver aus erreichbar. Kein Benutzer kann dort Dateien direkt also außerhalb der Datenbank des DMS ablegen. Der Zugriff auf OS und DBMS ist beschränkt und kann durch MFA weiter abgesichert werden.

2.                        Der Angreifer muss sich Zugriff auf den Datenbankserver beschaffen.

3.                        Wenn dieser nicht in der Netzwerkdomäne ist, kann das nur durch Social Engineering mit den DB-Administratoren oder Brute Force Angriffe aus der Netzwerkdomäne passieren, was sicher Intrusion-Detection-Systeme anschlagen lässt.

4.                        Die einzelnen Inhalte (Dateien) sind verschlüsselt. Ohne zusätzliche Erbeutung des Schlüssels sind sie wertlos.

5.                        Die Formate der Dokumente/Inhalte müssen rekonstruiert werden, um die Daten darstellbar und damit verwertbar zu machen. Das setzt wiederum erfolgreiche Entschlüsselung voraus.

6.                        Die Verschlüsselung der Datenbankdateien gemäß Angriffsplan greift nicht, da hier einfach auf Backupmedien zurückgegriffen werden kann, sobald die Angreifer ihren Schlüssel angebracht haben. Dies setzt selbstredend eine sichere Lagerung der Medien in geeigneten Intervallen voraus.

Ausblick

Leider rüsten sowohl die „White Hackers“ zur Erkennung und Abwehr als auch die kriminellen Banden kontinuierlich weiter auf. Der nächste Schritt ist der Einsatz von künstlicher Intelligenz zur Verteidigung aber auch zum Angriff.

Es bleibt spannend und C.O.S bleibt für Sie dran…

Handlungsbedarf

Wenn Sie schützenwerte Daten besitzen, sollten Sie nicht auf das Erpresserschreiben  der Cyberpiraten warten, sondern sofort handeln. Bringen Sie Ihre Informationsschätze in Sicherheit im co_docs von C.O.S.

Hilfe

C.O.S unterstützt und berät seine Kunden bei der Analyse von Risiken und passenden IT-Sicherheitsmaßnahmen im Dokumentenmanagement.

Sprechen Sie uns an info@cos.lu .Wir freuen uns auf Ihre Kontaktaufnahme.

• Über C.O.S Collaboration Online Systems GmbH
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?