Ransomware-Angriffe abwehren
Die Angreifer – meist gut organisierte. ausländische, kriminelle Banden erhalten durch Spam sukzessive ausgehend von einem Rechner/Device immer weiteren Zugriff auf Domänen und die Daten ganzer Organisation. Die Daten werden dann unauffällig entwendet, verschlüsselt oder beides.
Durch auf die Unternehmensgröße und Wirtschaftskraft taxierte Erpressungen wird das kriminelle Potenzial dann möglichst voll ausgeschöpft.
Entsprechende Tools dafür sind im Darknet leicht verfügbar. Man kann sich die Dienstleistung aber auch als Servicepaket bestellen und dabei die individuellen Anforderungen nach Persönlichkeitsprofilen, Kaufverhalten, Krankendaten, Kreditkartennummern oder Finanzdaten, Betriebs- oder Forschungsgeheimnissen, Kontozugängen, … beauftragen.
Während große Cloudanbieter oder dezidierte "Security as a Service"-Provider in der Lage sind, diesemTreiben mit personellen Ressourcen angemessener Kompetenz zu begegnen und ihm Werkzeuge gegen entsprechende Bezahlung entgegenzustellen, sind kleinere IT-Betreiber Cloud oder on-premise damit häufig technisch oder wirtschaftlich überfordert. Ermittlungsbehörden scheitern häufig an der Dynamik der gewöhnlich grenzüberschreitenden Angriffe, an denen Rechtssysteme enden und komplizierte internationale Zusammenarbeit beginnt.
Angriffserfolge vermeiden
Um weder den Cyberkriminellen, den IT-Sicherheitsberatern, den Schutzsoftwareherstellern noch den teuren Plattformanbietern ausgeliefert zu sein, kann jede Organisation sich gegen Angriffe wappnen, indem intelligente IT-Architekturen und Netzwerktopologien diese Angriffsvariante weitgehend scheitern lassen.
Das Vertrauen auf Front-End Security – also Virenscans auf Clients und Mailservern, Blacklists, Security-Awareness-Training für Endbenutzer greift offensichtlich zu kurz. Backendsysteme und Netzwerk müssen ebenfalls gehärtet werden. Jede Maßnahme hilft, denn sie erschwert den Angriff und/oder mindert das Erpressungspotenzial bzw. wirtschaftliche Schäden.
Die Organisation ertüchtigt man durch Stärkung ihrer Resilienz durch eingeübte, robuste Wiederanlaufverfahren und Unangreifbarkeit trotz Datenverlusts (Disaster Recovery Verfahren): Sind z.B. die erbeuteten Daten bereits verschlüsselt und damit für die Angreifer nicht weiter nutzbar, reduziert sich das „Schreckensszenario“ auf ein bereits geplantes und idealerweise erprobtes Überbrückungsszenario (gemäß Business Continuity Plan).
Vorbeugende IT-Strategie
Anwendungen feien Sie vor vielen Angriffsszenarien: Sie halten die Daten typischerweise in Datenbanksystemen, die ihre eigenen Sicherheitsmechanismen besitzen und vom sonstigen IT-Betrieb weitgehend isoliert betrieben werden können.
Angreifer müssen dann versuchen, das Datenmodell zu interpretieren oder die Anwendung selber in eigener Infrastruktur inkl. Datenbank und Anwendung (tunlichst ohne Lizenz) wiederherzustellen, um Datensätze zu extrahieren und daraus Erpressungspotenzial mit Nutzdaten zu erzeugen. Dieser Prozess ist sehr aufwendig, langwierig und fehleranfällig.
Flache Dateisysteme mit üblichen Datenformaten machen den Angreifern das Leben leicht. Sie finden die einzelnen Daten zu verwertbaren Informationen in Dokumenten oder Dateien bereits korrekt abgemischt und verknüpft vor.
Dokumentenmanagement spielt eine Schlüsselrolle
Um Wildwuchs insbesondere bei sensiblen Informationen zu vermeiden und damit das Erpressungspotenzial gegen die eigene Organisation zu reduzieren, sollten „freie Datenhaltungen“ auf Clients lokal oder auf Netzlaufwerken bzw. Fileservern vermieden werden. Dateien und Informationen, die die Organisation benötigt sollten getrost Dokumentenmanagementsystemen überlassen werden. Diese sorgen für eine strukturierte Ablage, effiziente Weiterverarbeitung sowie ausreichende Schutzmechanismen:
- Zusätzlicher logischer Zugriffsschutz mit Rollenkonzept,
- Begrenzte Aufbewahrungsdauer überwacht durch das DMS führt zu schlanker datenschutzkonformer Datenhaltung,
- Zentraler Virenschutz auf dem Anwendungsserver,
- Gekapselte Datenbank,
- Verschlüsselung der Inhalte, bestimmter Felder, Tabellen oder der gesamten Datenbank,
- Zugriffschutz auf Ebene des Datenbankserver-Betriebssystems und des Datenbankmanagementsystems – auch außerhalb der Netzwerkdomäne der Organisation
DMS mit Datenhaltungen außerhalb einer Datenbank haben demzufolge nicht nur das Konsistenzproblem bei Backup und Recovery sondern ihnen fehlen auch viele der Schutzmechanismen für die eigentlich wertvollen Inhalte. Demzufolge sind solche Architekturen unter Sicherheitsaspekten kritisch zu sehen.
Scheitern von Ransomware Angriffen im DMS
Die Barrieren eines modernen und sicheren DMS gegen einen solchen Cyberangriff seien hier noch einmal dargestellt:
- Die Daten befinden sich in der Datenbank. Auf dem Datenbankserver gibt es zu keinem Zeitpunkt infizierte Dateien. Er ist nicht aus dem Internet, sondern nur vom Anwendungsserver aus erreichbar. Kein Benutzer kann dort Dateien direkt also außerhalb der Datenbank des DMS ablegen. Der Zugriff auf OS und DBMS ist beschränkt und kann durch MFA weiter abgesichert werden.
- Der Angreifer muss sich Zugriff auf den Datenbankserver beschaffen.
- Wenn dieser nicht in der Netzwerkdomäne ist, kann das nur durch Social Engineering mit den DB-Administratoren oder Brute Force Angriffe aus der Netzwerkdomäne passieren, was sicher Intrusion-Detection-Systeme anschlagen lässt.
- Die einzelnen Inhalte (Dateien) sind verschlüsselt. Ohne zusätzliche Erbeutung des Schlüssels sind sie wertlos.
- Die Formate der Dokumente/Inhalte müssen rekonstruiert werden, um die Daten darstellbar und damit verwertbar zu machen. Das setzt wiederum erfolgreiche Entschlüsselung voraus.
- Die Verschlüsselung der Datenbankdateien gemäß Angriffsplan greift nicht, da hier einfach auf Backupmedien zurückgegriffen werden kann, sobald die Angreifer ihren Schlüssel angebracht haben. Dies setzt selbstredend eine sichere Lagerung der Medien in geeigneten Intervallen voraus.
Ausblick
Leider rüsten sowohl die „White Hackers“ zur Erkennung und Abwehr als auch die kriminellen Banden kontinuierlich weiter auf. Der nächste Schritt ist der Einsatz von künstlicher Intelligenz zur Verteidigung aber auch zum Angriff.
Es bleibt spannend und C.O.S bleibt für Sie dran…
Handlungsbedarf
Wenn Sie schützenwerte Daten besitzen, sollten Sie nicht auf das Erpresserschreiben der Cyberpiraten warten, sondern sofort handeln. Bringen Sie Ihre Informationsschätze in Sicherheit im co_docs von C.O.S.
Hilfe
C.O.S unterstützt und berät seine Kunden bei der Analyse von Risiken und passenden IT-Sicherheitsmaßnahmen im Dokumentenmanagement.
Sprechen Sie uns an info@cos.lu .Wir freuen uns auf Ihre Kontaktaufnahme.
Seit 1982 sind wir als IT-Unternehmen tätig und seit 1999 als Spezialist für Risiko- und Qualitätsmanagementsysteme bekannt.
Dazu verwenden wir moderne Webtechnologie und höchste IT-Sicherheitsstandards. Unsere Produkte sind auf verschiedenen Technologieplattformen integrierbar und decken alle Unternehmensgrößen und eine Vielzahl von Branchen ab. Unser Team setzt sich zusammen aus Experten an Standorten in Luxemburg, Deutschland und Marokko.
Risiko- und Qualitätsmanagement mit C.O.S Software
Effiziente Arbeitsprozesse und gezielte Verteilung von Informationen: Wissen ist der Treibstoff von Geschäftsprozessen. Aus diesem Grund machen wir es uns zur Aufgabe, das Qualitätsmanagement-System Ihres Unternehmens durch integrierte Arbeitsabläufe zu unterstützen. Entdecken Sie unsere innovativen Softwarelösungen, die Ihnen eine branchenspezifische und individuell zugeschnittene Optimierung Ihrer Arbeitsprozesse ermöglichen.
Ihr Profi für:
• Dokumentenlenkung,
• Beschwerde- und Vertragswesen,
• Ideenmanagement und KVP,
• CAPA, FMEA,
• Risiko- und Auditmanagement,
• Maßnahmenverfolgung,
• Wissens- und Schulungsmanagement
C.O.S ist Ihr leistungsstarker und absolut zuverlässiger Partner für Ihr individuelles, ganzheitliches, revisions- und zukunftssicheren Qualitätsmanagement-System. Wir unterstützen Sie bei Aufbau und Pflege Ihres eigenen Qualitätsmanagement Systems und stehen Ihnen jederzeit mit unserer Kompetenz und jahrelangen Erfahrung zur Seite.
Mit unseren Lösungen zum Qualitäts- und Risikomanagement garantieren wir Ihnen stets aktuelle Daten, einen übersichtlichen Aufbau sowie einen einfachen Zugang mit bedienungsfreundlicher Nutzeroberfläche.
Dank unserer branchenspezifischen Softwarelösungen erhalten Sie und Ihre Mitarbeiter speziell zugeschnittene und ansprechend formulierte Informationen, mit der Sie die Produktivität Ihrer Prozesse steigern und die daraus resultierende Qualität Ihrer Arbeiten in Zukunft optimal gestalten können.
C.O.S Collaboration Online Systems S.A.R.L.
11, Rue de Luxemburg
LL-6750 Grevenmacher
Telefon: +352 (42) 47-12
Telefax: +49 (2838) 562869-9
https://cos.de
Geschäftsführer
Telefon: +49 (2838) 562869-1
Fax: +49 (2838) 562869-9
E-Mail: nikil.merani@cos.lu
Vertrieb
E-Mail: christoph.mueller@cos.lu