Cyber-Sicherheit Ransomware-Attacke: Wie deutsche Firmen sich schützen können

Autor / Redakteur: Will Stefan Roth* / Alexander Stark

Die Ransomware-Attacke auf ein französisches Pharmaunternehmen hat Will Stefan Roth von Nozomi Networks zum Anlass genommen, genauer zu fragen, wie sich deutsche Unternehmen vor derartigen Attacken schützen können.

Firmen zum Thema

Mit Ransomware verschlüsseln Hacker Dateien auf den Rechnern ihrer Opfer.
Mit Ransomware verschlüsseln Hacker Dateien auf den Rechnern ihrer Opfer.
(Bild: gemeinfrei / Pixabay )

München – Im Zuge einer Ransomware-Attacke durch Revil sieht sich der französische Arzneimittelkonzern Pierre Fabre einer Lösegeldforderung von bis zu 50 Millionen Euro ausgesetzt. Der zweitgrößte französische Hersteller von Hautkosmetikprodukten aber auch Medikamenten für die Chemotherapie musste als Folge dessen kurzzeitig die Produktion stilllegen. Die Attacke konnte schnell unter Kontrolle gebracht werden – innerhalb von 24 Stunden nach Bekanntwerden des Angriffs konnte laut Angaben von Pierre Fabre die Ausbreitung der Ransomware gestoppt werden.

Auch wenn das Unternehmen in diesem Fall glimpflich davongekommen ist und keine Strafzahlung leisten musste, gehen mit einem Produktionsstopp immer hohe Einnahmeverluste einher. Hinzu kommen soziale und medizinische Folgen, wenn Arzneiprodukte nicht ausgeliefert werden können. Gerade im Falle der aktuellen Pandemie kann ein erfolgreicher Angriff auf einen Arzneimittelhersteller verheerende Folgen haben.

Ein weiterer Punkt, den es zu beachten gilt: Häufig steht eine Lösegeldforderung durch Ransomware am Ende einer langandauernden Cyber-Attacke. Vorher sind oftmals wertvolle Daten unbemerkt abgewandert und gewinnbringend weiterverkauft worden. Die frühzeitige Erkennung solcher Angriffe ist deshalb unabdingbar für Unternehmen.

Um den Anfang eines Angriffs rechtzeitig zu erkennen, sind deshalb Investitionen in die Sichtbarkeit innerhalb der Netzwerke dieser Unternehmen zwingend notwendig. OT- und IoT-Assets in Produktionsunternehmen stellen ein beliebtes Einfallstor für Kriminelle dar; umso kritischer ist es, wenn nicht bekannt ist, wie viele Assets mit dem Netzwerk verbunden sind und wie ihr aktueller Status ist.

Entscheider in solchen Betrieben sollten deshalb nach Lösungen für die Sichtbarkeit innerhalb von Produktionsumgebungen suchen, um ihre Angriffsfläche zu verkleinern. Eine der größten Sorgen beim Einsatz solcher Technologien ist ihr Einfluss auf die laufende Produktion: Ein aktives Polling im Netzwerk sorgt bei mehreren zehntausend Assets für große Belastungen und kann im schlimmsten Fall für einen Ausfall überlasteter Endpunkte sorgen. Deshalb sind Lösungen, die nicht nur auf aktives Polling setzen, in jeder Hinsicht besser. Beim sogenannten Smart Polling werden im ersten Schritt so viele Assets wie möglich passiv und in kleinen Data Footprints angefragt, um die Geräte und ihre Verbindungen nicht zu überlasten. Nur bei solchen, die zu wenig Informationen liefern folgt ein aktives Polling.

Will Stefan Roth, Sales Director Dach, Eastern Europa & Baltics
Will Stefan Roth, Sales Director Dach, Eastern Europa & Baltics
(Bild: Nozomi Networks)

Sind erst einmal alle Assets eines Produktionsunternehmens auf diese Weise bekannt, kann ihr Verhalten hinsichtlich Anomalien, die auf einen Angriff hindeuten könnten, untersucht werden. Dazu gehören etwa verdächtige Verbindungen von Assets nach außen hin, die vorher nicht existiert haben und die nun große Mengen an Daten nach außen hin ableiten. Pharmaunternehmen stehen im Zuge der Pandemie im Rampenlicht und ziehen nicht nur positive Aufmerksamkeit auf sich. Damit sie auch weiterhin ihre Produktivität aufrechterhalten können und nicht Opfer von Angriffen werden, brauchen sie Sichtbarkeit in ihren Produktionsumgebungen.

* Will Stefan Roth, Sales Director Dach, Eastern Europe & Baltics bei Nozomi Networks

(ID:47359969)