Ransomware-Attacken auf Cloud-Daten Online-Erpressung in der Cloud

Cyberangriffe mit Ransomware werden als eine der größten IT-Bedrohungen gesehen. Doch viele Unternehmen konzentrieren sich auf Ransomware, die unzureichend geschützte Endpoints treffen könnte. Dabei sind Cloud-Daten besonders in Gefahr.

Firmen zum Thema

Sicherheitsverantwortliche können sich nicht darauf verlassen, dass Cloud-Services von Erpressungsversuchen verschont bleiben.
Sicherheitsverantwortliche können sich nicht darauf verlassen, dass Cloud-Services von Erpressungsversuchen verschont bleiben.
(Bild: artiemedvedev - stock.adobe.com)

Es ist schon viel zu oft so geschehen: Eine E-Mail von einem scheinbar vertrauenswürdigen Absender verspricht wichtige oder spannende Informationen, wenn man den enthaltenen Link öffnet. Klickt der Empfänger auf den Link, kann dies der Start für eine Online-Erpressung sein. Ransomware wird heruntergeladen, verschlüsselt alle erreichbaren Daten auf dem Endgerät des Opfers und nutzt von dort weitere Zugriffsmöglichkeiten, um andere Datenbestände im Unternehmensnetzwerk böswillig zu verschlüsseln.

Auch die Backups können davon betroffen sein, wenn die Ransomware sie erreichen kann. Passiert dies, haben die Unternehmen kaum noch eine zeitnahe Möglichkeit, die betroffenen Daten wiederherzustellen. Die Angreifer hoffen deshalb, dass die Lösegelder bezahlt werden.

Eine unvollständige Sicht auf Ransomware-Attacken

Um sich vor Ransomware zu schützen, versuchen viele Unternehmen, ihre Endpoints und die zugehörigen Backups noch besser abzusichern. Doch leider reicht dies nicht: Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden, so das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Insbesondere kann nicht nur das komplette Unternehmensnetzwerk von der Ransomware-Attacke betroffen sein, sondern auch die Daten, die das betroffene Unternehmen in Cloud-Diensten vorhält und verarbeitet.

Auch Cloud-Backups im Fokus der Ransomware-Angreifer

Da vollständige Backups als Ausweg aus der Ransomware-Misere gelten und die Wiederherstellbarkeit der Daten die Aussicht der Cyberkriminellen auf das Lösegeld schmälert, nehmen die Attacken schon seit längerem gerade die Backups ins Visier. Sind diese auch kriminell verschlüsselt, wird die Lage für die betroffenen Unternehmen schwieriger. Schließlich nutzen viele Unternehmen die Cloud für ihre Backups. Und so liegt es nahe, dass Angreifer auch diese Backup-Daten verschlüsseln wollen.

Ransomware gehört zu den Top-15-Bedrohungen im ENISA Threat Landscape 2020. Dabei sollte nicht vergessen werden, dass auch Cloud-Daten dadurch bedroht sind.
Ransomware gehört zu den Top-15-Bedrohungen im ENISA Threat Landscape 2020. Dabei sollte nicht vergessen werden, dass auch Cloud-Daten dadurch bedroht sind.
(Bild: ENISA)

Zudem steigt die Bedeutung der Datenverarbeitung in der Cloud. Ransomware-Attacken sind deshalb auch nicht auf Endgeräte und Unternehmensnetzwerke beschränkt, sie betreffen alle Orte der Datenhaltung und Datenspeicherung, auch die Cloud. Es ist deshalb auch nicht verwunderlich, dass Cloud-Provider und MSP (Managed Service Provider) beliebte Angriffsziele sind. Immerhin kann man über den Angriff auf sie viele Unternehmen gleichzeitig treffen und in die Online-Erpressung führen.

So berichtet zum Beispiel die EU-Agentur für Cybersicherheit ENISA: Zahlreiche Branchen verlassen sich auf Managed Service Provider (MSP) und Cloud Service Provider (CSP), um vertrauliche Informationen zu hosten, die für ihren Betrieb unerlässlich sind. Sie verlassen sich auch auf sie, um die Integrität der Daten zu gewährleisten und den unbefugten Zugriff auf sie zu verhindern.

Ransomware von GandCrab und Sodin zielen jedoch auf Schwachstellen in den MSPs ab, die ihre Infrastruktur und die von ihnen gehosteten Daten offenlegen, und ermöglichen schließlich, dass sich der Ransomware-Angriff auf die gesamte Kundschaft des MSP ausbreitet, so ENISA.

Schutz immer auch auf die Cloud ausdehnen

Wenn Unternehmen ein Schutzkonzept gegen Ransomware aufbauen, sollten sie immer auch an ihre Cloud-Daten denken. Deshalb sollte man alle Sicherheitsempfehlungen immer auf die Cloud ausweiten.

Das BSI warnt explizit: Zusätzlich zu den Daten des infizierten Clients werden auch Daten auf zugänglichen Netzlaufwerken oder eingebundenen Cloud-Diensten verschlüsselt. Entsprechend sollte man zum Beispiel auch die ENISA- oder BSI-Empfehlungen gegen Ransomware explizit um die Cloud-Aspekte erweitern. Dann lauten die Hinweise:

  • Sorgen Sie auch für Cloud-Daten für zuverlässige Sicherungen, die der 3-2-1-Regel entsprechen (d. h. mindestens drei Kopien in zwei verschiedenen Formaten, wobei eine dieser Kopien außerhalb des Cloud-Standorts bleibt).
  • Verwenden Sie auch für die Cloud Segmentierung, Datenverschlüsselung, Zugriffskontrolle und Durchsetzung von Richtlinien, um eine minimale Datenexposition sicherzustellen.
  • Verwenden Sie Methoden wie die Cloud-Überwachung, um Infektionen schnell zu identifizieren.
  • Überwachung des Cloud-Status und den Zugriff auf die verwendete Cloud-Infrastruktur.
  • Definieren Sie genau und implementieren Sie auch für die Cloud einen Mindestsatz von Benutzerdatenzugriffsrechten, um die Auswirkungen von Angriffen zu minimieren (weniger Rechte, weniger Daten verschlüsselt).
  • Implementieren Sie ein robustes Schwachstellen- und Patch-Management auch für die genutzten Cloud-Dienste, im Rahmen der geteilten Verantwortung zwischen Cloud-Nutzer und Cloud-Provider.
  • Nutzen Sie den Cloud-Schutz mithilfe von geeigneten Antivirenprogrammen, blockieren Sie jedoch auch die unberechtigte Ausführung von Dateien in der Cloud.
  • Verwenden Sie eine Whitelist, um zu verhindern, dass unbekannte ausführbare Dateien in Cloud-Diensten ausgeführt werden.
  • Investieren Sie in die Sensibilisierung der Cloud-Benutzer für Ransomware.

Auch an dieser Stelle sei bemerkt, dass nicht der Cloud-Provider allein für die Cloud-Sicherheit verantwortlich ist. Es ist entscheidend, die geteilte Verantwortung für die Cloud-Sicherheit auch mit Blick auf die Ransomware-Gefahr zu betrachten.

(ID:47733695)