Ransomware und die Cloud

Berater Cloud- & Cyber-Security

Der Begriff „Ransomware“ lässt den meisten IT-Verantwortlichen das Blut in den Adern gefrieren – zu Recht. Wenn die Backup-Strategie versagt, könnten alle Unternehmensdaten unwiederbringlich verschlüsselt sein. Ein Silberstreif am Horizont ist jedoch die Cloud, die bisher Ransomware-Angriffe deutlich erschwert hat. Liest man von Ransomware-Angriffen, sind oft nur On-Premise-Systeme betroffen gewesen. Die Cloud lieferte einen gewissen Schutz durch sehr gute Sicherheit, Versionierung und einfache Backups.

Können Angreifende diese Hürde vielleicht überwinden und welche Konsequenzen hat das?

Die Sicherheitsmechanismen der führenden Cloud-Anbieter zu umgehen ist nur selten erfolgreich. Wenn nicht gerade ein Zero-Day-Exploit genau dies ermöglicht, existiert eine umfassende Sicherheitsarchitektur, an welcher sich selbst staatliche Hackergruppen die Zähne ausbeißen. Doch warum ist Ransomware nun dennoch in der Cloud angekommen?

Die Idee hinter den Angriffen ist verhältnismäßig einfach: Angreifende verschaffen sich Zugang zu den Systemen über einen Social-Engineering-Angriff; dieser kann je nach Ziel und Sicherheitskonfiguration variieren. Der einfachste Weg ist hier das Phishing – man besorgt sich quasi den Schlüssel, statt das Schloss zu knacken.

Sobald Zugriff auf einen oder mehrere Accounts besteht, können sich Angreifende in den Dateien umsehen und diese kopieren. Sicherheitsmechanismen können – auch wenn sie richtig konfiguriert sind – durchaus an diesem Punkt versagen. So kann beispielsweise die Data-Loss-Prevention von Microsoft 365 zwar verhindern, dass vertrauliche Daten an Externe gesendet werden, jedoch nicht, dass Screenshots des Bildschirms erstellt werden, während vertrauliche Dokumente geöffnet sind – zur Not auch mit einem Fotoapparat/Mobiltelefon. Sobald die Daten so kopiert sind, können Angreifende damit beginnen, die Cloud-Backups für ihre Zwecke zu missbrauchen – Stichwort ist hier die Dokumenten-Versionierung. Auto-Save-Funktionen speichern bearbeitete Dokumente in einem gewählten Intervall oder nach Veränderung. Nachdem eine vorab definierte Anzahl solcher Versionen überschritten ist, wird die älteste gelöscht. Die Anzahl der vorgehaltenen Versionen kann oft benutzerseitig festgelegt werden – es sind also keine erweiterten Rechte für diese Einstellung nötig. Setzen Angreifende nun die Anzahl der Versionen auf einen möglichst niedrigen Wert, verschlüsseln die Datei und speichern sie einmal zu oft, ist das Cloud-Backup nutzlos.

Wie sieht die Verteidigung gegen diese Art der Angriffe aus?

Die wirksamste Verteidigung ist, die Angreifenden nicht in das System eindringen zu lassen – sprich den Schlüssel nicht aus der Hand zu geben. Entsprechend geschulte Mitarbeitende können eine wirksame „Human-Firewall“ bilden.

Auf technischer Seite ist es notwendig, die Sicherheitsmechanismen korrekt zu konfigurieren und auch offline regelmäßige Backups vorzuhalten. Für IT-Verantwortliche ist es zudem besonders wichtig, aktuelle Angriffsszenarien dauerhaft im Blick zu behalten und das Risiko für das eigene Unternehmen zu bewerten.

Wir unterstützen Sie gerne!

zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.