(sm) Man braucht gute Laune, wenn man über das Thema Ransomware 2022/2023 schreibt, denn die Gesamtsituation ist wenig zufriedenstellend: Auf der einen Seite findet man immer mehr Angreifer, die mit wirtschaftlich-aggressiven Methoden ihr „Geschäft“ betreiben; und auf der anderen Seite, der Opfer-Seite, finden sich immer noch eine Menge Firmen, die nach dem St.-Florians-Prinzip (Heiliger St. Florian, verschon mein Haus, zünd‘ ein anderes an) verfahren und ihre IT mit einer vor 1, 2 Jahrzehnten aufgesetzten Firewall schützen und ansonsten alles so belassen, wie es ist – bis es eines Tages eben doch passiert: Die Daten sind fort – und auf den Monitoren der Mitarbeiter flimmert eine exorbitante Lösegeldsumme.

„Trotz aller Fortschritte in der Weiterentwicklung und der Verbesserung der IT-Sicherheit hat sich die Cybersicherheitslage bislang im Vergleich zu den Vorjahren allerdings nicht wesentlich verbessert. Laut Bitkom entstanden 2021 in der deutschen Wirtschaft Schäden von rund 203 Milliarden Euro durch Angriffe auf IT; 84 % aller Unternehmen waren betroffen. Und 2022 soll die Schadenssumme sogar noch gestiegen sein. Die gegenwärtige geopolitische Situation gibt keine Hoffnung auf Besserung. Ganz im Gegenteil: Schlechte wirtschaftliche Aussichten begünstigen Cyberkriminalität. Der Krieg Russlands gegen die Ukraine, die Spannungen mit China, die Lage im Iran führen alle zu mehr Spionage und vermutlich auch zu mehr Sabotage.“ Diese wenig mutmachenden Worte finden sich im Whitepaper „Aktive Cyberabwehr“ aus dem Fraunhofer Institut (https://tinyurl.com/w68rm7a9); Autoren: Prof. Dr. Haya Shulman und Prof. Dr. Michael Waidner.

Dabei gäbe es durchaus einige probate Gegenmittel, die zwar in den seltensten Fällen einen gezielt durchgeführten Angriff vollständig abwehren können, aber dafür im Nachgang das Schlimmste verhindern. Das Wichtigste: Halten Sie Ihre Betriebssysteme aktuell – und halten Sie von nicht mehr unterstützten Betriebssystemen vor allem eines: großen Abstand. Wenn Sie dann noch dafür sorgen, dass jeder Mitarbeiter nur auf die Daten Zugriff hat, die er wirklich benötigt, dann haben Sie als mittelständisches Unternehmen zumindest Ihre Hausaufgaben gemacht.

Die Maßnahmen klingen wie Allgemeinwissen, das doch sowieso jeder befolgt? Sie würden sich wundern: Gewachsene Netzstrukturen sind der Feind jeglicher Abwehrmaßnahmen. Ein Beispiel: Vor Jahren hat ein Lehrling einen NT-Server aufgesetzt, auf dem eine Spezialsoftware installiert wurde, die bis heute für das Funktionieren des Unternehmens lebensnotwendig ist; bei der Umstellung auf Windows Vista funktionierte die Software nicht, also beließ man es als Unterbau beim stabil laufenden Windows NT – die Uraltmaschine läuft heute immer noch.

Und (un)glücklicherweise war Hardware in den Anfangszeiten der 32-Bit-Betriebssysteme langlebiger als heute. Nur deshalb nämlich funktioniert diese Maschine noch immer. Natürlich gibt es schon seit Jahrzehnten keine Sicherheitsupdates mehr – und die Firewall wurde schon bei der Installation des Servers stillgelegt (seinerzeit ein handelsübliches Verfahren, weil man ja nicht davon ausgehen musste, dass Angriffe von einem Gerät innerhalb des eigenen Netzes erfolgen). Wenn also ein Angreifer sich auf diesem Gerät breitmachen würde, besteht die Gefahr, dass es kaum jemand bemerkt, , bis es zu spät ist.

Heute aber gilt die damalige Annahme nicht mehr, dass man aus dem eigenen Netz nicht angegriffen werden kann – niemand ist vor Geräten aus dem eigenen Netz sicher, weil Angreifer durch die Übernahme ungesicherter Maschinen ins Netz eindringen und vom vermeintlich vertrauenswürdigen Gerät aus den Angriff durchführen. Deshalb gilt heute in gut gesicherten Umgebungen das No-Trust-Prinzip – jedes Gerät wird nicht nur als Datenlieferant gesehen, sondern auch als potentielle Störquelle und muss „beweisen“, dass der jeweilige Zugriff ohne böse Absicht und im Rahmen der zugelassenen Berechtigungen erfolgt.

Das Konzept ist in sich ziemlich schlüssig – wirklich Hand und Fuß bekommt es aber erst, wenn man dafür sorgt, dass jeder Rechner nur mit den Geräten kommunizieren kann, mit denen er kommunizieren darf. Dafür wurde schon Ende der 90er Jahre das Konzept der Broadcast-Domains entworfen, mit denen man das Netz in kleinere Segmente unterteilte, um den Kommunikationstraffic zwischen den Maschinen klein zu halten – in Zeiten, in denen die meisten lokalen Netze mit 10 MBit/s auskommen mussten, ein durchaus zugkräftiges Argument, um teure Hardware zu beschaffen.

Schnell erkannte man, dass die Unterteilung des Gesamtnetzes in kleinere Segmente weitere Vorteile bot: Ein Mitarbeiter der Lagerverwaltung bekam die Rechner der Buchhaltung gar nicht erst zu Gesicht, konnte also auch gar nicht versuchen, sich unberechtigt Zugriff zu verschaffen. Allerdings verkompliziert das Unterteilen des Netzes in kleine Einheiten den Gesamtaufbau erheblich. Denn oft genug geht es gar nicht anders, als dass eine Abteilung auf die Daten einer anderen zugreifen können muss, weil sie sonst ihre Aufgabe nicht erledigen kann. So muss beispielsweise der Einkauf die Abfrage eines Lieferanten, wo denn das Geld bleibt, mit einem Blick auf die Zahlungsvorgänge der Buchhaltung beantworten können. Je kleiner die Netzsegmente unterteilt werden (und möglichst klein ist im Sinne des Schutzes vor Ransomware wünschenswert), desto mehr solcher Übergänge sind zu pflegen und zu verwalten. Mikro-Segmentierung macht also zuerst einmal mehr Arbeit, bevor sie dabei hilft größeren Schaden zu vermeiden.

Sinnvollerweise lässt sich eine Firma – selbst dann, wenn die eigene IT-Abteilung durchaus angesehen und kompetent ist, von Spezialisten helfen, die derlei Szenarien kennen und schon oft durchgespielt haben. Die wissen auch, wie man Mitarbeiter befragt, welche Ressourcen sie unbedingt benötigen, um ihren Job zu erledigen, und wie das Arbeiten möglicherweise effektiver gestaltet werden könnte. Und: die wissen auch, wie diese Routen innerhalb des Netzes so anlegt werden, dass durch sie möglichst keine neuen Verbreitungsmöglichkeiten für jegliche Malware entstehen.

Controlware – IT-Dienstleister und Managed Service Provider in Dietzenbach – berät Unternehmen und Behörden rund um Fragen der IT-Security. Unter anderem unterstützt Controlware auch bei der Konzeption und Realisierung von Sicherheitsarchitekturen – unter Berücksichtigung von Compliance-Vorgaben und mit Blick auf zukünftige Entwicklungen. Wenn eine Firma die Maßnahmen selbst durchziehen will, dann steht Controlware den IT-Mitarbeitern durch kompetente Schulungen zur Seite, um das komplexe, neue Wissen in möglichst kurzer Zeit in die Köpfe zu bringen.

Im anderen Fall – die hauseigene IT-Abteilung sieht sich nicht in der Lage, den zusätzlichen Administrationsaufwand zu leisten – greift Controlware mit Managed Services und Support unter die Arme. Auch weitergehende Unterstützung ist möglich – beispielsweise die Absicherung des Unternehmensnetzes im Zuge einer umfassenden Digitalisierungsstrategie. Damit ist auch klar: Die Dienste von Controlware richten sich vorrangig an Unternehmen mit 500 und erheblich mehr Mitarbeitern. Bei solchen Kunden gehören auch komplexe Ausschreibungsverfahren bei der Anschaffung von Unternehmenswerten zum Alltag – auch bei diesen unterstützt Controlware Unternehmen vorbereitend.