Januar 18, 2023 —

Peter Mackenzie, Direktor Incident Response bei Sophos, ist so etwas wie der Indiana Jones der Cyberlandschaft: Unermüdlich scannt er mit seinem Team Computersysteme auf der Suche nach Auffälligkeiten, die Hinweise auf eine Cyberbedrohung geben. In den meisten Fällen rufen Geschädigte die Experten zu sich, weil sie Opfer zum Beispiel einer Ransomware-Attacke wurden oder noch mittendrin sind. Die Crux: wenn ein derartiger Erpresser-Vorfall die Rechner lahmlegt, ist das nicht der Anfang eines Cyberangriffs, sondern das aggressive Finale. „Ich beschreibe Ransomware oft als Quittung, die die Kriminellen zum Schluss dalassen. Viele der Opfer, die wir befragen, wann was passiert ist, geben an, dass die Verschlüsselung um ein Uhr nachts startete und sie daraufhin Alarme erhielten. Wenn wir dann die Systeme untersuchen, finden wir oft heraus, dass die Betrüger bereits seit zwei Wochen im Netzwerk sind und ihre Vorbereitungen getroffen haben“, so Peter Mackenzie.

Cybercrime ist längst professionalisiert

Wer jetzt denkt, dass eine Person oder ein Grüppchen Tag und Nacht auf die Tastatur hackt, die verschlüsselten Daten fein aufbewahrt und d’accord zur Ganovenehre nach erpresster Zahlung zurückgibt, um sich mit der erbeuteten Kohle ein schönes Leben an der Copacabana zu machen, hat zu viele Filme der 80er Jahre gesehen. In Wirklichkeit sind Cyberangriffe längst professionalisiert. Es gibt für jeden Bereich einer Attacke spezialisierte Anbieter, die von „Wir bringen Sie in jedes Netzwerk“ (hier gibt es bereits die Profession des Initial Access Brokers….), über „Wir kaufen gestohlene Daten“ bis zu „Wir übernehmen die Erpressung“ reichen. Expertenwissen ist nicht nötig, und auch wer den Zugang zum Dark Web scheut, wird via Google und How-To-Video bei Youtube zum Cybercrook-Lehrling.

Zuviel Enthusiasmus kann dabei auch schiefgehen, wie der kürzlich beschriebene Fall multipler Angreifer belegt, die als konkurrierende Ransomware-Gruppen das zufällig gemeinsame Opfer in einer Art Schichtwechsel attackierten und sich dabei gegenseitig sabotierten.

Schludrigkeit bei der Gerätepflege wird zur Achillesverse

Das Incident Response Team stoppt nicht nur die Attacke, sondern analysiert auch die Prozesse in den Systemen, was die Cyberganoven getan haben und wozu. Auch ob sie sich Hintertüren für ein späteres Zurückkehren eingebaut haben.

Für die Betrüger ist nach Eintritt in das Netzwerk nach Angaben von Mackenzie ein Aspekt immens wichtig: wozu habe ich Zugang. Dazu scannen sie das Netzwerk, gar nicht mal konkret nach etwas Bestimmtem, sondern eher wie ein Dieb im Büroflur, der jeden Türknauf drückt, irgendwann öffnet sich eine Tür.

Die Möglichkeiten für clevere Betrüger sind heutzutage immens. Wenn sich also ein verdächtiger Impuls auf einem System befindet, Sicherheits-Software diese erkennt und eliminiert, heißt das noch lange nicht, dass das Problem damit gelöst ist. Zumeist ist ein schludriger Umgang mit Aktualisierungen, Patches und Ausstattung jedes einzelnen Geräts der kleine Beginn einer großen Katastrophe.

Moderne Cyberabwehr nur mit aktueller Software und menschlichen Expertise

Peter Mackenzie rät nach all seiner Erfahrung im täglichen Umgang mit Cybergefahren in großen und kleinen Betrieben zur Prävention. Folgende Fragen helfen, die Schwachstellen im Betrieb ausfindig zu machen und Vorkehrungen (Tools, Experten, Services etc.) dazu zu treffen. Und zwar am besten sofort, um im Ernstfall rasch reagieren zu können.

  1. Was passiert, wenn wir eine Ransomware-Attacke haben?
  2. Was geschieht, wenn unsere Backups gelöscht werden?
  3. Was passiert, wenn uns jemand mitteilt, wir hätten einen Angreifer in unserem Netzwerk?

Sicherheit ist ein umfassender und zeitaufwändiger Prozess, der kontinuierlich der Pflege und Korrektur bedarf. Software, die initial Auffälligkeiten erkennt und MDR (Managed Detection and Response)-Experten, die rund um die Uhr Angriffe identifizieren und stoppen sowie den Schaden für die Systeme begrenzen sind essenzielle Grundlage einer modernen Prävention und Abwehr von Cyberangriffen.

Über Sophos

Sophos ist ein weltweit führender Anbieter von modernsten Sicherheitslösungen zur Abwehr von Cyberangriffen, einschließlich Managed Detection and Response (MDR) und Incident Response Services sowie einem breiten Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Security-Technologien. Als einer der größten ausschließlich auf Cybersicherheit spezialisierten Anbieter schützt Sophos weltweit mehr als 600.000 Unternehmen und Organisationen und mehr als 100 Mio. Benutzer vor aktiven Angreifern, Ransomware, Phishing, Malware und mehr. Die Services und Produkte von Sophos sind über die Management-Konsole Sophos Central miteinander verbunden und werden vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Sophos X-Ops Intelligence optimiert das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dieses Ökosystem umfasst einen zentralen Data Lake, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Cybersecurity- und Informationstechnologie-Anbietern zur Verfügung stehen. Sophos bietet Cybersecurity-as-a-Service für Unternehmen und Organisationen an, die vollständig verwaltete Sicherheitslösungen benötigen. Kunden können ihre Cybersicherheit auch direkt mit der Sophos Security-Operations-Plattform verwalten oder einen hybriden Ansatz nutzen, bei dem sie ihre internen Teams mit Sophos-Services ergänzen, einschließlich Threat Hunting und Maßnahmen zur Beseitigung von Bedrohungen. Sophos vertreibt seine Produkte und Services über ein weltweites Netzwerk von Vertriebspartnern und Managed Service Providern (MSPs). Sophos hat seinen Hauptsitz im britischen Oxford. Weitere Informationen finden Sie unter www.sophos.de.