Skip to content Skip to footer
Suche

Ergebnisse laden

Ransomware als Geschäftsmodell

Wie es funktioniert und wie Sie sich schützen können

Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland

Auch wenn sich einzelne Schritte im Detail unterscheiden, ist der Ablauf eines Ransomware-Angriffs im Grunde immer gleich. Er lässt sich anhand von vier Phasen – Vorbereitung, Angriff, Ausbreitung und Infektion – darstellen. In unserer Blog-Serie veranschaulichen wir diese Phasen anhand eines Beispielszenarios aus der Sicht eines Ransomware-Betreibers und zeigen auf, welche Schutzmassnahmen wirklich effektiv sind. Abschliessend befassen wir uns mit rechtlichen Aspekten von Ransomware-Zahlungen.

Ransomware-Angriffe waren auch im Jahr 2021 die grösste Bedrohung für die Cybersicherheit von Unternehmen – in allen Regionen und Branchen. Die Zahl der gemeldeten Ransomware-Angriffe, bei denen Kriminelle versuchten, Unternehmen zu erpressen, stieg von 1300 im Jahr 2020 auf 2435 im Jahr 2021.

Quelle: PwC, Cyberrisiken 2021: Das Jahr im Rückblick, 2022
The New Equation

Cybersecurity und Datenschutz

Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.

Mehr erfahren


Phase 4: die Infektion

In dieser Phase sammelt der:die Hacker:in alle möglicherweise relevanten Daten ein. Dazu gehören Dokumente, Datenbank-Auszüge sowie Zugangs- und Kontaktdaten. Bei dieser Exfiltration sind auch Kontakt- oder Kundendaten von Interesse. Sie können für weitere Angriffs-Kampagnen verwendet oder weiterverkauft werden und ermöglichen damit die nächste Phase der kriminellen Ransomware-Wertschöpfungskette. Die Exfiltration kostet Zeit und dauert meist mehrere Tage. Dateisysteme und Datenbanken werden zwar automatisiert durchsucht und die Ergebnisse direkt heruntergeladen, dennoch muss der Zugriff oft immer wieder manuell hergestellt werden. Unsere angreifende Person kann dies nicht alles selbst bewerkstelligen und stützt sich daher auf andere Cyberkriminelle, die auf diese Phase spezialisiert sind.

Sind die Daten exfiltriert, aktiviert der:die Hacker:in die eigentliche Malware und verschlüsselt die Daten. Die Verschlüsselung setzt die attackierte Organisation direkt unter Druck und ist zugleich Beleg dafür, dass der Angriff erfolgreich durchgeführt wurde. Mit diesem Schritt ist die Arbeit der vierten Phase getan, der:die Hacker:in übergibt den «Bearbeitungsstand» unter Umständen einem:einer anderen Cyberkriminellen, der:die sich um die weitere Kommunikation mit dem «Neukunden» kümmert, und kann sich nach einem guten Start in die Woche der nächsten Organisation auf der Auswahlliste widmen.

Cyber incident response and recovery

Bereiten Sie sich dank unserer vielseitigen und flexiblen Lösungen – einschliesslich Gesamtpaketen – erfolgreich auf bevorstehende Cyber-Bedrohungen vor.

Zum Angebot


Was können Sie nun tun?

Wenn die Cyberkriminellen bis hierhin gekommen sind, können Sie den Angriff nicht mehr abwenden. Aber Sie können ihn noch eindämmen sowie den Schaden und damit insbesondere den Aufwand für die anschliessenden Arbeiten begrenzen. Das ist nicht nur aus wirtschaftlicher Sicht sinnvoll; auch um das Vertrauen in die eigene IT wiederherzustellen, ist eine schnelle Reaktion zwingend nötig.

Monitoring, Incident Detection & Response (IDR)

  • Überwachen Sie die kritischen Assets in Ihrem Netzwerk auf einem möglichst hohen Level. Wenn Sie feststellen, dass zum Beispiel in sehr kurzer Zeit sehr viele, ausschliesslich lesende Zugriffe auf Datensätze erfolgen, hintereinander vom selben Account Datenbankdumps erstellt werden und der ausgehende Traffic sprunghaft ansteigt, sollte ein Alarm ausgelöst werden. Unter dem Schlagwort «Anomalieerkennung» wird von Herstellern von Sicherheitslösungen diesbezüglich zwar viel versprochen, allerdings sollten diese Fähigkeiten auch regelmässig in der Praxis getestet werden.
  • Sobald Sie einen Angriff bemerken, sollten die zuvor eingerichteten IDR-Prozesse zuverlässig greifen. Sorgen Sie für eine schnelle Umsetzung der Massnahmen zur Isolierung und Eindämmung (Isolation & Containment), für die Einbeziehung der relevanten Stakeholder und gegebenenfalls für die Meldung an die zuständige Landesbehörde für Datenschutz. Letzteres hat zwar nicht direkt mit der Angriffsabwehr zu tun, sollte aber innerhalb der gesetzlich vorgeschriebenen Frist erfolgen, um eventuelle Bussgeldforderungen zu vermeiden.
  • Diese Prozesse und das klare Rollenverständnis aller Beteiligten müssen Bestandteil Ihres Information-Security-Managementsystems (ISMS) bzw. Cyber-Security-Managementsystems (CSMS) sein und regelmässig geübt werden. Eine Kombination mit Red Teaming, das heisst mit unabhängigen Sicherheitsteams, die Angriffe simulieren, ist an dieser Stelle insbesondere für Konzerne sinnvoll.

Datensicherung und -Wiederherstellung (Backup & Restore)

  • Je besser Ihre Fähigkeiten in der Datensicherung und -Wiederherstellung sind, desto geringer sind auch Ihre Ausfallzeiten und damit die Verluste durch Ransomware. In Abhängigkeit von Ihrem Risikomanagement haben Sie bereits im Vorfeld die Wiederherstellungszeitpunkte definiert, die Backups ausserhalb Ihres Netzwerks gelagert und auch die Wiederherstellung für den Ernstfall geübt.

#social#

Mit Vertrauen zum Erfolg

Bei PwC sind wir eine Gemeinschaft von Problemlösenden, die Ihnen – unterstützt durch Technologie – helfen, alle und alles zu schützen, was Ihnen wichtig ist.

Mehr zu unseren Dienstleistungen

Kontaktieren Sie uns

Johannes Dohren

Johannes Dohren

Partner, Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 22 20

Naveen Shanmugasundaram

Naveen Shanmugasundaram

Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 24 92