Ransomware-Schutz: Warum Compliance nicht ausreicht

Was Sie über Ransomware-Schutz lernen werden:

1. Warum alleinige Compliance Sie verwundbar macht
2. Unverzichtbare Bestandteile eines risikobasierten Schutzes
3. Praktische Schritte zur Umsetzung eines robusten Ransomware-Schutzes schon heute
4. Strategien zur Wiederherstellung, die Schäden minimieren, wenn Prävention fehlschlägt

Beste Cybersicherheits-Software

1. 

   Radware

   This is an aggregated rating for this tool including ratings from Crozdesk users and ratings from other sites.

   4.6

   Visit Website
2. 

   Norton

   This is an aggregated rating for this tool including ratings from Crozdesk users and ratings from other sites.

   4

   Visit Website
3. 

   Material Security

   Visit Website

Der Bärenspray-Irrtum: Eine Parabel zum Ransomware-Schutz

Stellen Sie sich vor, Sie unternehmen eine Wanderung in einem Nationalpark. Besorgt über mit Ransomware vergleichbare Gefahren in der Wildnis – Bären – bereiten Sie sich gewissenhaft vor:

• Sie studieren offizielle Wanderkarten und Bären-Sicherheitsrichtlinien
• Sie packen das empfohlene Bärenspray ein (Ihre „Compliance-Lösung“)
• Sie nehmen sogar für den schlimmsten Fall frische Unterwäsche mit

Während Sie auf dem Mt. Ominous unterwegs sind und frische Bergluft einatmen, geschieht das Unglück – Sie haben Ihr Handy vergessen mit Karten und GPS. Nun sind Sie verloren, während die Dunkelheit hereinbricht.

"Aber ich habe doch die Regeln befolgt!!" rufen Sie hilflos in die Leere.

Die Lehre aus dem Ransomware-Schutz

Diese Geschichte veranschaulicht anschaulich den entscheidenden Unterschied zwischen zwei Ansätzen des Datenschutzes:

1. Nur-Compliance-Ansatz = Der verirrte Wanderer, der Grundregeln folgte, aber keinen umfassenden Schutz hatte
2. Risikobasierter Ransomware-Schutz = Ein vorbereiteter Wanderer mit mehrstufigen Verteidigungen und Notfallplänen zur Wiederherstellung

Diesen Unterschied zu verstehen ist entscheidend, um Ihr Unternehmen in diesem Jahr vor Ransomware zu schützen.

Die aktuelle Lage beim Ransomware-Schutz

Derzeit erleben wir eine trügerische Flaute im Ransomware-Sturm:

• Laut Sophos gibt es im Vergleich zu 2023 einen leichten Rückgang der Angriffsrate
• Juristische Maßnahmen haben einige organisierte Ransomware-Gruppen geschwächt
• Dieses trügerische Sicherheitsgefühl birgt erhebliche Risiken

Verschwenden Sie dieses entscheidende Zeitfenster für den Ransomware-Schutz nicht

Dieses vorübergehende Aufatmen ist keine Einladung zur Nachlässigkeit – es ist die entscheidende Gelegenheit, um:

1. Umfassende Maßnahmen zum Ransomware-Schutz umzusetzen
2. Über die Compliance hinaus in die risikobasierte Sicherheit zu gehen
3. Die Datenresilienz gegenüber unvermeidbaren Angriffen zu stärken

Kritische Vektoren, die Ihre Ransomware-Schutzstrategie abdecken muss

Effektiver Ransomware-Schutz erfordert das Verständnis darüber, wie diese Bedrohungen Ihre Systeme tatsächlich infiltrieren. Während Compliance-Rahmenwerke meist allgemeine Empfehlungen geben, beschreiben sie selten die spezifischen Angriffswege, die Kriminelle nutzen, um Ihre Abwehrmaßnahmen zu umgehen.

E-Mail-basierte Angriffe: Das wichtigste Einfallstor

E-Mail bleibt die am weitesten verbreitete Methode zur Verbreitung von Ransomware. Angreifer setzen dabei zunehmend ausgefeilte Techniken ein:

• Bösartige Anhänge: Angreifer tarnen Ransomware als scheinbar legitime Dokumente, häufig mit Dateiendungen wie .pdf, .docx oder .xlsx. Beim Öffnen dieser Dateien wird schädlicher Code ausgeführt, der Ihre Daten verschlüsselt.
• Eingebettete Makros: Geschäftsdokumente mit schädlichen Makros, die beim Aktivieren Ransomware nachladen und installieren.
• Täuschende Links: E-Mails mit Links zu kompromittierten Webseiten, die automatisch Ransomware herunterladen, sobald sie besucht werden.

Praxisbeispiel: Die berüchtigte Ryuk-Ransomware wird typischerweise durch gezielte E-Mail-Kampagnen mit Word-Dokumenten und darin eingebetteten Makros verbreitet. Sobald Benutzer diese Makros aktivieren, wird der Initial Loader ausgeführt, der eine dauerhafte Infektion etabliert und schließlich die vollständige Ransomware einsetzt.

Webbasierte Infektionswege

Die alltäglichen Surfaktivitäten Ihrer Mitarbeitenden können Ihr Unternehmen Ransomware-Infektionen aussetzen:

• Drive-By-Downloads: Schadcode wird automatisch heruntergeladen und ausgeführt, wenn kompromittierte Webseiten besucht werden – ganz ohne Benutzerinteraktion.
• Malvertising: Seriöse Werbenetzwerke werden mit schädlichen Anzeigen durchsetzt, die auf Exploit-Kits verweisen und Ransomware platzieren.
• Kompromittierte Downloads: Angeblich seriöse Software-Downloads, die mit Ransomware infiziert sind – häufig sind beliebte Freeware oder raubkopierte Inhalte betroffen.

Praxisbeispiel: Das Magnitude Exploit Kit wurde dabei beobachtet, wie es Magniber-Ransomware über Malvertising-Kampagnen ausliefert, wobei gezielt Nutzer in bestimmten Regionen angegriffen werden und Anwender aus anderen Regionen zur Verschleierung ausgelassen werden.

Physische Datenträger & Netzwerkschwachstellen

Oft in Compliance-Prüfungen übersehen, bleiben diese Infektionswege dennoch bedeutende Bedrohungen:

• Infizierte USB-Sticks: Externe Speichermedien mit Ransomware, die automatisch ausgeführt wird, sobald sie mit einem System verbunden werden. Diese werden entweder gezielt deponiert (USB-Drops) oder sind versehentlich infiziert.
• Netzwerkschwachstellen: Ransomware verbreitet sich über nicht gepatchte Systeme im Netzwerk, indem bekannte Schwachstellen wie die berüchtigte EternalBlue-Lücke bei WannaCry ausgenutzt werden.
• Lücken im Remote Desktop Protocol (RDP): Angreifer verschaffen sich Zugriff durch schwache RDP-Zugangsdaten oder ungepatchte Schwachstellen in Fernzugriffstechnologien.

Praxisbeispiel: Die SamSam-Ransomware hatte es gezielt auf Organisationen mit unsicheren RDP-Verbindungen abgesehen. Sie knackte schwache Passwörter per Brute-Force, um zunächst Zugang zu erhalten, und bewegte sich dann seitlich durch Netzwerke, um Ransomware dort zu platzieren, wo sie maximalen Schaden anrichtet.

Phishing erkennen: Ihre erste Verteidigungslinie gegen Ransomware

Phishing bleibt der wichtigste Einstiegspunkt für Ransomware-Angriffe. Es ist entscheidend, Ihr Team im Erkennen solcher Versuche zu schulen:

Warnzeichen verdächtiger E-Mails

• Dringlichkeit und Druck: Nachrichten, die künstlichen Zeitdruck erzeugen („Sofortiges Handeln erforderlich“)
• Verdächtige Absenderadressen: Unbedingt E-Mail-Adressen genau prüfen – oft handelt es sich um kaum wahrnehmbare Schreibfehler seriöser Domains
• Grammatikfehler: Seriöse Organisationen verschicken selten Mitteilungen mit groben Sprach- oder Rechtschreibfehlern
• Ungewöhnliche Aufforderungen: Anfragen, die gängige Abläufe unterlaufen – besonders im Zusammenhang mit finanziellen Themen
• Überfahren von Links: Mitarbeitende sollten lernen, Links vor dem Klicken mit der Maus zu überfahren, um das tatsächliche Ziel zu überprüfen

JOIN THE COMMUNITY

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Sign up with LinkedIn

Or sign up with email:

X/Twitter

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Fortgeschrittene Phishing-Methoden – Worauf Sie achten sollten

• Spear-Phishing: Hochgradig zielgerichtete E-Mails, die persönliche Informationen nutzen, um authentisch zu wirken
• Business Email Compromise: E-Mails, die scheinbar von Führungskräften stammen und dringende Maßnahmen einfordern
• Markenimitation: E-Mails, die vertrauenswürdige Marken nachahmen – oft mit überzeugenden Logos und Formatierungen

Schutz-Tipp: Führen Sie einen einfachen Prozess zum Melden verdächtiger E-Mails ohne Sanktionen ein. So werden Mitarbeitende ermutigt, potenzielle Bedrohungen zu melden, ohne Angst vor Konsequenzen bei Fehlalarmen.

Neue Ransomware-Infektionswege

Umfassender Ransomware-Schutz erfordert Bewusstsein für neue Infektionswege, die von Compliance-Standards noch nicht adressiert werden:

• Lieferkettenangriffe: Ransomware wird über kompromittierte Software-Updates von legitimen Anbietern geliefert
• Schwachstellen in Cloud-Diensten: Ausnutzung von Fehlkonfigurationen in Cloud-Diensten zur Verbreitung von Ransomware
• Ausnutzung von IoT-Geräten: Einsatz angreifbarer Internet-of-Things-Geräte als Einstiegspunkt in Unternehmensnetzwerke
• API-Schwachstellen: Ausnutzung unsicherer APIs für Systemzugriffe und die Verbreitung von Ransomware

Praxisbeispiel: Der Kaseya VSA Angriff im Jahr 2021 zeigte das verheerende Potenzial von Lieferkettenangriffen. Die REvil-Ransomware-Gruppe kompromittierte den Update-Mechanismus des Softwareanbieters und beeinträchtigte gleichzeitig Tausende von Organisationen.

Umfassender Ransomware-Schutz gegen alle Infektionsmethoden

Ein risikobasierter Ansatz für den Schutz vor Ransomware muss alle potenziellen Infektionsvektoren berücksichtigen:

1. Technische Maßnahmen:
   • E-Mail-Filter- und Scanning-Lösungen
   • Webfilterung und Browser-Isolation
   • Netzwerksegmentierung
   • Richtlinien zur Kontrolle von USB-Geräten
2. Menschliche Faktoren:
   • Regelmäßige Schulungen zur Sicherheitsbewusstseinsbildung
   • Simulierte Phishing-Angriffe
   • Klare Meldeverfahren für verdächtige Aktivitäten
3. Betriebliche Sicherheit:
   • Regelmäßiges Schwachstellen-Scanning und zeitnahe Updates
   • Prinzip der geringsten Rechtevergabe
   • Mehrfaktor-Authentifizierung für sämtlichen Fernzugriff

Compliance und echte Ransomware-Abwehr unterscheiden sich häufig darin, wie gründlich Ihre Organisation diese spezifischen Infektionsvektoren adressiert.

Während Compliance-Standards allgemeine E-Mail-Sicherheitsmaßnahmen fordern, geht ein risikobasierter Ansatz weiter und implementiert fortschrittliche Filtertechnologien, regelmäßige Phishing-Simulationen und umfassende Nutzertrainings gegen aktuelle Methoden der Ransomware-Verbreitung.

Das Verständnis und die Abwehr dieser spezifischen Infektionsmethoden stärkt die Ransomware-Resilienz über die Mindestanforderungen der Compliance hinaus.

Ransomware-Schutz für Geräte- und Netzwerkschwachstellen

Wirksamer Ransomware-Schutz bedeutet zu verstehen, dass kein Gerät und kein Netzwerk von Natur aus immun ist. Während sich viele Compliance-Frameworks auf den Schutz zentraler Server und Datenbanken konzentrieren, verlangt umfassende Sicherheit ein konsequentes Augenmerk auf sämtliche Schwachstellen innerhalb Ihrer digitalen Infrastruktur.

PC-Schwachstellen: Das Hauptkampfgebiet

Desktops und Notebooks bleiben aus mehreren Gründen bevorzugte Ziele für Ransomware-Angriffe:

• Verfügbare Ressourcen: Mehr Rechenleistung für Verschlüsselungsprozesse
• Datenkonzentration: Speichern meist große Mengen an geschäftlichen und privaten Daten
• Nutzerrechte: Laufen typischerweise mit höheren Systemrechten als mobile Endgeräte
• Altsysteme: Viele Unternehmen betreiben veraltete, ungepatchte Systeme

Wichtige Erkenntnis: Jede Art von PC kann Ziel von Ransomware werden – vom privaten Heimcomputer über Arbeitsrechner in Unternehmen bis hin zu Servern staatlicher Stellen. Keine Organisation ist zu klein oder zu groß, um ins Visier zu geraten.

Mobile Endgeräte: Die unterschätzte Gefahr

Während Organisationen PCs absichern, geraten mobile Geräte zunehmend in den Fokus von Ransomware-Angreifern:

• Android-Schwachstellen: Besonders anfällig durch uneinheitliche Update-Praktiken und Sideloading-Möglichkeiten
• iOS-Risiken: Zwar restriktiver, aber nicht immun, insbesondere bei jailbroken Geräten
• Zugriff auf Firmendaten: Mobile Geräte greifen heute häufig auf sensible Unternehmensressourcen zu
• Speicherung von Zugangsdaten: Enthält oft Anmeldedaten, die einen umfassenderen Netzwerkkonnektivität ermöglichen können

Warnung: Auch mobile Geräte können mit Ransomware infiziert werden! Da BYOD-Richtlinien (Bring Your Own Device) Standard werden, können ungeschützte Privatgeräte als Zugangstor ins Unternehmensnetz dienen.

Ausnutzung von IoT-Geräten: Der wachsende Perimeter

Die Explosion von Internet-of-Things-Geräten schafft neue Schwachstellen für Ransomware:

• Schwache Sicherheitseinstellungen ab Werk: Viele IoT-Geräte werden mit minimalen Sicherheitskonfigurationen ausgeliefert
• Unregelmäßige Updates: Patch-Zyklen hinken der Bedrohungsentwicklung oft weit hinterher
• Netzwerkzugriff: Bieten potenzielle Einstiegspunkte in wertvollere Systeme
• Kritische Funktionen: In industriellen Umgebungen kann Ransomware auf IoT-Geräten physische Abläufe bedrohen

Netzwerk-Ausbreitung: Wie sich Ransomware wie ein Lauffeuer verbreitet

Das Verständnis, wie sich Ransomware über Netzwerke bewegt, ist entscheidend für die Entwicklung effektiver Schutzstrategien gegen Ransomware:

Techniken der seitlichen Bewegung

Sobald ein einziges Gerät infiziert ist, nutzen moderne Ransomware-Varianten ausgefeilte Methoden zur Weiterverbreitung:

• Scannen von Netzwerkfreigaben: Aufspüren und Verschlüsseln von Daten auf zugeordneten und nicht zugeordneten Netzwerklaufwerken
• Abgreifen von Zugangsdaten: Diebstahl von Authentifizierungsinformationen zum Zugriff auf weitere Systeme
• Ausnutzen von Vertrauensstellungen: Nutzung vertrauenswürdiger Verbindungen zwischen Systemen zur Verbreitung
• Angriffe auf Active Directory: Zielgerichtete Angriffe auf Domänencontroller, um gesamte organisatorische Netzwerke zu unterwandern

Kritische Warnung: Ist Ihr Computer mit einem Netzwerk verbunden, kann sich Ransomware auf andere Computer oder Speichermedien ausbreiten und so potenziell Ihre gesamte digitale Infrastruktur innerhalb von Minuten kompromittieren.

Wurmähnliche Fähigkeiten

Die gefährlichsten Ransomware-Varianten verfügen über Selbstverbreitungsmechanismen:

• Ausnutzung von Schwachstellen: Automatisches Scannen nach und Ausnutzen von ungepatchten Systemen (wie bei WannaCry mit EternalBlue beobachtet)
• RDP-Bruteforce-Attacken: Systematische Angriffe auf Remote Desktop Protocol-Verbindungen mittels Passwortlisten
• Missbrauch des SMB-Protokolls: Ausnutzen von Dateiübertragungsprotokollen zur Seitwärtsbewegung zwischen Systemen
• Selbstverbreitung per E-Mail: Einige Varianten greifen Kontaktlisten ab und versenden sich eigenständig an neue Opfer

Ransomware-Schutz durch Netzwerkinfrastruktur

Ein risikobasierter Ansatz für Schutz vor Ransomware umfasst netzwerkarchitektonische Prinzipien, die die Ausbreitung einschränken:

Kritische Maßnahmen zur Netzwerksicherheit

• Netzwerksegmentierung: Unterteilung von Netzwerken in isolierte Zonen zur Eindämmung von Ausbrüchen
• Zero-Trust-Architektur: Verlangen nach Verifizierung für jedes Gerät und jede Verbindung, unabhängig vom Standort
• Zugriff nach dem Prinzip der geringsten Rechte: Begrenzung von Benutzer- und Systemberechtigungen auf das notwendige Minimum
• Überwachung des Datenverkehrs: Implementierung von Verhaltensanalysen zur Erkennung ungewöhnlicher Datenbewegungen

Schutzstrategie: Die Segmentierung des Netzwerks ist besonders effektiv gegen die Ausbreitung von Ransomware. Die Schaffung logischer Grenzen zwischen verschiedenen Netzwerkbereichen verhindert, dass eine Ransomware-Infektion in einem Segment Ihre gesamte Organisation gefährdet.

Die Lücke zwischen Compliance und ganzheitlicher Sicherheit ist gerade beim Netzwerkschutz besonders offensichtlich. Während Compliance-Rahmenwerke häufig grundlegende Sicherheitsmaßnahmen im Netzwerk fordern, gehen sie selten auf die spezifischen architektonischen Anforderungen zur effektiven Eindämmung moderner Ransomware ein.

Die Entwicklung des Ransomware-Schutzes in Security Suites

Über traditionelle Erkennungsmethoden hinaus

Moderne Security Suites integrieren mehrere Erkennungsebenen, die speziell für Ransomware entwickelt wurden:

• Verhaltensbasierte Erkennung: Anstatt sich ausschließlich auf Signaturerkennung zu verlassen, überwachen moderne Lösungen verdächtige Verschlüsselungsaktivitäten und Dateisystemverhalten, wie sie für Ransomware typisch sind.
• Machine-Learning-Modelle: Fortschrittliche Algorithmen, trainiert mit Millionen von Beispielen, um auch bisher unbekannte Ransomware-Varianten anhand von Verhaltensmustern zu erkennen.
• Heuristische Analyse: Proaktive Untersuchung von Code auf Ransomware-ähnliche Funktionen vor der Ausführung.

Praxiseinsatz: Lösungen wie Bitdefender und Webroot haben Ransomware-Schutz direkt in ihre Kernfunktionen integriert, was den Bedarf an separaten Ransomware-Tools überflüssig macht und einen durchgängigen Schutz im Rahmen einer einheitlichen Sicherheitslösung bietet.

Kritische, auf Ransomware spezialisierte Schutzfunktionen

Die effektivsten Sicherheitssuiten integrieren spezielle Funktionen, die gezielt auf die besonderen Herausforderungen durch Ransomware ausgerichtet sind:

• Anti-Ransomware-Schutz: Dedizierte Module, die speziell Versuche zur Verschlüsselung von Benutzerdateien überwachen und blockieren.
• Prozessüberwachung: Technologien, die verdächtige Prozesse erkennen, welche versuchen, in kurzer Zeit viele Dateien zu verändern.
• Schutz für geschützte Ordner: Spezielle Kennzeichnung wichtiger Dokumentenordner mit zusätzlichen Zugriffskontrollen zur Verhinderung unautorisierter Verschlüsselung.
• Wiederherstellungsfunktionen: Temporäre Dateispeicherung, die eine schnelle Wiederherstellung von Dateien erlaubt, die kurz vor Neutralisierung des Angriffs bereits verschlüsselt wurden.

Integrierte Backup-Lösungen: Die letzte Verteidigungslinie

Ein risikobasierter Ansatz zum Schutz vor Ransomware erkennt an, dass Prävention manchmal scheitern kann, sodass Wiederherstellungsoptionen unerlässlich sind:

Wie moderne Backup-Systeme Ransomware begegnen

• Unveränderliche Backups: Backup-Systeme, die Kopien im Schreib-einmal-Lese-viele-Modus erstellen, die von Ransomware nicht verändert werden können.
• Physisch getrennte Speicherung (Air-Gap): Aufbewahrung von Kopien, die vom Netzwerk getrennt sind und dadurch für Ransomware unerreichbar bleiben.
• Versionsverwaltung: Mehrfache historische Versionen von Dateien werden gespeichert, um gezielt Wiederherstellung auf einen Stand vor der Infektion zu ermöglichen.
• Automatisierte Wiederherstellungsprozesse: Systeme zur Wiederherstellung mit nur einem Klick, die Ausfallzeiten nach einem Angriff minimieren.

Hervorgehobene Lösung: Acronis True Image veranschaulicht diesen Ansatz, indem es wichtige Dateien sichert und fortlaufend überwacht, um Ransomware-Angriffe sowohl auf die Originaldateien als auch auf die Backups selbst zu verhindern – für einen umfassenden Schutz.

Reaktion in Echtzeit: Aktive Bedrohungen neutralisieren

Die fortschrittlichsten Sicherheitssuiten erkennen Ransomware nicht nur – sie neutralisieren sie aktiv:

Automatisierte Ransomware-Behebung

• Sofortige Prozessbeendigung: Verdächtige Prozesse werden sofort beendet, bevor sich die Verschlüsselung ausbreiten kann.
• Automatische Dateiwiederherstellung: Betroffene Dateien werden nahtlos aus temporären Zwischenspeichern oder Backups wiederhergestellt – ohne Nutzerinteraktion.
• Angriffsketten-Analyse: Forensik nach der Erkennung, um den Einstiegspunkt zu identifizieren und künftige ähnliche Angriffe zu verhindern.
• Systemisolierung: Automatische Netzwerktrennung, um die laterale Ausbreitung von Ransomware im System zu unterbinden.

Schutzbeispiel: Während unabhängiger Tests wurden absichtlich Ransomware-Proben in Systeme eingeschleust, bei denen der Echtzeitschutz der Antivirenprogramme deaktiviert war. Dennoch wurden die Bedrohungen durch die speziellen Ransomware-Schutzebenen in Premium-Sicherheitssuiten erkannt, schädliche Prozesse beendet und die betroffenen Dateien aus sicheren Backups wiederhergestellt.

Die richtige Sicherheitssuite für Schutz vor Ransomware auswählen

Nicht alle Sicherheitslösungen bieten denselben Umfang an Schutz vor Ransomware. Bei der Auswahl sollten Sie folgende Kriterien priorisieren:

1. Dedizierte Ransomware-Module: Spezifische Funktionen, die über allgemeinen Malware-Schutz hinausgehen
2. Nachweislich hohe Erkennungsraten: Unabhängige Testergebnisse speziell zur Erkennung von Ransomware
3. Integrierte Backup-Funktionen: Eingebaute oder nahtlos integrierte Backup-Lösungen
4. Geringe Systembelastung: Schutz, der die Systemleistung nicht spürbar beeinträchtigt
5. Regelmäßige Updates: Häufige Aktualisierungen, um auf neue Ransomware-Varianten zu reagieren

Gerade in diesem Bereich wird der Unterschied zwischen Compliance und echter Sicherheit besonders deutlich. Während Compliance-Richtlinien meist lediglich "Malware-Schutz" verlangen, spezifizieren sie selten den fortschrittlichen, mehrschichtigen Ansatz, der für wirksamen Schutz vor moderner Ransomware erforderlich ist.

Mit einer umfassenden Sicherheitssuite, die starke Ransomware-Schutzfunktionen integriert, gehen Organisationen weit über bloße Compliance-Anforderungen hinaus und stärken die echte Widerstandsfähigkeit gegen eine der gefährlichsten Cyberbedrohungen der Gegenwart.

Compliance im Bereich Cybersicherheit – ein vertiefender Blick

Compliance bedeutet im Kern, sich an Regeln zu halten, die von externen Autoritäten – etwa Regierungen, Branchenorganisationen oder vertraglichen Vorgaben – festgelegt wurden, um minimale Sicherheitsstandards zu erfüllen. Diese Vorgaben sollen sicherstellen, dass Unternehmen Daten und Systeme nach vereinbarten Maßstäben schützen.

Zwei Hauptkategorien von Compliance-Anforderungen

Verbindliche Vorschriften

• GDPR: Europäisches Datenschutzgesetz mit Geldbußen bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes
• HIPAA: US-Datenschutz für Gesundheitsdaten mit Strafen bis zu 1,5 Mio. $ pro Verstoß
• CCPA/CPRA: Kalifornische Datenschutzgesetze mit Durchsetzungsstrafen

Diese Vorschriften haben Gesetzeskraft – Sie müssen sie einhalten oder mit erheblichen Konsequenzen rechnen.

Freiwillige Rahmenwerke

• NIST Cybersecurity Framework: Richtlinien ohne direkte gesetzliche Strafen
• ISO 27001: Zertifizierung, die Sie freiwillig anstreben können
• CIS Controls: Best Practices, die Sie nach Belieben übernehmen können

Diese sind nicht rechtlich vorgeschrieben, setzen sich aber häufig durch Marktdruck als faktischer Standard durch.

Die Realität von Compliance vs. Sicherheit

Compliance-Programme konzentrieren sich häufig auf:

• Dokumentation von Prozessen
• Implementierung spezifischer Kontrollen
• Bestehen von regelmäßigen Audits
• Erfüllung von Mindestanforderungen

Für einen angemessenen Schutz vor Ransomware und umfassende Sicherheit sind jedoch folgende Punkte erforderlich:

• Kontinuierliche Bedrohungsüberwachung
• Adaptive Verteidigungsstrategien
• Regelmäßige Tests von Backups und Wiederherstellungsprozessen
• Sicherheitsbewusstsein in der gesamten Organisation
• Proaktives Aufspüren von Bedrohungen

Warum Compliance allein nicht ausreicht

1. Reaktive Natur: Vorschriften entstehen meist nach großen Vorfällen und laufen der Entwicklung immer hinterher
2. Mindeststandards: Sie dienen dazu, das Mindestmaß festzulegen, nicht die optimale Sicherheit zu erreichen
3. Allgemeiner Ansatz: Können keine spezifischen Risiken Ihres Unternehmens adressieren
4. Punktuelle Überprüfung: Compliance-Prüfungen sind Momentaufnahmen, während Sicherheit kontinuierlich gewährleistet werden muss
5. Trügerische Sicherheit: Kann die gefährliche Illusion eines ausreichenden Schutzes gegen Ransomware und andere Bedrohungen erzeugen

Effektive Cybersicherheit integriert Compliance-Anforderungen als einen Bestandteil eines umfassenden, risikobasierten Ansatzes, der auf die spezifischen Bedürfnisse und Bedrohungslagen Ihrer Organisation zugeschnitten ist.

So war etwa trotz der ganzen unverbindlichen Rhetorik die Internationale Initiative gegen Ransomware 2023 – Gemeinsame Erklärung vom vergangenen Jahr ermutigend, weil sie zeigte, dass mehrere Regierungsstellen weltweit das Ransomware-Problem anerkannten und erste Schritte zur Bekämpfung einleiteten.

Regulatorische Rahmenwerke und politische Initiativen allein reichen jedoch nicht aus, um Ihr Unternehmen vor schwerwiegendem Datenverlust oder gar Ransomware-Angriffen zu schützen. 

Über die Ransomware-Schutzrahmenwerke hinausblicken

Rahmenwerke bieten wertvolle Ausgangspunkte, doch ihr universelles Design bringt zwangsläufig Einschränkungen für einzelne Organisationen mit sich.

Das Rahmenwerk-Paradoxon

• Stärke: Stellen standardisierte Best Practices bereit, die branchenübergreifend anwendbar sind
• Schwäche: Können keine individuellen Organisationskontexte und -bedürfnisse berücksichtigen

Compliance vs. Risiko-basierte Sicherheit

Compliance-Ansatz

• Reaktiv ausgerichtet
• Als universeller Standard konzipiert
• Kann ein trügerisches Sicherheitsgefühl erzeugen
• Führt nicht zwangsläufig zu effektiven Sicherheitsresultaten

Risiko-basierter Ansatz

• Proaktiv und dennoch regelkonform
• Auf Ihren spezifischen Geschäftskontext zugeschnitten
• Berücksichtigt individuelle Bedrohungslagen und Schwachstellen
• Schließt Faktoren außerhalb der Standardanforderungen von Rahmenwerken ein

Warum Anpassung wichtig ist

Jede Organisation hat unterschiedliche:

• Technologie-Ökosysteme
• Geschäftsabläufe
• Daten-Sensibilitätsprofile
• Bedrohungsexponierungen
• Branchenspezifische Risiken
• Ressourcenbeschränkungen

Der Weg nach vorn

Die effektivsten Sicherheitsprogramme:

• Verwenden Rahmenwerke als Grundlage, nicht als Endziel
• Bewerten kontinuierlich spezifische organisationale Risikofaktoren
• Passen Schutzmaßnahmen an sich wandelnde, für das Unternehmen relevante Bedrohungen an
• Balancieren Compliance-Anforderungen mit praktischen Sicherheitsbedürfnissen

Indem Sie einen risikobasierten Ansatz entwickeln, der speziell auf Ihre Organisation zugeschnitten ist, schaffen Sie Sicherheit, die in Ihrem Kontext funktioniert, anstatt nur Compliance-Anforderungen abzuhaken.

Angenommen, Ihr SaaS-Unternehmen nutzt das Cybersecurity-Framework des NIST. Während dessen "Protect"-Funktion Zugriffskontrolle und Schulungen umfasst und Sie Maßnahmen zur Erfüllung dieser Anforderungen umgesetzt haben, kann menschliches Versagen dennoch jederzeit auftreten. 

Dies gilt insbesondere, wenn ein Unternehmen diese Rahmenwerke befolgt, anstatt sinnvolle umwelt- und kulturbezogene Kontrollen anzuwenden. Nicht jedes Anti-Phishing-Training ist gleichwertig.

Es ist entscheidend, Inhalte zu wählen, die mit den Standards, Richtlinien und individuellen Risiken Ihres Unternehmens übereinstimmen. Sie sollten immer berücksichtigen, dass menschliches Versagen immer passieren kann. 

Im Innovations-Wettrennen

Ein weiteres Problem: Innovation ist der Regulierung immer voraus.

Leider gilt dieses Prinzip nicht nur für legale Unternehmen – auch Ransomware-Akteure innovieren und entwickeln sich schnell weiter, indem sie neue Methoden nutzen, um Schwachstellen auszunutzen, die Schutzmaßnahmen und -prozesse überholen. 

GenAI wirkt wie Benzin im Feuer.

Risikobasierte Cybersicherheit verfolgt einen proaktiven und evolutionären Ansatz, um die Daten Ihres Unternehmens zu schützen, und strebt stets danach, bestehende Maßnahmen und Praktiken Ihrer Mitarbeitenden weiterzuentwickeln.

Compliance ist ein guter erster Schritt auf diesem Weg, aber dort sollten Sie nicht stehen bleiben. Bewerten und reifen Sie Ihre Sicherheitslage kontinuierlich weiter, indem Sie einen risikobasierten Ansatz verfolgen.  

Stärken Sie Ihre Cybersecurity-Strategie über Compliance hinaus

Viele Unternehmen neigen dazu, nach der Compliance neue Schutz- und Erkennungstools einzuführen. Diese Tools sind zwar wichtig, aber eine wirklich wirksame Cybersecurity-Strategie erfordert einen ganzheitlichen Defense-in-Depth-Ansatz.

Über Tools und Technologie hinausdenken

Jüngste prominente Sicherheitsvorfälle haben eines gemeinsam: Die betroffenen Unternehmen hatten Schutz- und Erkennungssysteme im Einsatz. Dennoch wurden sie öffentlich bekannt.

Ransomware-Schutz, Reaktion und Wiederherstellung

Oft übersehene, aber entscheidende Komponenten sind unter anderem:

• Vorfallreaktionspläne, die regelmäßig getestet und aktualisiert werden
• Business-Continuity-Prozesse, die den betrieblichen Einfluss minimieren
• Wiederherstellungsprozeduren, die eine schnelle Wiederaufnahme der Services ermöglichen
• Abteilungsübergreifende Kommunikationsprotokolle während einer Krise

Defense-in-Depth-Framework

Ein ausgewogenes Modell umfasst folgende Aspekte:

• Prävention: Richtlinien, Zugriffskontrollen, Netzwerksegmentierung
• Erkennung: Monitoring, Threat Hunting, Anomalieerkennung
• Reaktion: Eingrenzung, Untersuchung, Kommunikation mit Stakeholdern
• Wiederherstellung: Datenwiederherstellung, Systemneubau, Nachbearbeitung des Vorfalls

Entscheidende Fragen zum Ransomware-Schutz

• Wie schnell könnten Sie einen Sicherheitsvorfall in Ihrer Umgebung erkennen?
• Wird Ihr Vorfallreaktionsplan regelmäßig in Planspielen getestet?
• Könnten Sie kritische Systeme wiederherstellen, wenn Ransomware Ihr Netzwerk verschlüsselt?
• Kennen alle Stakeholder ihre Rollen bei einem Cyber-Zwischenfall?

Ein ganzheitlicher Ansatz stellt sicher, dass Sie nicht nur darauf vorbereitet sind, Angriffe zu verhindern, sondern auch dann wirksam zu reagieren, wenn die Prävention zwangsläufig scheitert.

Sicherheitsverletzungen und Ransomware kommen weiterhin vor, daher ist es unerlässlich, über starke Wiederherstellungsfähigkeiten zu verfügen, um den Betrieb wieder aufnehmen und Daten organisationsweit im großen Maßstab wiederherstellen zu können.

Oft ist es am sinnvollsten, zunächst einen Blick auf Ihr Backup für Endgeräte und Ihre Wiederherstellungsfähigkeiten zu werfen. Dies ist eine der einfachsten und wirkungsvollsten Möglichkeiten, die negativen Folgen eines Ransomware-Angriffs abzumildern.

Angenommen, Sie verfügen über eine funktionierende Cloud-basierte Backup-Lösung und eine Wiederherstellungsplattform für Ihr Unternehmen. Dann wissen Sie, dass Ihre Daten gesichert, extern gespeichert und im Bedarfsfall verfügbar sind!

Wenn das jetzt ganz einfach klingt, sind Sie vielleicht überrascht, wie viele Unternehmen in diesem Bereich Lücken aufweisen, weil sie Cloud-Kollaborationsplattformen (CCPs) als zentrale Backup- und Wiederherstellungslösung ihrer Endgerätdaten nutzen. 

Obwohl SaaS-Anwendungen heute zum Standard im modernen Geschäftsleben gehören, sichert nicht einmal eines von fünf Unternehmen seine SaaS-Daten. CCPs sind auf das Nutzerverhalten beim Backup angewiesen, wobei Einschränkungen hinsichtlich Aufbewahrungsdauer, Dateigröße und Sicherheit bestehen.

Bevor Sie also neue und innovative Wege zur Bekämpfung von Ransomware einschlagen, empfehle ich, Ihre Datenresilienz auf kritische Lücken durch falsche oder ineffiziente Umsetzung von Prozessen und Tools zu überprüfen. 

Hören Sie nicht bei der Einhaltung von Ransomware-Schutzstandards auf

Compliance ist ein Ausgangspunkt und bietet einen Rahmen für einheitliche und gute Praktiken des Ransomware-Schutzes. Aber risikobasierte Sicherheit und Datenresilienz sind fortlaufende Prozesse, die nicht mit Compliance enden. Compliance-Software kann bei Schwachstellenanalysen, Bedrohungsinformationen und mehr helfen.

Unsere Welt verändert sich, die Technik entwickelt sich weiter, Angreifer werden immer raffinierter, und Bedrohungen bleiben bestehen. Daher müssen Sicherheits- und IT-Teams fortlaufende, risikobasierte Ansätze nutzen, um ihre Cybersicherheits- und Datenresilienz-Fähigkeiten weiterzuentwickeln und auszubauen.

Abonnieren Sie den Newsletter des CTO Clubs, um weitere Einblicke zu Compliance und Cybersicherheit zu erhalten.