Ransomware: Sicherheitslücken schließen – Ransomware: closing security gaps

Anfang Februar 2023 wurden zahlreiche öffentliche und private Organisationen weltweit Opfer einer Ransomware-Kampagne. Dabei nutzten die Cyberkriminellen Schwachstellen in VMware ESXi (Elastic Sky X integrated) aus, einer weit verbreiteten Hypervisor-Variante zur Bereitstellung virtueller Computer. Grund für die hohe Zahl der Betroffenen waren nicht geschlossene Sicherheitslücken. Doch der Schaden wäre vermeidbar gewesen, denn es gab bereits seit zwei Jahren Patches für diese Schwachstellen. Und auch die Behörden haben Unternehmen und Organisationen rechtzeitig informiert. Dennoch waren viele Ransomware-Angriffe dieser Kampagne erfolgreich.

Die Frage ist nun: Wie konnte es so weit kommen? Und was können Firmen bereits bei der Implementierung der Software unternehmen, um größere Schäden durch Ransomware zu vermeiden?

Ergebnisse der Veritas-Studie

Viele Unternehmen aktualisieren ihre genutzte Software nicht regelmäßig – obwohl Patches verfügbar sind. Auch Best Practices in diesem Bereich werden selten befolgt, wodurch das Risiko zusätzlich erhöht wird. Dies wurde auch in der Studie „The Vulnerability Lag“ von Veritas Technologies ausführlich gezeigt. So müssten deutsche Unternehmen durchschnittlich fast zwei Millionen Euro mehr für ihre IT-Sicherheit ausgeben und 24 neue Mitarbeiter einstellen, um die Schwachstellen in ihren IT-Systemen zu schließen. Gleichzeitig steigt die Gefahr von Ransomware-Angriffen und damit das Risiko von Datenverlusten.

IT-Teams sind oftmals nicht in der Lage, eine einwandfreie Sicherheit zu gewährleisten und Patches zu installieren. Aufgrund der zunehmenden Komplexität lässt sich nicht garantieren, dass eine Software ohne Schwachstellen in den Markt eingeführt wird. Für einen widerstandsfähigen Code während des gesamten Lebenszyklus ist aber ein Mindestmaß an Wartung erforderlich.

In einer idealen Welt sollten Publisher oder Entwickler eine entdeckte Schwachstelle schnell beheben und einen Patch zur Verfügung stellen. Nutzer halten dabei ihrerseits Ausschau danach und implementieren diese Updates umgehend, wenn sie für ihre Infrastruktur relevant sind.

Doch die IT-Infrastrukturen entwickeln sich ständig weiter und werden dadurch immer komplexer. Das Einspielen von Patches ist daher oftmals mühsam und in vielen Fällen schwer zu automatisieren.

In der Veritas-Studie gaben zwei Drittel der Befragten an, dass sie in den letzten drei Jahren Cloud-Funktionen oder Elemente ihrer Cloud-Infrastruktur neu implementiert haben. Darüber hinaus gab fast die Hälfte der Befragten an, dass ihre Sicherheitsstrategie im Cloud-Bereich Lücken aufweist. Es ist für Cyberkriminelle leicht, diese ungepatchten Schwachstellen auszunutzen. Hinzu kommt, dass viele Unternehmen das Patching als eine Aktivität ohne ROI (Return on Investment) ansehen.

Sein Wert wird daher oft unterschätzt. Zwar bringen Software-Patches in der Tat zunächst keine direkten Kosteneinsparungen oder Gewinnsteigerungen mit sich. Daher lassen sich diese Maßnahmen und deren Budget häufig nur unter Schwierigkeiten durchsetzen. Doch diese Haltung kann auf lange Sicht fatal sein: Ausfälle durch erfolgreiche Angriffe mit Ransomware kosten Unternehmen ein Vielfaches dessen, was sie für eine effektive Cybersicherheit aufwenden müssten.

Auswahl des passenden Anbieters

Um diese Risiken zu reduzieren, sollten Unternehmen ihre Updates bereits vor dem Kauf der Software in die Planungen mit einbeziehen. So lassen sich Updates mit einem Minimum an Ressourcen durchführen – ohne laufenden Betrieb wirklich zu stören. Es ist allerdings essenziell, im Vorfeld alles genau zu durchdenken: Ist der Anbieter der geplanten Lösung solide? Kann er sein Produkt über den gesamten Lebenszyklus warten? Investiert er in seine Support- und Sicherheitsteams? Wird die Lösung aktiv weiterentwickelt? Im Falle einer Open-Source-Lösung gibt es noch andere wichtige Fragen: Ist die Community beispielsweise kohärent und in eine große Struktur eingebettet? Fallen die Antworten zufriedenstellend aus, sollten Unternehmen die Lizenzen prüfen. So können Unternehmen ihre Auswahl verfeinern und weitere Informationen herausfinden: Wie lange haben Unternehmen beispielsweise Zugang zu Updates? Sind diese mit zusätzlichen Kosten verbunden?

Zudem gehört auch die eine einwandfreie Technik zu guten Security-Maßnahmen, denn die Bedrohungen entwickeln sich ständig weiter und Systeme werden zunehmend komplexer. Unternehmen benötigen strenge Verfahren zur Behebung von Schwachstellen. Daher sollte die Cybersicherheit bereits in einem sehr frühen Stadium der Architekturentwicklung mitbedacht werden: Auf welche Weise werden die Updates aufgespielt und stören sie dabei den Arbeitsalltag? Hat das Unternehmen die erforderlichen Ressourcen und Fachleute, um die Updates aufzuspielen? Können die Fachkräfte Schwachstellen erkennen und beheben – in der kompletten IT-Infrastruktur bis hin zu Backups und Archiven?

Schwachstellen erkennen, Backups planen

Damit Unternehmen die Schwachstellen in ihrer IT-Infrastruktur besser erkennen können, sollten sie auch über Möglichkeiten zur proaktiven Analyse. Dazu gehören Bedrohungsanalysen, Lösungen zur Netzwerküberwachung und Endpoint-Erkennung. Damit lassen sich Risiken rechtzeitig beseitigen, bevor ein Schaden entsteht. Und mit der richtigen Backup-Strategie können sie zudem sicherstellen, dass bei einem erfolgreichen Angriff keine Daten verloren gehen. Auch hier ist es ratsam, bereits im Vorfeld darauf zu achten, welche Backups installiert werden, damit diese im Ernstfall belastbar sind. Außerdem sollten Medien- und Metaserver ausfallsicher sein und sicher miteinander kommunizieren.

Firmen sollten aber darauf vorbereitet sein, dass auch ihre Backup-Dateien angegriffen und verschlüsselt werden können. Aus diesem Grund empfiehlt es sich, ein Immutable Storage System als Speicherort zu implementieren. Darauf werden alle Daten unveränderbar gespeichert und durch einen Medienbruch vor Angriffen geschützt. So können Unternehmen schnell nach einem erfolgreichen Angriff zum Tagesgeschäft zurückkehren.

Fazit: Vorbereitung ist das A und O

Unternehmen müssen mit einer Zunahme von Ransomware-Angriffen rechnen. Um es den Cyberkriminellen nicht allzu leicht zu machen, sollten sie regelmäßig Software-Updates einspielen und mögliche Sicherheitslücken schließen. Aber auch schon beim Kauf von Software sollten Unternehmen einige Aspekte für eine geschützte IT-Infrastruktur beachten. Mit der richtigen Planung lässt sich deren Integration ressourcen- und kostenschonend umsetzen. Zusätzlich sollte die Wahl des Backups im Vorfeld gut überlegt sein. Auf diese Weise können Unternehmen den Schaden im Falle eines erfolgreichen Angriffs so gering wie möglich halten.

Numerous public and private organizations around the world fell victim to a ransomware campaign in early February 2023. The cybercriminals exploited vulnerabilities in VMware ESXi (Elastic Sky X integrated), a widely used hypervisor variant for deploying virtual computers. Unpatched vulnerabilities were the reason for the high number of victims. But the damage could have been avoided because patches for these vulnerabilities had already been available for two years. The authorities also informed companies and organizations in advance. Nevertheless, many ransomware attacks in this campaign were successful.

The question now is: How did it get this far? And what can companies already do when implementing the software to avoid greater damage from ransomware?

Veritas study „The Vulnerability Lag“

Many companies do not regularly update the software they use – even though patches are available. Best practices in this area are also rarely followed, further increasing the risk. This was also shown in detail in the study „The Vulnerability Lag“ by Veritas Technologies. German companies would have to spend an average of almost two million euros more on their IT security and hire 24 new employees to close the vulnerabilities in their IT systems. At the same time, the risk of ransomware attacks is increasing, and with it the risk of data loss.

IT teams are often unable to ensure proper security and apply patches. Due to increasing complexity, it is impossible to guarantee that software will be launched without vulnerabilities. However, a minimum level of maintenance is required for resilient code throughout its lifecycle. In an ideal world, publishers or developers should quickly fix a discovered vulnerability and provide a patch. Users, in turn, keep an eye out for it and implement these updates promptly if they are relevant to their infrastructure.

However, IT infrastructures are constantly evolving and becoming more complex as a result. As a result, applying patches is often tedious and, in many cases, difficult to automate.

In the Veritas study, two-thirds of respondents said they had redeployed cloud capabilities or elements of their cloud infrastructure in the past three years. In addition, nearly half of respondents said there were gaps in their cloud security strategy. It’s easy for cybercriminals to exploit these unpatched vulnerabilities.

In addition, many organizations view patching as an activity with no ROI (return on investment). Its value is therefore often underestimated. It is true that software patching does not initially bring direct cost savings or profit increases. Therefore, these measures and their budgets are often difficult to implement. But this attitude can be fatal in the long run: Outages caused by successful ransomware attacks cost companies many times more than they would have to spend on effective cybersecurity.

Choosing the right vendor

To reduce these risks, companies should think about their strategy even before they purchase software. That way, updates can be performed with a minimum of resources – without really disrupting ongoing operations. However, it is essential to think everything through carefully in advance: Is the vendor of the solution solid? Can he maintain his product over its entire life cycle? Does it invest in its support and security teams? Is the solution being actively developed?

If you consider an open source solution, there are other important questions: for example, is the community cohesive and embedded in a large structure? If the answers are satisfactory, companies should check the licenses. This allows companies to refine their choices and find out more information: For example, how long do companies have access to updates? Are these associated with additional costs?

In addition, good security measures also include flawless technology, because threats are constantly evolving and systems are becoming increasingly complex. Companies need rigorous procedures for remediating vulnerabilities. Therefore, cybersecurity should be considered at a very early stage of architecture development: In what way will updates be applied, and will they disrupt day-to-day operations in the process? Does the company have the necessary resources and experts to apply the updates? Can the specialists identify and eliminate vulnerabilities – in the entire IT infrastructure, including backups and archives?

Identify vulnerabilities, plan backups

To help organizations better identify vulnerabilities in their IT infrastructure, they should also have capabilities for proactive analysis. These include threat analysis, network monitoring solutions and endpoint detection. This allows risks to be eliminated in a timely manner before any damage is done. And with the right backup strategy, they can also ensure that no data is lost in the event of a successful attack. Here, too, it is advisable to pay attention to which backups are installed in advance so that they are resilient in the event of an emergency. In addition, media and meta servers should be fail-safe and communicate securely with each other.

However, companies should be prepared for the fact that their backup files can also be attacked and encrypted. For this reason, it is recommended to implement an Immutable Storage System as a storage location. This is where all data is stored in an unchangeable form and protected from attacks by a media breach. This allows companies to quickly return to their daily business after a successful attack.

Conclusion: Preparation is necessary

Companies should expect an increase in ransomware attacks. They should regularly install software updates and close possible security gaps in order not to make it too easy for cybercriminals. Companies should consider some aspects for a protected IT infrastructure when purchasing software. With the right planning, their integration can be implemented in a way that saves resources and costs. In addition, the choice of backup should be well considered in advance. In this way, companies can keep the damage as low as possible even in the event of a successful attack.