Eindämmung des Risikos von Ransomware-Angriffen auf staatliche Einrichtungen
Regierungseinrichtungen gehören zu den Top-Zielen für Ransomware. Im Jahr 2020 kosteten Cyberangriffe US-Regierungsorganisationen rund 18,88 Milliarden US-Dollar an Wiederherstellungskosten und Ausfallzeiten. Im Jahr 2021 setzte sich der Trend fort: US-Regierungseinrichtungen waren von 79 Ransomware-Angriffen betroffen, die sich potenziell auf etwa 71 Millionen Menschen auswirkten. Diese Zahlen verdeutlichen die Tatsache, dass Regierungen einem erhöhten Risiko durch schwerwiegende Vorfälle ausgesetzt sind - vor allem, je länger sie damit warten, die Bedrohung durch Ransomware gründlich und angemessen zu entschärfen. Um ihre Systeme und die wertvollen Dienste, die sie allen Bürgern zur Verfügung stellen, zu schützen, müssen diese Institutionen jedoch zunächst verstehen, warum sie besonders gefährdete Ziele sind.
Warum Regierungseinrichtungen ein Top-Ziel sind
1. Sie sind im Besitz sensibler und klassifizierter Daten
Staatliche Stellen sind für riesige Datenmengen verantwortlich, und viele davon sind sensibel und für die nationale Sicherheit sowie die Sicherheit der einzelnen Bürgerinnen und Bürger von entscheidender Bedeutung.
Einige Beispiele für die Arten von Verschlusssachen, die Agenturen erstellen und verwalten, sind:
- Militärische Aktivitäten
- Die Identitäten von Terroristen und mutmaßlichen Terroristen
- Identitäten von Geheimdienstagenten
- Andere kritische Fragen der Außenpolitik und der nationalen Sicherheit
Darüber hinaus unterhalten die Staaten in der Regel Datenbanken mit wichtigen persönlichen Daten ihrer Bürgerinnen und Bürger. Die Bürger müssen diese Informationen angeben, wenn sie regelmäßig mit den Behörden interagieren (wenn sie Steuern einreichen und bezahlen, Lizenzen beantragen usw.).
All diese gespeicherten Informationen haben einen enormen Wert für potenzielle Cyberkriminelle. Nationale Staaten könnten diese Daten für nachrichtendienstliche Zwecke begehren. Politische Parteien oder Aktivisten könnten von Sicherheitsverletzungen profitieren, die ihren Gegnern schaden oder ihre Ziele fördern. Andere Cyberkriminelle könnten es auf die Daten von Behörden abgesehen haben, um finanzielle Gewinne in Form von Lösegeldzahlungen zu erzielen.
Wenn diese Informationen kompromittiert, gestohlen oder unrechtmäßig weitergegeben werden, kann dies weitreichende und erhebliche Folgen für verschiedene Bereiche haben. Das gilt nicht zuletzt aufgrund der symbolischen Bedeutung, die staatliche Stellen für ihre jeweilige Bevölkerung haben. Jeder Vorfall im Bereich der Cybersicherheit auf Regierungsebene kann das Vertrauen der Bürger in ihre kollektive Sicherheit und die relative Stärke ihres Staates auf der Weltbühne erschüttern.
Die durch einen dieser Anschläge ausgelöste Angst oder Unsicherheit kann selbst ein Ziel oder ein Vorteil für den Angreifer sein. Ausländische Mächte, Aktivisten oder terroristische Gruppen könnten jeweils Gründe haben, das Vertrauen der Bevölkerung in staatliche Stellen zu untergraben.
2. Sie haben eine umfangreiche Angriffsfläche
Staaten haben fast durchgängig eine große Angriffsfläche, d. h. es gibt unzählige Schwachstellen und potenzielle Angriffspunkte in diesem Sektor. Zu diesen Punkten gehören die Hunderttausende bis Millionen von Menschen, E-Mails, Geräten, Cloud-Anwendungen, Servern und Anmeldeinformationen, die die technischen Systeme und die Infrastruktur des Staates ausmachen.
Bösewichte müssen nur eine einzige Schwachstelle finden und ausnutzen (z. B. einen gestohlenen oder erratenen Benutzernamen und ein Kennwort), um ein Netzwerk zu infiltrieren. Sobald ein Teil der Sicherheit eines Systems beeinträchtigt ist, können die Angreifer schnell weitere Schwachstellen ausnutzen und das Ausmaß ihres Angriffs vergrößern.
Die Tatsache, dass viele Agenturen immer noch auf Altsysteme (alte, veraltete Software, Server, Computer usw.) zurückgreifen, verschärft dieses Problem noch. Einige Behörden arbeiten noch mit Windows 7 oder einer früheren Version und haben ähnlich veraltete Client-Anwendungen. Außerdem ist nicht nur die eigene Infrastruktur einer Behörde gefährdet, sondern auch die von Dritten. Vertrauenswürdige Partner und Auftragnehmer können unter vielen der gleichen Mängel leiden. So können sie die Angriffsfläche für Behörden noch weiter vergrößern.
Das Vorhandensein von Altsystemen in Verbindung mit unzureichenden Finanzmitteln und einem Mangel an Sicherheitsexperten führt dazu, dass viele Einrichtungen nur wenig für die Cybersicherheit gerüstet sind. Das chronische Versäumnis, in die Modernisierung kritischer Cyberstrukturen zu investieren, bedeutet, dass viele dieser Probleme systemisch geworden sind.
3. Sie betreiben kritische Infrastrukturen
Ein weiterer Grund, warum Cyberkriminelle staatliche Einrichtungen ins Visier nehmen, ist, dass einige von ihnen kritische Infrastrukturen betreiben. Vor allem regionale und lokale Behörden sind häufig für kommunale Einrichtungen, Transport, Kommunikation, Stromversorgung und andere wichtige Dienste verantwortlich. Eine Unterbrechung dieser lebenswichtigen Funktionen aufgrund von Ransomware-Angriffen kann erhebliche Auswirkungen auf einzelne Bürger und die lokale Wirtschaft haben.
Wie staatliche Stellen auf Cyberbedrohungen reagieren
Angesichts des Ausmaßes der Ransomware-Bedrohung ergreifen viele Regierungen nun mehr Initiative im Umgang mit Cyber-Bedrohungen. Im Folgenden finden Sie einige Maßnahmen, die die USA, das Vereinigte Königreich und Europa kürzlich ergriffen haben.
Vereinigte Staaten
Die Biden-Administration hat gezeigt, dass sie sich für einen besseren Schutz vor Cyber-Bedrohungen sowohl für Regierungsbehörden als auch für amerikanische Unternehmen einsetzt. Einige der wichtigsten Initiativen sind erwähnenswert:
- Executive Order zur Verbesserung der Cybersicherheit der Nation: Diese Anordnung schreibt die Einführung strengerer Sicherheitsstandards auf Bundesebene und eine verbesserte Kommunikation zwischen dem privaten und dem öffentlichen Sektor in Bezug auf Cyberfragen vor.
- StopRansomware.gov: StopRansomware.gov ist eine von mehreren Bundesbehörden eingerichtete Website, die Ransomware-Ressourcen an einem Ort bündelt, anstatt sie auf mehrere Websites und Abteilungen zu verteilen.
- Joint Cyber Defense Collaborative (JCDC): Das JCDC wurde 2021 gegründet, um die Cyberverteidigung in den Vereinigten Staaten voranzutreiben. Es arbeitet sowohl mit dem privaten als auch mit dem öffentlichen Sektor zusammen, um nationale Infrastrukturen und Interessen zu schützen.
Vereinigtes Königreich
Das Vereinigte Königreich hat die Cyberverteidigung in seinem Strategiepapier für Entwicklung, Sicherheit und Außenpolitik aus dem Jahr 2021 zu einem der vier Hauptziele erklärt. Es hat eine nationale Cyber-Truppe (die dem Verteidigungsministerium unterstellt ist) eingerichtet, und das Land hat Ransomware zu einer der wichtigsten Regierungsaufgaben erklärt. Darüber hinaus hat das Nationale Cyber-Sicherheitszentrum des Vereinigten Königreichs seine Leitlinien für die Vorbereitung auf Angriffe und die Reaktion darauf überarbeitet und erneuert.
Europa
Im Dezember 2020 stellte die EU ihre neue Cybersicherheitsstrategie vor. Das Dokument beschreibt allgemeine Ziele wie die Stärkung der Widerstandsfähigkeit Europas gegenüber Cyberangriffen. Es skizziert auch konkrete Pläne wie die Einrichtung von Schnellreaktions-Sicherheitszentren in der gesamten Union und die Behebung des Arbeitskräftemangels im Bereich der Cyberabwehr. Außerdem ist für die nahe Zukunft die Bildung einer gemeinsamen Cyber-Einheit vorgesehen, die auf bedeutende Cyber-Vorfälle in der EU reagieren soll.
Wie Sie das Risiko eines Ransomware-Angriffs mindern können
1. Stärkung der Identität und Authentifizierung
Um ihre Cybersicherheit zu verbessern, sollten sich staatliche Einrichtungen nicht vollständig auf Benutzernamen und Passwörter verlassen, da diese anfällig für Brute-Force-Versuche, Phishing-Angriffe und andere Angriffe sind. Es gibt mehrere Methoden, um die Schutzfunktionen zu verstärken:
Einmalige Anmeldung
Single Sign-on reduziert die Anzahl der für den Zugriff auf ein System erforderlichen Anmeldeinformationen auf eine einzige, was die Sicherheit erhöht, die Einführung vereinfacht und den Entzug der Anmeldeinformationen erleichtert, wenn Mitarbeiter ein Unternehmen verlassen.
Bessere Multi-Faktor-Authentifizierung (MFA)
Die Implementierung von MFA kann eine starke Präventionsstrategie sein, aber es ist notwendig, zwischen den verschiedenen verfügbaren Optionen zu unterscheiden. Eine fortschrittlichere Multifaktor-Authentifizierung erfordert Public-Key-Kryptographie oder Biometrie (stärkere Methoden als die typischen SMS-Codes und E-Mail-Benachrichtigungen).
Risikobasierte Funktionen für die Authentifizierung
Viele moderne Authentifizierungssysteme verhalten sich jedes Mal gleich, aber intelligentere Einstellungen variieren je nach Risikobewertung. Programme und Anwendungen können Risikoattribute integrieren, z. B. ob der Versuch von einem nicht vertrauenswürdigen Netzwerk, einem nicht verwalteten Gerät oder einem fremden Land ausgeht oder das normale Muster des Benutzers auf irgendeine andere Weise durchbricht. Das System kann dann steuern, in welchem Umfang es Anmeldeversuche zulässt, je nachdem, wie verdächtig sie erscheinen.
Einheitlicher Identitätsdienst für Bürger
Ein einheitlicher staatlicher Identitätsdienst würde die Art und Weise vereinfachen, in der Bürger mit staatlichen Stellen in Kontakt treten. Eine einzige Identität, mit der man interagieren kann, macht es einfacher, den Anmeldeschutz durchzusetzen. Außerdem wird die Anzahl der erforderlichen Anmeldeinformationen und der Zugangspunkte, die Cyberkriminelle ausnutzen könnten, verringert.
2. Einführung von Anti-Phishing-Lösungen
Phishing ist einer der wichtigsten Vektoren für verschiedene Arten von Cyberkriminalität, einschließlich Ransomware-Angriffen. Die Ergreifung von Maßnahmen zur Verhinderung und Entschärfung von Phishing-Versuchen ist für die Eindämmung der Ransomware-Bedrohung von entscheidender Bedeutung. Einige Bereiche, in denen staatliche Einrichtungen Anti-Phishing-Lösungen implementieren können, sind:
E-Mail-Authentifizierung
Die Regierungen sollten in den E-Mail-Schutz investieren und die Authentifizierung durch die Einführung der drei DNS-Schutzmechanismen verbessern: DMARC, DKIM und SPF. Sie arbeiten zusammen, um das Senden und Empfangen von nicht autorisierten Nachrichten zu verhindern.
Suche nach bekannten Bedrohungen
Organisationen und Behörden sollten sich über bekannte Bedrohungen im Klaren sein und Nachrichten und Anhänge regelmäßig auf Anzeichen für solche Bedrohungen überprüfen.
Suche nach internem Phishing
Ausgefeilte Kampagnen wie Spear-Phishing und Kompromittierungen von Geschäfts-E-Mails zielen auf Einzelpersonen ab und können interne, vertrauenswürdige Konten nutzen, um Gelder und Daten zu erbeuten oder sich in einem Unternehmen stärker zu etablieren.
Maschinenintelligenter E-Mail-Schutz
Da sich die Cyber-Bedrohungen ständig weiterentwickeln, müssen Behörden mit der Entwicklung Schritt halten und in den neuesten und besten verfügbaren Schutz investieren. Die derzeit fortschrittlichsten Schutz- und Präventionssysteme basieren auf maschineller Intelligenz. Maschinenintelligente Programme sind eine Form der KI und können daher intelligentere und umfassendere Prüfungen durchführen, die über die Suche nach Standardindikatoren für ein Problem hinausgehen.
Im Bereich des E-Mail-Schutzes kann maschinelle Intelligenz für den Schutz vor Spear-Phishing, Ransomware und anderen neuen Bedrohungen unverzichtbar sein. Solche Programme überwachen die E-Mail-Aktivitäten innerhalb von Unternehmen oder Behörden, verstehen und lernen aus Routinemustern und weisen anschließend auf Abweichungen von der Norm hin. Auf diese Weise können sie E-Mail-Bedrohungen erkennen und stoppen, bevor Schaden angerichtet wird.
3. Investieren Sie in Schulungen zum Sicherheitsbewusstsein
Technologische Lösungen sind für die Cyberverteidigung unerlässlich, aber sie machen nicht das gesamte Bild aus. Damit diese Systeme wirksam sind, müssen sie von gut geschulten Mitarbeitern, Managern, Führungskräften und Beamten unterstützt werden. Die Behörden müssen ihre Schulungen entsprechend dem aktuellen Kontext der Cyber-Bedrohungen aktualisieren und sie sollten sie regelmäßig durchführen, um zu verhindern, dass jemand zurückbleibt. Die Schulung des Sicherheitsbewusstseins kann über Schulungskampagnen, Tests und Bewertungen sowie organisatorische Prozesse erfolgen.
Schlussfolgerung
Staatliche Einrichtungen sind ein bevorzugtes Ziel für Ransomware, da sie über einen schier unendlichen Vorrat an wertvollen Daten verfügen und für die kritische Infrastruktur und die symbolische Sicherheit von Bedeutung sind. Auch Nationalstaaten und ihre Behörden sind aufgrund veralteter Systeme, zahlreicher Schwachstellen und eines unzureichenden Angebots an Cyber-Fachkräften besonders anfällig für diese Angriffe - neben anderen Mängeln.
Obwohl die zentralen Verwaltungen verschiedener Länder in den letzten Jahren neue Maßnahmen zur Cybersicherheit angekündigt haben, bleibt noch viel zu tun. Regierungsbehörden können überall von einer umfassenden Sicherheitsstrategie profitieren. Änderungen wie die Aktualisierung der Authentifizierungsstandards für die meisten Systeme, die Einführung von maschinenintelligenten Lösungen für die E-Mail-Sicherheit und Investitionen in umfassende Sicherheitsschulungen werden den Schutz der Bürger und letztlich die nationale Sicherheit erheblich verbessern.
Wenn Sie Ihr Unternehmen vor Ransomware-Angriffen schützen wollen, kann xorlab ActiveGuard helfen. Sehen Sie sich in einer kostenlosen Demo an, wie die Lösung für Sie arbeiten kann.