Ransomware-Attacken: Druck zu mehr Transparenz wächst

Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 21.06.2024] Dies sind laut einer aktuellen Stellungnahme von Cohesity direkte Folgen der jüngsten Ransomware-Attacken der vergangenen 15 Tage: „800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste“ – die Ransomware-„Pandemie“ wüte ungebremst und die Politik diskutiere strengere Regeln. So werde in Großbritannien diskutiert, ob Firmen gezwungen werden sollten, Ransomware-Attacken und Lösegeld-Zahlungen zu melden. Die EU habe mit NIS-2 und DORA bereits strenge Meldepflichten definiert.

Ransomware-Angriff gegen britisches Labor zwang Krankenhäuser zur Verschiebung von rund 800 Operationen

„Der Fall von Synnovis legt offen, wie selbst Kritische Infrastrukturen anfällig bleiben und wie komplex Firmen heute miteinander verwoben sind. Dadurch entstehen ungewisse Ausfallrisiken.“ Synnovis sei als Pathologie-Labor in Großbritannien mit seinen Dienstleistungen wie Bluttests eng mit einigen Krankenhäusern verzahnt.

Ein Ransomware-Angriff gegen dieses Labor habe nun betroffene Krankenhäuser gezwungen, insgesamt rund 800 Operationen zu verschieben. Mark Dollar, „CEO“ des demnach am 4. Juni 2024 gehackten Gesundheitsdienstleisters Synnovis, kommentiert: „Angriffe dieser Art können jederzeit jedem passieren und die dahinter stehenden Personen haben beunruhigenderweise keinerlei Skrupel, wen ihre Aktionen treffen könnten.“

Weitere Ransomware-Angriffe gegen kommunale Einrichtungen in den USA

Zeitungen hätten weitere Ransomware-Angriffe gegen kommunale Einrichtungen wie Michigan’s Traverse City und New York’s Newburgh in den USA gemeldet, der Video-Dienstleister Niconico sei ebenfalls offline. Dies seien vier Beispiele für erfolgreiche Ransomware-Angriffe aus den vergangenen 15 Tagen – die Dunkelziffer sei wahrscheinlich x-fach höher. „Und hier wollen Politiker aus Großbritannien ansetzen und Firmen zu mehr Transparenz zwingen.“

„Diskutiert werden erste Ideen, ob man alle Opfer verpflichten soll, Vorfälle der Regierung zu melden.“ Opfer sollten sich auch vor erpressten Lösegeldzahlungen eine Lizenz besorgen müssen – ebenfalls vorgeschlagen werden solle sogar ein vollständiges Verbot von Lösegeldzahlungen für an nationaler Kritischer Infrastruktur beteiligte Organisationen. Dieses Verbot solle Hackern den Anreiz nehmen, diese Kritischen Dienste zu stören, indem es sie daran hindere, Angriffe zu monetarisieren.

Meldepflicht von 72 Stunden als globaler Standard auch nach Ransomware-Vorfällen

Die US-Regierung habe bereits im März 2022 mit ihrem Gesetz „Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)“ klar geregelt, dass Betreiber Kritischer Infrastruktur einen Cyber-Vorfall innerhalb von 72 Stunden melden müssten. Ransomware-Zahlungen müssten sogar 24 Stunden nach der Zahlung kommuniziert werden.

Die Vorschriften und Gesetze, mit denen Regierungen mehr Licht in Cyber-Gefahren und -Risiken bringen möchten, orientierten sich zusehends an strengen zeitlichen Vorgaben bei der Meldepflicht: „72 Stunden sind hier der globale Standard, der sich nun zu etablieren scheint.“ Auch bei dem „Digital Operational Resilience Act“ (DORA), auf die Finanzindustrie fokussiert, und der NIS-2-Direktive seien 72 Stunden das Maß der Dinge. Mit beiden Regelwerken möchte die EU Firmen in Europa zu mehr operativer Cyber-Resilienz drängen.

Obligatorische Meldepflichten bei Datenschutzverletzungen

Die obligatorischen Meldepflichten bei Datenschutzverletzungen hätten es in sich und stellten klare Anforderungen:

• Innerhalb von 24 Stunden müsse die Organisation eine Frühwarnung geben, „wenn der Verdacht besteht, dass ein schwerwiegender Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte“.
• Innerhalb von 72 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls müsse die Frühwarnung mit einer ersten Bewertung, einschließlich seiner Schwere und Auswirkungen, aktualisiert werden. Die Organisation sollte dem nationalen CERT auch alle Indikatoren für eine Gefährdung im Zusammenhang mit dem Angriff mitteilen.
• Auf Anfrage eines nationalen CERT oder einer Aufsichtsbehörde müsse die Organisation Zwischenstatus-Aktualisierungen bereitstellen.
• Innerhalb eines Monats nach Einreichung der Vorfallmeldung müsse die Organisation einen Abschlussbericht vorlegen.

Nicht nur nach Ransomware-Angriffen selbst mehr Transparenz schaffen

Das Risiko erfolgreicher Cyber-Attacken auf das Wohl und Leben der Bürger werde die Politik weiter antreiben, neue Regeln und Vorschriften zu erlassen – mit dem Ziel, das Sicherheitsniveau und die Cyber-Resilienz zu stärken. „Da wird also wahrscheinlich noch mehr kommen.“ Firmen sollten entsprechend reagieren und intern mehr Transparenz und Kontrolle über ihre Daten und Dienste schaffen. Dazu seien folgende Schritte elementar:

1. Daten genau verstehen!
Firmen müssten genau wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann könnten sie in den Behörden berichten, welche Daten bei einer erfolgreichen Attacke korrumpiert wurden. Auf diesem Gebiet könnten KI-Lösungen (wie z.B. „Cohesity Gaia“) massiv helfen und eine der komplexesten Probleme entschärfen, „indem sie die Daten von Firmen automatisiert klassifizieren“. Sogenannte Business Owner könnten beispielsweise direkte Fragen zu bestimmten Daten stellen und bekämen automatisch eine entsprechende Antwort mit einer Liste aller betroffenen Dokumente.

2. Zugriffe reglementieren!
„Wer seine Daten richtig eingestuft und klassifiziert hat, kann automatisch Regeln und Rechte durchsetzen, die den Zugriff darauf regeln.“ Daten-Management-Plattformen (wie etwa jene von Cohesity) wickelten das automatisiert ab und reduzierten die Risiken für menschliche Fehler. Eine Firma könne durchsetzen, dass bestimmte Daten niemals an externe Speicherorte oder KI-Module weitergegeben werden dürften.

3. Angriffe überstehen!
„Damit eine Firma die Berichte für die Behörden überhaupt erstellen kann, muss sie handlungsfähig bleiben!“ Bei Ransomware oder einem Wiper-Angriff (Attacke per Schadsoftware mit Löschfunktion) aber funktioniere im „Worst Case“ nichts mehr. Die IT-Teams der „CIOs“ und „CISOs“ würden auf diese Attacke nicht einmal reagieren können, da alle Sicherheitstools offline, Beweise in Logs und auf den Systemen verschlüsselt seien. Firmen sollten daher unbedingt sogenannte Clean-Room-Konzepte implementieren, „wo ein Notfallset an Tools und System- und Produktionsdaten liegt, um einmal einen Notbetrieb der Gesamt-IT zu schaffen“. Darin lägen alle erforderlichen Tools für die Security-Teams, „damit diese mit dem essenziellen Incident-Response-Prozess beginnen können“. Dieser Prozess sei fundameltal, um richtige und aussagekräftige Berichte für NIS-2-, DORA- und DSGVO-Verstöße zu generieren.

„Die Regeln für IT werden strenger, denn unsere Abhängigkeiten von der IT werden größer und damit der Schaden für die Wirtschaft und Gesellschaft, wenn wichtige Dienste ausfallen“, unterstreicht Mark Molyneux, „EMEA CTO“ bei Cohesity. Abschließend gibt er zu bedenken: „Wer die Vorgaben von 72 Stunden bei den Berichten einhalten will, muss all jene Prozesse und Workflows gegenchecken, die mit Daten hantieren.“ Cohesity etwa könne diese Aufgabe mit einer zentral KI-getriebenen Plattform für Datenmanagement mit Kernfunktionen massiv abdecken, um möglichst große operative Cyber-Resilienz zu schaffen.

Weitere Informationen zum Thema:

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)

The Digital Operational Resilience Act (DORA)
Regulation (EU) 2022/2554

The NIS 2 Directive
What is the NIS 2 Directive?

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cyber-Sicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen