BRIGHTER

Ransomware

CHAOS, ORDNUNG UND RISIKO: WIE SICH UNTERNEHMEN GEGEN RANSOMWARE WEHREN

Ransomware ist eine Gefahr, die derzeit grassiert und enormen Schaden anrichtet – das werden Ihnen alle bestätigen, die an vorderster Front zu tun haben. Ransomware ist ein heißes Thema, auch in der breiteren Öffentlichkeit – also sicher nicht nur deswegen, weil wir als Responder es auf dem Schirm haben müssen. Die Folgen von Ransomware sind ja auch kaum zu übersehen – sie sind direkt, greifbar und verheerend.

Ein erfolgreicher Ransomware-Angriff kann ein Unternehmen komplett lahm- legen, das dann nicht mehr auf kritische Daten oder Systeme zugreifen kann, die für den täglichen Betrieb unerlässlich sind. Noch unmittelbarer wirkt sich auf das Geschäftsergebnis eigentlich nur der Diebstahl von Bargeldbeständen aus. Doch während Diebstahl vor allem bei einer kleinen Gruppe von Unternehmen in den entsprechenden Branchen vorkommt, ist Ransomware universell. Ransomware ist es egal, in welcher Branche Sie tätig sind.

Datenverluste haben zwar potenziell größere Auswirkungen auf den Ruf eines Unternehmens, doch die finanziellen Folgen treten in der Regel mit Ver- zögerung und weniger konzentriert auf. Bußgelder werden oft erst mehrere Jahre nach einem Verstoß verhängt, Umsatzverluste verteilen sich über einen längeren Zeitraum. Der betriebswirtschaftliche Schock für die Opfer ist daher lange nicht so heftig und auch in der Bilanz des Unternehmens nicht so unmittelbar sichtbar wie ein Ransomware-Vorfall. 

Wie hoch ist das Ransomware-Risiko für Ihr Unternehmen

Die Risikobewertung ist wahrscheinlich eine der schwierigsten Aufgaben für Sicherheitsverantwortliche. Wie ein Unternehmen damit umgeht, kann entscheidend sein. Also, wo soll man anfangen? Die Auswirkungen sind nur ein Teil des Gesamtbildes. Um das Risiko zu kalkulieren, müssen Sie zumindest auch mit einbeziehen, wie hoch die Wahrscheinlichkeit der Bedrohung ist. 

Wie quantifiziert man Wahrscheinlichkeiten?

Das ist die große Preisfrage. Wahrscheinlichkeiten zu quantifizieren, ist schwierig, und Menschen sind notorisch schlecht darin, sie abzuschätzen –  Paul Brucciani, unser Head of Sales Enablement, hat das an anderer Stelle sehr gut dargestellt [1].  Bei Cybersicherheitsrisiken ist dies besonders relevant, weil wir dazu neigen, die Wahrscheinlichkeit eines negativen Ereignisses herunterzuspielen,[2] wenn sie größer 30% ist.

Es gibt für die Risikokalkulation keine Einheitslösung von der Stange. Wenn Sie zehn leitende Entscheidungsträger nach der Wahrscheinlichkeit eines Ransomware-Angriffs auf ihr Unternehmen fragen, bekommen Sie zehn unterschiedliche Antworten auf der Basis von zehn unterschiedlichen Methoden. Wer in einem relativ gereiften Unternehmen arbeitet, schätzt die Wahrscheinlichkeit vielleicht gering ein. Wer erst kürzlich einen Angriff erlitten hat, schätzt sie aufgrund des Rezenzeffekts wohl höher ein. Alle Befragten könnten mit ihrer Einschätzung richtig liegen. Aber sie könnten auch alle völlig falsch liegen. Was wie eine gewagte Behauptung klingt, ist gleichwohl realistisch, wenn man mit leitenden Cybersicherheitsverantwortlichen spricht, die keine klar definierte Methodik zur Risikoberechnung haben. In Anbetracht der Tatsache, dass Risiken in der Cybersecurity eine so zentrale Rolle spielen, ist es ein schweres Versäumnis unserer Branche, dass es bislang keinen etablierten Best-Practice-Ansatz für die Risikoberechnung gibt – etwas, das wir gemeinsam in Angriff nehmen sollten. 

Schritte zur Selbstoptimierung

Zunächst einmal muss man akzeptieren, dass es keine geheimnisvolle mathematische Formel gibt, mit der man Risiken berechnen könnte; also sollte man es gar nicht erst versuchen. Zahlen sind solide, sie sind eindeutig, sie geben Menschen Vertrauen und lassen sich anderen Geschäftsbereichen gegenüber leicht kommunizieren. Zahlen können aber auch gefährlich sein und in falscher Sicherheit wiegen, wenn man einem Ergebnis allein deshalb vertraut, weil ihm ein Zahlenwert zugeordnet ist. Die Wahrscheinlichkeit, dass Ransomware ein Unternehmen trifft, ist eine komplexe Angelegenheit, da eine Vielzahl von Variablen im Spiel ist und es keine zuverlässigen quantitativen Daten gibt, die einen solchen Ansatz unterstützen.

Im weiteren Feld des Risikomanagements ist die Entwicklung zwar hin zu quantitativen Ansätzen gegangen, was aber vor allem auf die Verfügbarkeit verlässlicher statistischer Daten zurückzuführen ist. Bevor es diese Daten gab, verfolgte allerdings auch das klassische Risikomanagement eher qualitative Ansätze. Cybersicherheit ist ein Bereich, in dem viele Variablen Unbekannte sind (z. B. der Gegner selbst). Das macht eine genaue Quantifizierung von Risiken unglaublich schwierig. 

"Risikoentscheidungen müssen informiert getroffen werden, aber wer die Entscheidung trifft, wird nie die perfekte Information zur Verfügung haben und bei der Risikoberechnung mit soliden Zahlenwerten vorgehen können. Letztendlich werden Sie ein Urteil auf der Grundlage imperfekter Information fällen; was Sie also machen, ist eher eine Risikobewertung als eine Risikoberechnung. Diese terminologische Unterscheidung ist wichtig, weil sie hilft, das Problem zu umreißen und letztendlich das anzusteuern, was man erreichen möchte.”

Ein Bereich, der sehr wohl Antworten liefern kann, ist die Aufklärung. Nachrichtendienste gibt es schon seit vielen Jahren, und sie haben viel Zeit auf Lageeinschätzungen verwendet, um mit imperfekter Information Antworten auf schwierige Fragen zu geben. Threat Intelligence, die Cyberverwandtschaft der klassischen Erkenntnisgewinnung, ist viel jünger, bezieht sich aber stark auf die bewährten Theorien und Methoden. 

Aufklärung bzw. die nachrichtendienstliche Bewertung ist keine exakte Wissenschaft. Das zeigt die Reihe von großen und für jedermann sichtbaren Misserfolgen, darunter der Angriff auf Pearl Harbor 1941 und die Anschläge vom 11. September 2001 in den USA. Dennoch – oder vielmehr gerade deshalb – werden weiterhin Prozesse und Werkzeuge entwickelt, die effektivere Bewertungen ergeben. In einem Lehrwerk der US-Regierung werden die Hauptprobleme, mit denen die Nachrichtendienste konfrontiert sind, benannt: 

"Die ewigen Probleme des Nachrichtendienstes: die Komplexität der internationalen Entwicklungen, unvollständige und mehrdeutige Informationen sowie die inhärenten Grenzen des menschlichen Verstandes. Die Absichten und Fähigkeiten von Gegnern und anderen ausländischen Akteuren zu verstehen, ist eine Herausforderung, vor allem, wenn eines davon oder beides im Verborgenen bleibt.” [3]

Kommen Ihnen diese Probleme bekannt vor? Komplexität, unvollständige Informationen – insbesondere bei unsichtbaren Gegnern – und unsere eigenen psychologischen Grenzen sind Herausforderungen, mit denen alle, die über Cybersicherheitsrisiken entscheiden, tagtäglich konfrontiert sind. Aber noch ist nicht alle Hoffnung verloren, denn es gibt einige wichtige Lehren aus dem Bereich der Nachrichtendienste, die Ihnen helfen werden, Ihre Risiken besser einzuschätzen und informiertere bzw. smartere Security-Entscheidungen zu treffen.

Der Schritt, mit dem Sie am meisten erreichen, besteht zunächst darin, sich der kognitiven Verzerrungen bewusst zu werden, um sie dann durch solide analytische Methodik zu minimieren. In der Sprache der Nachrichtendienste wären dies strukturierte Analysetechniken; in der Praxis umfassen sie eine breite Palette von Techniken, die zur Verbesserung der Analyse beitragen können. 

Diese Techniken lassen sich in drei Kategorien gruppieren: 

  • Diagnosetechniken sie sorgen dafür, dass Annahmen, analytische Argumente und Einschränkungen transparenter und schärfer werden
  • Nonkonforme Techniken sie hinterfragen Annahmen und vermeintliche Wahrheiten des aktuellen Denkens
  • Kreative Denktechniken sie helfen dabei, neue Einsichten und Perspektiven zu entwickeln und alternative Szenarien zu analysieren

„Strukturierte Analysetechniken“ klingt wie ein verstaubter Begriff aus akademischen Welten, der keine Anwendung in der wirklichen Welt hat. Aber das stimmt nicht. Viele dieser Techniken wenden Sie unbewusst jeden Tag in Ihrem privaten und beruflichen Leben an. Hier als Beispiele einige Techniken, die zur Durchführung von Cybersecurity-Risikobewertungen wichtig sind: 

  • Prämissenprüfung dies ist eine Diagnosetechnik, bei der die wichtigsten Annahmen überprüft werden, die bei einer Beurteilung vorausgesetzt werden. Dies ist eine anspruchsvolle kognitive Übung, kann aber sehr wertvoll sein, weil damit sichergestellt wird, dass Bewertungen nicht auf unzutreffenden Annahmen beruhen. In der Cybersicherheit hat diese Prüfung viele praktische Anwendungen; man kann sie häufig beobachten, wenn Entscheider Bedrohungen und Chancen einbeziehen, die aus technologischen Gegebenheiten entstehen könnten.
  • Überprüfung der Informationsqualität diese Diagnosetechnik ist ein wesentliches Kennzeichen alles kritischen Denkens und etwas, das wir jeden Tag unbewusst tun. Wenn wir zum Beispiel eine Straße überqueren, verlassen wir uns selten aus- schließlich auf unser Gehör – die meisten Menschen sehen nach, um sich zu vergewissern, dass nichts kommt, eben weil sie mehr Vertrauen in visuelle Daten haben, wenn sie bewerten wollen, ob sie die Straße sicher überqueren können. Die bewusste Überprüfung von Informationen auf ihre Qualität ist nützlich, wenn es um das Vertrauen geht, das wir Bewertungen schenken, und sie hilft, Lücken in der Erfassung auszumachen und zu schließen. Manche Informationen sind vielleicht Meinungen – die Gewichtung angesichts vielfältiger Quellen ist dann oft schwierig, aber sie ist möglich. Dieser Check kann helfen, Datenpunkte ausfindig zu machen, aus denen sich die eine oder die andere Ansicht stützen lässt.
  • Extremwertanalyse die sogenannte High-Impact, Low-Probability Analysis ist eine nonkonforme Technik, die dafür sor- gen kann, dass auch Ereignisse mit geringer Wahrscheinlichkeit analysiert und bei der Entscheidungsfindung berücksichtigt werden. Zu den Vorteilen dieser Analyse gehört die Aufdeckung von Korrelationen zwischen Schlüsselfaktoren; damit ermög- licht sie Entscheidungen, die sowohl wahrscheinliche als auch unwahrscheinliche Ereignisse betreffen. Das Musterbeispiel für ein solches High-impact-low-probability-Ereignis in der Cybersicherheit wäre ein Ransomware-Vorfall.
  • Outside-in-Denken dies ist eine kreative Technik, die sich bei der Analyse auf die externen Faktoren konzentriert. Dies ist besonders in der Cybersicherheit von Vorteil, wo einer der Hauptfaktoren, die das Risiko bestimmen, die externe Bedrohung durch den Gegner ist. Ein aktueller Nutzen wäre die Einbeziehung der Variable Datendiebstahl bei modernen Ransomware- Angriffen und wie sich dadurch die Auswirkungen insgesamt verändern und damit auch das Risiko für Ihr Unternehmen.
  • Brainstorming auch dieser Klassiker ist eine Technik des kreativen Denkens. Brainstorming wird normalerweise als Gruppenübung praktiziert und zielt auf den Vorteil, dass damit die Entstehung neuer Ideen gefördert wird, das Wissen der Gruppe wächst und unkonventionelles Denken zur Sprache kommt, das außerhalb der Gruppe kaum beachtet werden würde. Die Einbeziehung ganz unterschiedlicher Blickweisen auf die Risikobewertung kann viele Vorteile haben; üblicherweise wird Brainstorming in Übungen zur Bedrohungslandschaft eingesetzt.

     

    Der Einsatz von strukturierten Analysetechniken kann dazu beitragen, dass Ihre Risikobewertungen strukturierter und transparenter werden. Außerdem bewirken sie, dass die klugen Köpfe der Teams ihr Bestes geben. Vielleicht bezweifeln Sie, ob Transparenz bei Risikobewertungen wirklich so wichtig ist – tatsächlich kann sie von unschätzbarem Wert sein, weil Sie dann erst Verbesserungspotenziale erkennen und Fehler oder Umwege vermeiden können. 

     

    "Eine weitere Lektion aus dem Bereich der Nachrichtendienste besteht darin, die Stärke kognitiver Vielfalt einzusehen. Strukturierte Analysetechniken fördern eine Kultur vielfältiger Denkweisen, sodass Sie damit das Beste aus Ihrem Team herausholen. Jeder Mensch stößt mit seinen Fähigkeiten an Grenzen; der Aufbau kognitiv vielfältiger Teams ist darum ein wichtiger Schritt, um kollektive Voreingenommenheit zu vermeiden. Mit der Strategie, eine möglichst große Vielfalt an unterschiedlichen Analysten einzustellen, hatten die klassischen Nachrichtendienste in der Vergangenheit zwar ihre Schwierigkeiten, aber seit einigen Jahren tun sie viel auf diesem Gebiet. "

     

Matthew Syed behandelt das Konzept der kognitiven Vielfalt in seinem Buch "Rebel Ideas" ausführlich. Darin plädiert er für den Aufbau eines Teams von „Rebellen“, die bei der Lösung komplexer Probleme helfen. Die Bewertung von Cybersicherheitsrisiken gehört mit Sicherheit dazu.

1. Intelligente Einzelperson – beschränkt auf ihre persönliche Wissensmenge 

2. Die Klongruppe – eine Menge kluger Köpfe, aber alle denken auf dieselbe Art und Weise

3Das Team der Rebellen – eigentlich nicht schlauer als die Klongruppe, aber es deckt mehr ab und betrachtet Herausforderungen aus unterschiedlichen Perspektiven 

4Zerstreute Rebellen – wie das Team der Rebellen, aber ohne die nötige Synergie 

5. Vielfalt mit Dominanz – die Einzelnen sagen nur, was der Teamleiter ihrer Ansicht nach hören will 

6. Die Nachplapperer – ein Team von Rebellen ist zu einer Klongruppe geworden 

Szenario 3 zeigt, dass ein Team von Rebellen bzw. ein kognitiv vielfältiges Team eine bessere Chance hat, bei komplexen Sach- verhalten den gesamten Problemraum abzudecken. Wir haben in diesem Beitrag schon angesprochen, dass Risikobewertungen eine komplexe Menge von Variablen umfassen – da ist es von großem Wert, wenn man diese mit Fachwissen aus unterschied- lichen Bezugsrahmen bearbeiten kann, um so die bestmögliche Risikobewertung zu erreichen.

Im Klartext: Sie müssen sicherstellen, dass der Prozess, den Sie für die Durchführung von Risikobewertungen einrichten, auf verschiedene Referenzrahmen und Fachkenntnisse innerhalb Ihres Unternehmens zurückgreifen kann. Wenn es ein Fachgebiet oder einen Bezug gibt, den Ihr Team nicht abdeckt, dann sollten Sie dies in Ihre Bewertung einberechnen – und zusehen, wie Sie diese Scharte auswetzen können, z. B. indem Sie Beratungsdienste hinzuziehen.

Praktisch ausgedrückt: Die Nachrichtendienste haben viel Zeit auf die Psychologie der Urteilsbildung verwendet und Möglichkeiten entwickelt, wie man die menschlichen kognitiven Einschränkungen und Fallstricke am besten berücksichtigt. Wenn Sie diese Erkenntnisse bei Ihren Risikobewertungen umsetzen, ergeben sich für Sie die folgenden Vorteile: 

  • Konsistenz in Ihren Risikobewertungen, sodass Sie besser informierte Entscheidungen darüber treffen können, wo und wie Sie Aufwand und Investitionen priorisieren.
  • Minimale Verzerrungen im Bewertungsprozess, odass Sie genauere Risikobewertungen erhalten, die nicht von statistischen Ausreißern oder menschlichem Irrtum bestimmt sind.
  • Maximales Fachwissen in Ihren Teams, weil Sie von den Vorteilen kognitiver Vielfalt und kollektivem Wissen profitieren.
  • Effektivere Datennutzung: ie werden nie über die perfekte Information verfügen, aber Sie können das Beste aus dem machen, was Sie haben, indem Sie sicherstellen, dass Ihre Daten valide sind und dass wertvolle Daten nicht aufgrund schwacher Annahmen verworfen werden.

Eine letzte Lehre aus den Nachrichtendiensten betrifft die Adressaten einer Risikobewertung. Es ist enorm wichtig, die Sprache der Zielgruppe zu sprechen – wenn Sie nicht kommunizie- ren und die Ergebnisse so fassen, dass sie von Ihren Adressaten verstanden werden, war alles umsonst. Sie können hierfür einfache, praktische Lösungen implementieren, z. B. indem Sie Vertrauenswerte zuweisen – hoch, mittel und niedrig – oder diese Werte in Prozentangaben übersetzen, je nachdem, was für das Zielpublikum aussagekräftig und hilfreich ist. 

Fazit

Zurück zu unserer ursprünglichen Frage: Wie hoch ist das Ransomware-Risiko für Ihr Unternehmen?

Dieser Beitrag zeigt einen Ansatz auf, der Ihnen helfen kann, diese Frage strukturiert und analytisch zu beantworten. Die genannten Mittel – wie auch das weiterführende Quellenmaterial – bieten eine gute Grundlage für den Aufbau eines Risikobewertungsprozesses, der am Ende qualitativ deutlich bessere Bestimmungen ergibt. Indem Sie einen qualitativen Risikobewertungsprozess einrichten, gewährleisten Sie Konsistenz und Transparenz, was Ihnen und Ihren Stakeholdern Vertrauen in Ihre Ergebnisse gibt. Die Variablen, die das Risiko bestimmen, können Sie nicht kontrollieren; aber Sie können sehr wohl den Prozess kontrollieren, mit dem Sie Ihre Risiken bewerten.

Wir haben dabei auch kurz angesprochen, wie sich Risiken unter Berücksichtigung der Auswirkungen und der Wahrscheinlichkeit bewerten lassen – zumindest die Bedrohung selbst und die bestehenden Maßnahmen zur Risikominimierung sollten Sie einbeziehen. Diese Faktoren spielen nicht nur eine wichtige Rolle bei der Beantwortung dieser Frage, sondern auch bei der nächsten: Wo sollten Sie investieren, um Ihr Unternehmen zu schützen? 

Managed Threat Hunting Service mit 24/7-Abdeckung mit F-Secure Countercept