Klein- und mittelständische Unternehmen haben in den letzten Jahren viel in ihre Cyber Security investiert. Doch noch immer ist nicht jedem IT-Verantwortlichen bewusst, dass sich angesichts des aktuellen Ransomware-Phänomens die Bedrohungslage stark verändert – und klassische Abwehrmaßnahmen wie Antivirus und Firewall nicht mehr ausreichen. Zeit für eine Einordnung: Was ist Ransomware genau? Warum sind Ransomware-Angriffe so tückisch? Und wie kann man sich wirksam gegen sie wappnen?
Ransomware: der unsichtbare Feind
Ransomware können wir uns wie einen feindlichen Agenten vorstellen, der sich unauffällig unter uns mischt, unser Vertrauen gewinnt und auf diese Weise an wertvolle Daten und Informationen gelangt – entweder um diese zu stehlen oder uns angreifbar oder erpressbar zu machen. Aber wieso ist Ransomware so schwer zu enttarnen? Dazu muss man ihr Arbeitsprinzip verstehen.
Ransomware lebt davon, dass sie unbemerkt in Unternehmens-Netzwerke eindringen und dort nahezu unbehelligt agieren kann. Dazu nutzt sie im Netzwerk akzeptierte und etablierte Tools wie etwa PowerShell, PsExerc oder Remote-Desktop. Die Angreifer greifen also fast ausschließlich auf vorhandenen Ressourcen zurück – ohne eigene, verdächtige Malware einzuschleusen, ohne Files oder sonstige forensische Spuren zu hinterlassen. Dies geschieht oft wochen- oder sogar monatelang vor dem eigentlichen Angriff. Diese Methode wird auch „Living off the Land“ bezeichnet, womit gemeint ist, dass der Angreifer „nur von dem lebt, was die Umgebung hergibt“. Solche Aktivitäten zu enttarnen ist nahezu unmöglich – zumindest, wenn man sich nur auf klassische Antivirus-Maßnahmen oder seine Firewall verlässt.
Antivirus und Firewall: zahnlose Tiger
Angesichts der hochentwickelten Technik von Ransomware wirken Antivirus und Firewall fast wie Waffen aus einer anderen Zeit. Deren Abwehrprinzip ist das Erkennen von Mustern bzw. Signaturen oder auffälligen Netzwerkverkehr – alles Merkmale, die moderne Ransomware umgeht. Ihre Aktivitäten wirken selbst auf den zweiten Blick legitim und normal – und lösen somit auch selten Alarm aus.
Leichte Beute: kleine und mittlere Unternehmen
Wer nun annimmt, dass von der Ransomware-Bedrohung ausschließlich größere Unternehmen betroffen sind: Das Gegenteil ist der Fall, und dies aus einem nachvollziehbaren Grund. Automatisierte Angriffsmechanismen scannen permanent das Internet nach verwundbaren Zielen. Und hier rücken schnell Unternehmen in den Fokus, die über kleine IT-Teams bzw. kein eigenes Security Operations Center (SOC) verfügen – also in der Regel eher KMU als Großkonzerne. Und hier gilt frei nach Darwin: Die Schwächsten trifft es zuerst.
Die gute Nachricht: Es gibt Lösungen
Um Ransomware wirksam zu begegnen, muss man IT-Sicherheit neu denken – und entsprechend handeln. Antivirus und Firewall bleiben wichtige Säulen der IT-Security-Architektur, aber für die neuen Bedrohungsszenarien braucht es zusätzliche Konzepte. Eines der vielversprechendsten heißt: Managed Detection and Response, kurz MDR.
MDR: das holistische IT-Security-Konzept
MDR ist kein solitäres Tool, sondern eine umfassende Methodik, um auf hochdynamische Bedrohungsszenarien und komplexe Angriffe zu reagieren. Der Ansatz kombiniert modernste Erkennungs- und Reaktionstechnologien mit KI sowie menschlichen Analysten mit höchster IT-Security-Kompetenz.
Die vier Säulen von MDR sind:
- Lückenlose Überwachung
Im Gegensatz zu klassischen Tools arbeitet MDR nicht punktuell, sondern überwacht mittels hochentwickelter Sensoren alle relevanten Systeme, Endpoints und Netzwerkbereiche – lückenlos und rund um die Uhr.
- Intelligente Datenanalyse
MDR sucht nicht nur nach Auffälligkeiten in den Daten, sondern analysiert auch den Kontext ihrer Entstehung und Verwendung. Auf diese Weise werden verhaltensbasierte Anomalien entdeckt, die herkömmliche Lösungen übersehen.
- Intervention durch Experten
Bei MDR geht nichts ohne menschliche Expertise: Umfassend ausgebildete Analysten prüfen Alerts, ordnen sie richtig ein und leiten bei Bedarf konkrete Gegenmaßnahmen ein.
- Präventivmaßnahmen
MDR wartet nicht auf Alarme. Erfahrene MDR-Teams suchen lange im Voraus nach Frühindikatoren bevorstehender Angriffe – zum Beispiel Rechteausweitungen, seitliche Bewegungen oder Command-and-Control-Kommunikation. Mit dieser Präventiv-Strategie werden viele Angriffe bereits im Keim erstickt.
Der größte Vorteil: Entlastung
Schon jetzt arbeiten viele IT-Teams in KMU am Rande ihrer Belastbarkeit – kapazitätsbedingt, aber auch aufgrund vieler paralleler Aufgaben: So müssen zum einen Sicherheitsrisiken gemanagt werden, zum anderen das tägliche Trouble-Shooting betrieben, gleichzeitig Compliance nachgewiesen werden und vieles mehr. Verantwortlich dafür sind oft nur wenige Personen – die zurecht auch mal in den Feierband, ins Wochenende oder in den Urlaub gehen wollen. Über allem schwingt das Damoklesschwert, aufgrund von persönlicher Überlastung kritische Hinweise im Netzwerk zu übersehen.
Gerade hier bietet MDR einen großen Vorteil: Die operative Last wird an ein externes Expertenteam ausgelagert – und damit von den Schultern des internen IT-Teams genommen. Das externe MDR-Team ist bestens ausgebildet, arbeitet fokussiert, rund um die Uhr – und schließt damit Sicherheitslücken, die bei internen IT-Teams unvermeidbar sind.
Fazit: MDR als Schlüssel zur modernen Cyber Security
Die Bedrohung durch Ransomware ist real – gerade für kleine und mittelständische Unternehmen. Klassische Security-Bausteine wie Antivirus und Firewall bleiben wichtig, sind aber gegen moderne Ransomware-Angriffe weitgehend unwirksam. Umso mehr müssen sie um einen zusätzlichen Baustein ergänzt werden: Managed Detection and Response: MDR sorgt als ganzheitlicher Ansatz dafür, dass selbst schwer identifizierbare Ransomware-Angriffe früh erkannt und unschädlich gemacht werden – durch eine intelligente Kombination modernster Sicherheitstechnologie mit menschlicher Expertise. Auf diese Weise kann irreparabler Schaden für das Unternehmen abgewendet werden – rechtzeitig und zuverlässig.
