Zweitverwerter
„Bei Ransomware-Attacken mit Lösegeldforderung sind grundsätzlich zwei Szenarien denkbar“, nennt Volker Baier, CISO Industrial Security der TÜV Süd Sec-IT GmbH, mögliche Motive des Angriffs auf Krauss-Maffei. Es seien entweder kriminelle Gruppen, die schnelles Geld machen wollten, bevor die Systeme durch Patches nicht mehr verfügbar seien. Oder es handele sich um „Zweitverwerter“, die erst dann auf den Plan träten, wenn die Erstverwertung der kompromittierten Systeme, beispielsweise in Wirtschaftsspionagekreisen, abgeschlossen sei und die Möglichkeit noch einmal genutzt werde, um Kasse zu machen. Als mögliche Angriffsvektoren nennt Baier in solchen Fällen Phishing-E-Mails oder Links zu Malware, Drive-by-Infektion über ein nicht gepatchtes System oder durch einen eingeschleusten Datenträger (beispielsweise einen USB-Stick). Auch der Weg über einen Mitarbeiter ist denkbar oder ein aktiver Angriff durch Einbruch in die IT-Infrastruktur. Zur effektiven Abwehr solcher Attacken empfiehlt Baier eine Reihe von Maßnahmen: ein Patch-Management einführen beziehungsweise das vorhandene verbessern, regelmäßige Mitarbeitertrainings, ein besserer Perimeterschutz durch Next-GenerationFirewalls oder auch SandboxLösungen, die verdächtige Programme ausführen und bösartige Software blockieren, aktive Sicherheitstests mit Red-Team-Assessments durch White-Hat-Hacker.