58 % der CISOs würden Lösegeld zahlen, da Remote-Endpunkte Angriffe begünstigen

58 % der CISOs würden Lösegeld zahlen, da Remote-Endpunkte Angriffe begünstigen

Ein neuer Bericht von Absolute Security hat ein konkretes Ausmaß für ein Problem benannt, um das Sicherheitsexperten seit Jahren kreisen: Der Ransomware-Schutz von Remote-Endpunkten und VPNs ist für verteilte Belegschaften keine Option mehr, sondern eine Notwendigkeit. Laut der Studie würden 58 % der Chief Information Security Officers in Betracht ziehen, ein Lösegeld zu zahlen, um einen Angriff zu beenden, wobei Betriebsausfallzeiten als Haupttreiber genannt wurden. Noch bemerkenswerter: 57 % der befragten Unternehmen gaben an, dass Ransomware-Angriffe von Remote- oder Hybrid-Endgeräten ausgingen. Diese beiden Zahlen zusammen zeichnen ein klares Bild davon, wo die Unternehmenssicherheit versagt und was es kostet, wenn sie es tut.

Wie Remote- und Hybrid-Endpunkte zum bevorzugten Einfallstor für Ransomware wurden

Der Wandel hin zu verteilter Arbeit hat eine weitläufige Angriffsfläche geschaffen, die viele Organisationen nie vollständig kartiert, geschweige denn abgesichert haben. Remote-Endpunkte – seien es Laptops von Mitarbeitern, die sich aus Heimnetzwerken verbinden, Geräte von Auftragnehmern in öffentlichen WLAN-Netzwerken oder Hybrid-Mitarbeiter, die zwischen Büro- und Remote-Umgebungen wechseln – befinden sich oft außerhalb der direkten Sichtbarkeit von Unternehmenssicherheitsteams. Sie verwenden möglicherweise veraltete Software, schwache Authentifizierung oder verbinden sich über falsch konfigurierte Tunnel mit Unternehmenssystemen.

Angreifer haben das bemerkt. Remote Desktop Protocol (RDP) und VPN-Zugangsdaten gehören nach wie vor zu den am häufigsten ausgenutzten initialen Zugriffsvektoren bei Ransomware-Kampagnen, und Endgeräte sind oft der erste Dominostein, der fällt. Sobald ein einzelnes Remote-Gerät kompromittiert ist, nutzen Angreifer es als Stützpunkt, um sich seitlich durch das Netzwerk zu bewegen, Privilegien zu eskalieren und Ransomware-Payloads einzuschleusen, bevor die meisten Organisationen Zeit haben, den Einbruch zu erkennen. Die Erkenntnisse von Absolute Security, die zeigen, dass 57 % der Angriffe auf Remote- oder Hybrid-Endpunkte zurückzuführen sind, bestätigen, dass dies kein Randrisiko ist. Es ist das dominante Angriffsmuster.

Die Konsequenzen dieses Musters reichen weit über einzelne Organisationen hinaus. Der ChipSoft-Ransomware-Angriff, der niederländische Patientendaten offenlegte, verdeutlicht, was passiert, wenn Angreifer erfolgreich von einem Endpunkt in ein System eindringen, das sensible Daten in großem Umfang enthält. Gesundheitswesen, Finanzen und kritische Infrastrukturen sind alle einem verstärkten Risiko ausgesetzt, da ihre Belegschaften zunehmend verteilt arbeiten.

Warum 58 % der CISOs bereit sind zu zahlen – und was das über die Vorbereitung aussagt

Die Bereitschaft, ein Lösegeld zu zahlen, wird oft als moralische oder rechtliche Frage gerahmt, doch die Daten von Absolute Security stellen sie als operationale Frage dar. Wenn 58 % der CISOs sagen, sie würden eine Zahlung in Betracht ziehen, befürworten sie keine kriminellen Aktivitäten. Sie erkennen an, dass ihre Wiederherstellungsfähigkeiten möglicherweise nicht ausreichen, um die Ausfallzeiten nach einem schwerwiegenden Angriff zu absorbieren, ohne erhebliche finanzielle und rufschädigende Konsequenzen zu akzeptieren.

Das ist ein Vorbereitungsproblem. Organisationen mit einer robusten, getesteten Backup- und Wiederherstellungsinfrastruktur sowie starken Incident-Response-Plänen stehen weit seltener vor einer Situation, in der eine Zahlung wie die einzige Option erscheint. Die Tatsache, dass mehr als die Hälfte der befragten Sicherheitsverantwortlichen dies in Betracht ziehen würde, deutet darauf hin, dass viele Unternehmen nach wie vor unzureichend vorbereitet sind – insbesondere wenn der Angriff von einem Endpunkt ausgeht, der außerhalb traditioneller Sicherheitsperimeter liegt.

Es spiegelt auch wider, wie kostspielig Ausfallzeiten geworden sind. Lieferketten, kundenorientierte Dienste und interne Abläufe sind alle auf den kontinuierlichen Zugriff auf Systeme und Daten angewiesen. Wenn Ransomware diese Systeme sperrt, hat jede Stunde Wiederherstellungszeit einen messbaren Geldwert. Diese Kalkulation – nicht moralische Flexibilität – ist es, was Entscheidungen zur Lösegeldzahlung antreibt. Und wie die E-Mail-Kompromittierung des FBI-Direktors deutlich gemacht hat, ist keine Organisation oder Einzelperson kategorisch immun gegen gezielte Angriffe.

Wie VPN-Infrastruktur die Angriffsfläche und das Risiko lateraler Bewegungen reduziert

Ein gut implementiertes VPN ist kein Allheilmittel, aber es ist eine grundlegende Schicht, die bei ordnungsgemäßer Konfiguration die Exposition, die Remote-Endpunkte verursachen, erheblich reduziert. Verschlüsselte Tunnel verhindern das Abfangen von Zugangsdaten in ungesicherten Netzwerken. Netzwerksegmentierung, die durch VPN-Richtlinien durchgesetzt wird, begrenzt, wie weit sich ein Angreifer bewegen kann, sobald er sich im System befindet. Und zentralisierte Authentifizierungsanforderungen bedeuten, dass kompromittierte Geräte weniger wahrscheinlich unbemerkt das Netzwerk durchqueren.

Das entscheidende Wort ist „ordnungsgemäß". VPN-Konfigurationen, die auf Einzelfaktor-Authentifizierung setzen, breiten Netzwerkzugriff statt begrenzter Berechtigungen gewähren oder über längere Zeiträume ungepatch bleiben, können selbst zu Angriffsvektoren werden. Das Prinzip der minimalen Rechtevergabe, angewandt auf der VPN-Ebene, bedeutet, dass ein kompromittierter Endpunkt nur die spezifischen Ressourcen erreichen kann, die er benötigt – nicht das gesamte Unternehmensnetzwerk. Die Kombination von VPN-Zugriff mit Multi-Faktor-Authentifizierung und Endpunkt-Integritätsprüfungen vor der Verbindung schafft eine bedeutungsvolle Barriere, die Angreifer verlangsamt und Verteidigern Zeit zum Reagieren gibt.

Für Hybrid-Belegschaften im Besonderen ist eine konsistente VPN-Richtliniendurchsetzung über alle Gerätetypen hinweg – einschließlich privater Geräte, die für die Arbeit genutzt werden – unerlässlich. Die Angriffsfläche, die der Absolute-Security-Bericht beschreibt, ist teilweise ebenso sehr eine Lücke in der Richtliniendurchsetzung wie ein technisches Problem.

Was verteilte Teams jetzt tun können, um ihre Endpunkte zu härten

Die Erkenntnisse von Absolute Security sind ein Anstoß zum Handeln, nicht nur zur Reflexion. Organisationen mit verteilten Belegschaften können konkrete Schritte unternehmen, um das Risiko zu reduzieren, das Remote-Endpunkte darstellen.

Prüfen Sie Ihren Endpunkt-Bestand. Sie können nicht schützen, was Sie nicht sehen können. Ein vollständiges, aktuelles Inventar jedes Geräts, das sich mit Unternehmenssystemen verbindet – einschließlich Geräten von Auftragnehmern und privaten Geräten – ist der Ausgangspunkt jeder Endpunktsicherheitsstrategie.

Erzwingen Sie MFA für alle VPN-Verbindungen. Diese einzelne Maßnahme eliminiert eine bedeutende Kategorie von Angriffen auf Basis gestohlener Zugangsdaten. Gestohlene Passwörter allein sollten nicht ausreichen, um Remote-Zugriff zu erlangen.

Segmentieren Sie den Netzwerkzugriff nach Rolle. Anstatt Remote-Benutzern breiten Netzwerkzugriff zu gewähren, konfigurieren Sie VPN-Richtlinien so, dass jeder Benutzer oder jede Geräteklasse nur die für ihre Funktion relevanten Systeme erreichen kann. Dies begrenzt laterale Bewegungen, wenn ein Gerät kompromittiert wird.

Patchen Sie Endpunkte und VPN-Infrastruktur konsequent. Viele hochkarätige Ransomware-Einbrüche nutzen bekannte Schwachstellen aus, für die bereits Patches existieren. Automatisiertes Patch-Management beseitigt die menschliche Verzögerung, auf die Angreifer angewiesen sind.

Testen Sie Ihren Wiederherstellungsplan. Wenn ein Ransomware-Angriff heute Ihre kritischsten Systeme treffen würde – wie lange würde die Wiederherstellung dauern? Regelmäßig durchgeführte Tabletop-Übungen und Tests zur Backup-Wiederherstellung sind die einzige Möglichkeit, diese Frage ehrlich zu beantworten und die Lücken zu schließen, bevor sie relevant werden.

Der Absolute-Security-Bericht ist ein nützlicher Maßstab dafür, wo die Unternehmenssicherheit aktuell in Bezug auf Ransomware-Bereitschaft steht. Die Zahlen sind ernüchternd: Die Mehrheit der Angriffe beginnt an Remote-Endpunkten, und die Mehrheit der Sicherheitsverantwortlichen hält eine Zahlung für möglicherweise unvermeidbar. Doch sie zeigen auch direkt auf, was sich ändern muss. Endpunkt-Sichtbarkeit, durchgesetzte VPN-Richtlinien und getestete Wiederherstellungsfähigkeiten sind keine exotischen Kontrollen. Sie sind die Grundlage, die jede verteilte Organisation nachweisen können sollte. Der richtige Ausgangspunkt ist zu bewerten, ob Ihre aktuelle Konfiguration diesen Standard tatsächlich erfüllt.