Nach dem Angriff auf

         das Uniklinikum Düsseldorf

        Mit KI gegen Ransomware






        Ransomware verursacht weiterhin Chaos und Unterbrechungen in Unternehmen auf
        R a n s o m wa r e v e r u r s a c h t w e i t e r h i n C h a os u n d U n t e r b r e c h u n g e n i n U n t e r n e h m e n a u f
        der ganzen Welt – mit immer schwerwiegenderen Folgen und gegen zunehmend
        d e r g a n z e n W e l t – m i t i m m e r s c hw e r w i e g e n d e r e n F o l g e n u n d g e g e n z u n e h m e n d
        hochrangige Ziele. Im September 2020 machte die Nachricht vom Tod einer Frau in
        Deutschland nach einem Ransomware-Angriff auf das Universitätsklinikum
        Düsseldorf Schlagzeilen. Sie bestätigte, dass die Bedrohung für Menschen nicht mehr
        theoretisch ist. Technologien aus der künstlichen Intelligenz (KI) könnten zur Abwehr
        solcher Angriffe hilfreich sein.





               ansomware betrifft alle Branchen, aber im Jahr 2020   Diese  Form  des Angriffs,  auch  Doxware  genannt, ver-
               haben Cyberkriminelle zunehmend wichtige Dienste,   schafft dem Angreifer ein Druckmittel für den Fall, dass die
        R wie das Gesundheitswesen, lokale Behörden und kri-  Organisation sich weigert, das Lösegeld zu zahlen – er kann
        tische Infrastrukturen, getroffen. Je mehr auf dem Spiel steht,   die Daten im Dark Web verkaufen oder beispielsweise damit
        desto wichtiger wird es, zu verstehen, wie man diese verhee-  drohen, geistiges Eigentum an Konkurrenten weiterzugeben.
        renden und weit verbreiteten Angriffe verhindern kann.
           Ransomware  kann  sich  innerhalb  von  Sekunden  quer   Ransomware mit KI abfangen
        durch die digitale Infrastruktur eines Unternehmens ausbrei-
        ten und innerhalb von Minuten ganze Systeme offline neh-  Um diese Bedrohungen zu bekämpfen, wenden sich Un-
        men. Angreifer schlagen oft nachts oder an Wochenenden zu,   ternehmen Sicherheitslösungen zu, die unüberwachtes ma-
        wenn die Reaktionszeit der Sicherheitsteams langsamer ist.   schinelles Lernen nutzen, um neuartige Angriffe zu erkennen
        Angriffe mit maschineller Geschwindigkeit erfordern eine Ab-  und darauf zu reagieren – ohne die Notwendigkeit von Regeln
        wehr mit gleicher Geschwindigkeit, die diese Bedrohung ohne   und Signaturen oder menschlichem Eingreifen. Unüberwach-
        menschliche Führung erkennen und darauf reagieren kann   tes maschinelles Lernen lernt die normalen Verhaltensmuster
        und die Bedrohung autonom blockiert.                 für jeden Benutzer und jedes Gerät im gesamten Unterneh-
                                                             men. Dadurch kann die Technologie anomale Aktivitäten er-
        Einblicke aus einer echten Infektion                 kennen, die auf Bedrohungen hindeuten, ohne sich auf fest
                                                             kodierte Regeln und Signaturen zu verlassen.
           In Beispiel Uniklinik Düsseldorf war der ursprüngliche   Gezielte Angriffe mit doppelter Bedrohung sind auf dem
        Infektionsvektor Spear-Phishing. 2020 war die Verwendung   Vormarsch und extrem gefährlich – sie zielen zunehmend auf
        von Phishingmails mit Pandemie-Thematik eine beliebte Me-  Umgebungen mit hohem Risiko ab. Ransomware-Angriffe
        thode, um Ransomware in Gesundheitsorganisationen einzu-  wie diese zeigen Unternehmen, warum eine autonome Re-
        schleusen. Die traditionellen Gateways ließen diese oft durch.  aktion im aktiven Modus nicht nur „nice to have“ ist – sondern
           Der Angreifer begann mit Netzwerk-Scan-Aktivitäten und   notwendig, da schnelllebige Bedrohungen maschinenschnelle
        Enumeration, um den Zugriff auf das Subnetz für Forschung   Reaktionen erfordern.  n
        und  Entwicklung  zu  erweitern.  Ein  infiziertes  Gerät  stellte
      Bild: ©Gorodenkoff - stock.adobe.com  mit der Ransomware verbunden ist, und das TOR-Browser-  Max Heinemeyer,
        dann eine Verbindung zu einer verdächtigen Domain her, die
        Bündel wurde heruntergeladen – wahrscheinlich für Com-
        mand-and-Control-Zwecke. Eine große Menge sensibler Daten
        aus dem F³E-Subnetz wurde auf eine seltene Domain hochge-
        laden. Dies ist typisch für bestimmte Arten von Ransomware,
        die als „doppelte Bedrohung“ angesehen werden, da sie nicht
        nur versuchen, wichtige Dateien zu verschlüsseln, sondern
                                                                           Director of Threat Hunting bei Darktrace
        auch eine Kopie davon an den Angreifer zurückschicken.



                                                             SPECIAL_2/2021  IT-SICHERHEIT IM KRANKENHAUS        19