Über unsMediaKontaktImpressum
Alexander Peters 21. September 2021

Ransomware: Angriffe erkennen und stoppen

Angriffe mit Erpressersoftware (Ransomware) nehmen drastisch zu und führen zu erheblichen Schäden. Es ist nicht davon auszugehen, dass sich das in absehbarer Zeit ändert. Daher müssen Unternehmen und öffentliche Einrichtungen Vorkehrungen gegen solche Attacken treffen. Eine Schlüsselrolle spielen dabei die Einfallstore, über die Schadsoftware in das Unternehmensnetz gelangen kann, vor allem E-Mails, RDP, VPN und nicht gepatchte Sicherheitslücken.

An die 90 Prozent der deutschen Unternehmen erlitten zwischen Mitte 2020 und 2021 Schäden durch Cyber-Angriffe. In 18 Prozent der Fälle waren dafür Attacken mit einer Erpressersoftware (Ransomware) verantwortlich. Das ergab eine Studie im Auftrag des Digitalverbands Bitkom [1]. Weltweit waren sogar mehr als 50 Prozent der Unternehmen und Organisationen Ziel von Ransomware-Angriffen und sahen sich dadurch in ihrer Geschäftstätigkeit beeinträchtigt, so der "State of Email Security Report 2021" von Mimecast [2]. Zu den häufigsten Angriffsvektoren für Ransomware-Angriffe zählen E-Mail, RDP und VPN. Diese Einfallstore sollten auch besondere Beachtung bei den Schutzmassnahmen erhalten.

Die Schäden, die durch Ransomware entstehen, sind beträchtlich. Der Bitkom geht von 220 Milliarden Euro aus. Diese Zahl bezieht sich allerdings auf alle Arten von Cyber-Angriffen. Laut der Untersuchung von Mimecast fallen von Ransomware betroffene IT-Systeme und Applikationen im Durchschnitt drei Tage lang aus. Diese Zahl kann jedoch je nach Art der Erpressersoftware, der Art und Zahl der betroffenen Systeme und der Komplexität des Entschlüsselungsvorgangs deutlich höher liegen. Bei der Ransomware Ryuk dauert es beispielsweise etwa zwölf Tage, bis die Folgen eines Angriffs überwunden sind, bei Sodinokibi können es bis zu 19 Tage sein [3]. Hinzu kommen die Kosten durch Lösegeldzahlungen. Codeware, ein Anbieter von Anti-Ransomware-Lösungen, schätzt, dass Firmen im zweiten Quartal 2021 den Initiatoren von Ransomware-Angriffen durchschnittlich rund 137.000 Dollar zahlten [4]. Schwer zu beziffern sind die Schäden, die außerdem durch den Verlust und Missbrauch von Daten entstehen, die im Rahmen einer solchen Attacken entwendet wurde. Schlimmstenfalls können sie dazu führen, dass ein Unternehmen seine Konkurrenzfähigkeit einbüßt.

Die vielen Gesichter von Erpressersoftware

Doch zunächst ein Blick auf die unterschiedlichen Spielarten von Ransomware. Dieser Begriff wird allgemein im Zusammenhang mit Schadprogrammen gebraucht, die sich Zugang zu IT-Systemen und Daten verschaffen und diese für Nutzer unzugänglich machen. Eine gängige Methode ist, Programme und Daten auf dem Zielsystem zu verschlüsseln. Der erste Verschlüsselungstrojaner ("AIDS Trojan" oder "PC Cyborg") trat bereits Anfang der 1980er Jahre in Erscheinung. Er ersetzte die AUTOEXEC.BAT-Datei auf Windows-Rechnern und verschlüsselte die Dateinamen auf der Festplatte. Um diese wieder zugänglich zu machen, musste der Nutzer beim "Erfinder" von AIDS Trojan ein Tool kaufen [5].

Mit Cryptolocker betrat 2013 erstmals eine Verschlüsselungs-Ransomware die Bühne, deren Autoren das Lösegeld in Form der Kryptowährung Bitcoin einforderten [6]. Dies verringert das Risiko, dass die Cyberkriminellen anhand von Finanztransaktionen identifiziert werden können. Mittlerweile ist diese Art der Lösegeldzahlung zum Standard geworden. Zu den bekanntesten Nachfolgern von Cryptolocker zählt Wannacry. Diese Schadsoftware trat erstmals 2017 in Erscheinung und infizierte mehr als 125.000 Unternehmen und Organisationen. Etwa im selben Zeitraum trat mit Petya ein weiterer Erpressungstrojaner auf den Plan, der den Master Boot Record (MBR) von Windows-Systemen verschlüsselte.

"Hybrid-Modelle": gestohlene Daten als weiteres Druckmittel

Zu den neuesten Ransomware-Versionen mit Verschlüsselungsfunktion zählen AvosLocker und Hive [7]. AvosLocker ist ein "Ransomware-as-a-Service"-Angebot. Cyberkriminelle können die Software von deren Entwicklern gegen Bezahlung erwerben und einsetzen, ähnlich wie einen Cloud-Dienst. Für die Entschlüsselung der Daten, die durch AvosLocker unzugänglich wurden, müssen Opfer derzeit etwa 50.000 bis 75.000 Dollar aufwenden.

Hive dagegen nutzt zwei Druckmittel. Das erste ist die Verschlüsselung von Daten und Zugangsinformationen. Zuvor entwendet die Software jedoch Unternehmensdaten. Die Erpresser drohen damit, diese zu veröffentlichen oder zu verkaufen, falls das betroffene Unternehmen nicht auf ihre Forderungen eingeht. Kommen solche Daten an die Öffentlichkeit, kann das die Reputation und Wettbewerbsfähigkeit eines Unternehmens in erheblichem Maß beeinträchtigen. Eine solche Doppelstrategie verfolgen neben Hive auch Ransomware-Varianten wie Clop, Maze, Conti und REvil/Sodinokibi. Was Hive allerdings abhebt: Jüngste Open-Source-Berichte besagen, dass Hive von Menschen in Echtzeit betrieben wird, was eine Bekämpfung extrem schwierig macht, sofern die Verteidiger nicht aktiv überwachen und über eine starke Cyber-Hygiene verfügen.

Neben Hybrid-Ransomware wie Hive sind auch Versionen in Umlauf, die sich auf Datendiebstahl beschränken. Sollte ein Opfer einer solchen Leakware oder Doxware nicht umgehend zahlen, erhalten Kunden und Geschäftspartner E-Mails, in denen auf ein Datenleck bei dem betreffenden Unternehmen hingewiesen wird.

Zerstörung von Datenbeständen

Für Betroffene besonders problematisch ist eine dritte Variante von Ransomware: so genannte Wiper-Software wie die Chaos Malware [8]. Sie ist dafür ausgelegt, Daten auf den befallenen IT-Systemen und Datenträgern zu zerstören. Auch dann, wenn ein Unternehmen Lösegeld bezahlt, ist es nicht möglich, die Informationen wiederherzustellen. Die ersten Versionen von Chaos verfolgten diesen destruktiven Ansatz. Allerdings handelt sich bei der Chaos Malware offenkundig um "Work in Progress". Die Entwickler arbeiten nach Angaben von IT-Sicherheitsunternehmen daran, die Software zu erweitern, beispielsweise um eine Leakware-Funktion und eine Verschlüsselung.

Der Grund ist, dass es sich bei Unternehmen und Organisationen herumgesprochen hat, dass sie nach einem Angriff mit der Chaos Malware auch trotz Zahlung eines Lösegelds keinen Zugriff auf ihre Daten erhalten. Das steht im Widerspruch zum Ziel der meisten Ransomware-Angriffe: "Die erste und wichtigste Motivation für die Verbreitung von Ransomware ist der finanzielle Gewinn", so das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Ratgeber "Ransomware 2021" [9].

Wie Ransomware-Angriffe ablaufen: zuerst Aufklärung

Im Gegensatz zum Versenden von Spam-E-Mails handelt es sich bei Ransomware-Attacken meist um gezieltere Angriffe. Wobei die Zahl der Fälle, in denen sich Angreifer spezifische Opfer aussuchen, limitiert ist. In den meisten Fällen entwickeln Angreifer ihre Attacken eher opportunistisch weiter, sobald sie das Ziel erfolgreich kompromittiert haben. In einem Handbuch beschreiben die Schöpfer der Ransomware "Conti", wie die Nutzer ihrer Software vorgehen sollten [10]. Zu Beginn gilt es demnach, Informationen über das Zielobjekt zu sammeln. Dazu zählen Finanzdaten, Kunden und Partnerfirmen, mit denen das Unternehmen beziehungsweise die Organisation zusammenarbeitet. Außerdem werden Mitarbeiter identifiziert, die als Empfänger von Phishing-E-Mails in Betracht kommen: Führungskräfte, aber auch Mitarbeiter in den Fachabteilungen. Zu diesem Zweck werten die Angreifer beispielsweise Informationen von Plattformen für die Pflege beruflicher Kontakte aus, wie LinkedIn oder Xing, zudem Social-Media-Services.

Weitere Informationsquellen sind Online-Jobbörsen. Zum einen finden sich dort möglicherweise Stellenanzeigen des Zielobjekts, inklusive der E-Mail-Adresse der Human-Resources-Abteilung. Angreifer können somit eine fingierte Bewerbung mit Word- oder PDF-Dateien zusammenstellen, die Schadsoftware enthält. Zum anderen geben Stellenausschreibungen unter Umständen Aufschluss darüber, welche IT-Systeme ein Unternehmen einsetzt. Sucht eine Firma beispielsweise Administratoren für bestimmte Windows-Server-Versionen oder Netzwerksysteme, ist das für Angreifer ein Ansatzpunkt, um über Schwachstellen dieser Lösungen in das Unternehmensnetz einzudringen.

Die Analyse schließt weitere technische Aspekte mit ein. Dazu zählt, ob Server und IoT-Systeme wie Sensor- und Mess-Systeme über unzureichend geschützte Internetverbindungen erreichbar sind.

Dann den Angriff starten

Auf Basis der Erkenntnisse, welche die Aufklärungsaktion ergeben hat, wird die passende Angriffsstrategie gewählt. Zu den bevorzugten Angriffsvektoren zählen [11]:

  • Das Remote Desktop Protocol (RDP), über das Rechner auf Server im Unternehmensnetz zugreifen. Das kann beispielsweise eine virtualisierte Desktop-Umgebung (VDI, Virtual Desktop Infrastructure) sein. Durch die Corona-Pandemie und die Arbeit im Homeoffice ist die Zahl der RDP-Verbindungen gestiegen – und damit die Zahl der offenen oder unzureichend abgesicherten RDP-Ports.
  • Virtual Private Networks (VPN): An sich bieten VPN-Verbindungen einen guten Schutz vor Angriffen, aber nur dann, wenn die IT-Abteilung die VPN-Software regelmäßig und zeitnah updatet. Das unterbleibt jedoch häufig angesichts der hohen Belastung der IT-Fachleute oder erfolgt mit Verspätung.
  • E-Mails: Zu den problematischsten Angriffsvektoren zählen Phishing-Mails mit Dateianhängen wie Word- und Excel-Files, in die Malware und Makros eingebettet sind. Hinzu kommen Nachrichten mit Links, die zu Websites führen, die Schadsoftware enthalten. Damit der Adressat die präparierte Nachricht öffnet, wird diese getarnt, etwa als Rechnung eines Geschäftspartners oder als Anfrage von Kunden und Kollegen.

Eine Kommandostruktur aufbauen

Hat sich ein Angreifer mithilfe einer Malware oder auf andere Weise – etwa entwendete Login-Daten – Zugang zu einem Unternehmensnetz verschafft, baut er eine "Command-&-Control"-Infrastruktur (C&C) auf. Bei einem Angriff mit der Ransomware Darkside, den das Cyber-Security-Unternehmen Varonis dokumentiert hat, nutzten die Kriminellen beispielsweise einen RDP-Client, der über Port 443 kommunizierte [12]. Die Verbindung wurde über das TOR-Netzwerk aufgebaut, das Verbindungsdaten anonymisiert. Damit sich dieser Datenverkehr nicht vom normalen Webverkehr unterscheidet, leiten ihn Angreifer häufig über einen lokalen, dynamischen Port (TOR via HTTPS über Port 443) weiter. Das erleichtert es den Kriminellen, sich unbemerkt "lateral" im Netzwerk des Opfers zu bewegen und die Erkundung fortzusetzen.

Weitere Verbindungen zu den C&C-Servern können bei Darkside mithilfe von "Cobalt Strike Beacons" eingerichtet werden. Cobalt Strike ist eigentlich ein Tool für IT-Security-Spezialisten. Damit simulieren sie Angriffe auf IT-Systeme und Netzwerk. Doch Cobalt Strike Beacons lassen sich auch dazu nutzen, um über unterschiedliche Pfade von außen auf ein Netzwerk zuzugreifen. Dazu müssen keine Backdoors implementiert werden, die von EDR-Systemen (Endpoint Detection and Response) entdeckt werden könnten.

Informationen "absaugen" und Nutzerrechte ausweiten

Im nächsten Schritt scannt der Angreifer das Netzwerk und die dort integrierten Systeme auf verwertbare Informationen, etwa Account-Daten von Usern und Administratoren. Dabei kommen Tools wie psexec und Mimikatz zum Einsatz. Um Active-Directory-Daten wie User Groups und privilegierte Nutzerkonten auszuspähen, bieten sich Werkzeuge wie ADrecon.ps1 an. Laut Varonis können sich Angreifer durch solche Analysen die Rechte von Domänen-Administratoren erschleichen und Zugang zu allen Passwörtern der Domain erhalten.

Bei Ransomware-Versionen, die sowohl ein Extrahieren von Daten also auch deren Verschlüsselung ermöglichen, erfolgt anschließend das "Absaugen" von verwertbaren Informationen, die auf Servern im Unternehmensnetz lagern. Interessant sind vor allem Kundendaten und Finanzinformationen. Aber auch Entwicklungsunterlagen und Daten von Produktionsumgebungen lassen sich zu Geld machen, sollte das Opfer einer Ransomware-Attacke nicht auf die Forderungen der Angreifer eingehen.

Der Abschluss: Die Dateien verschlüsseln

Ist die Kartierung der Netzwerk- und IT-Umgebung abgeschlossen, inklusive von Servern, Anwendungen, Virtual Machines und – gerade bei ausgeklügelten Angriffen besonders häufig – Backup-Systemen, und wurden verwertbare Daten extrahiert, dann folgt die Verschlüsselung. Der Code wird ebenfalls über TOR- oder Cobalt-Strike-Verbindungen eingeschleust. Um signaturbasierten Sicherheitsmechanismen zu entgehen, tarnt sich Ransomware häufig als ausführbare Datei, etwa tomi.exe. Mithilfe von verschleierten Powershell-Kommandos können selbst Schattenkopien von Dateien verschlüsselt oder gelöscht werden. Das heißt, der Angreifer nimmt dem betroffenen Unternehmen nach Möglichkeit alle Optionen, um Files aus Datensicherungen wiederherzustellen.

Ähnlich wie mit Darkside erfolgen Attacken mit anderen Ransomware-Programmen, etwa Nefilim und Lockbit. Ob es sich um eine Version handelt, die Daten auf den Zielsystemen unzugänglich macht oder "nur" Informationen extrahiert und auf die Server von Cyberkriminellen überspielt, ist nicht entscheidend. In allen Fällen müssen die betroffenen Unternehmen und Organisationen mit negativen Folgen rechnen. Zudem können sie nicht darauf bauen, dass die Angreifer ihnen trotz Lösegeldzahlung den Entschlüsselungscode zur Verfügung stellen. Weiterhin ist zu berücksichtigten, dass der Angreifer möglicherweise weitere Schadsoftware im Netzwerk platziert hat. Daher gehen Unternehmen dazu über, nach einem Ransomware-Angriff die betroffene IT-Umgebung komplett neu aufzubauen – ein kostspieliger Ansatz.

Alle Branchen betroffen

Welche Folgen Ransomware-Angriffe haben können, zeigt eine Vielzahl von Beispielen [13]. De facto ist jede Branche betroffen: Industrieunternehmen, der Handel, Finanzeinrichtungen und Energieunternehmen. Auch öffentliche Einrichtungen wie Kliniken und Gemeindeverwaltungen und Wohlfahrtseinrichtungen zählen zu den Adressaten solcher Attacken. Das amerikanische FBI hat in jüngster Zeit sogar einen Anstieg der Attacken auf Landwirtschaftsbetriebe verzeichnet.

Dass selbst IT-Anbieter nicht gegen Ransomware-Angriffe gefeit sind, zeigt die Infiltration der Software Virtual System Administrator (VSA) von Kaseya im Juli 2021 [14]. VSA ist ein cloudbasierter Managed Service für das Patch-Management, das Monitoring von Client-Systemen und das Erstellen von Backups. IT-Dienstleister nutzen die VSA-Plattform, um die IT-Systeme ihrer Kunden zu verwalten. Angreifer nutzten eine Zero-Day-Schwachstelle eines VSA-Servers, um darüber die Ransomware REvil/Sodinokibi auf Kundensysteme zu übertragen. Eine Folge: In Schweden wurden die Rechner eines Zahlungsdienstleisters mit REvil infiziert und waren nicht mehr arbeitsfähig. Das führt wiederum dazu, dass die Kassensysteme des Lebensmittelhändlers Coop nicht mehr funktionierten. Zeitweilig musste Coop 500 Filialen in Schweden schließen. Das Beispiel zeigt, dass Ransomware-Angriffe ganze Lieferketten lahmlegen können.

Ein Beispiel für eine Attacke auf eine öffentliche Einrichtung ist die Verschlüsselung der Server der Stadtverwaltung von Ebeleben in Thüringen im Frühjahr 2021. Der Verschlüsselungstrojaner wurde über eine mittlerweile behobene Sicherheitslücke in Microsoft Exchange eingeschleust. Der Angreifer forderte ein Lösegeld für den Entschlüsselungscode. Die Stadt ging jedoch nicht darauf ein und entschied sich dafür, die IT-Umgebung von einem Dienstleiter neu einrichten zu lassen. Der Schaden: etwa 10.000 bis 15.000 Euro. In anderen Fällen haben deutsche Unternehmen gezahlt. Die Osnabrücker Firma KME, ein Hersteller von Kupfer-Erzeugnissen, wendete beispielsweise 2020 rund 1,3 Millionen Euro auf, um wieder Zugang zu Daten und Rechnern zu erhalten.

Schutzmaßnahmen

Um sich vor Ransomware-Angriffen zu schützen, ist ein ganzheitlicher Ansatz erforderlich. Das Ziel sollte sein, eine Cyber-Resilienz im Allgemeinen und einen Schutz gegen Ransomware im Besonderen aufzubauen [15,16]. Cyber-Resilienz bedeutet, die Widerstandsfähigkeit und Wiederherstellbarkeit einer IT-Umgebung zu optimieren. Doch wie lässt sich dies umsetzen? In Betracht kommen dabei viele Bausteine. Daher hier ein Überblick über einige der wichtigsten Maßnahmen.

Zu ihnen zählt der Einsatz von Lösungen, die Angriffe via E-Mail unterbinden, insbesondere mittels Spam und Phishing-Nachrichten. Dafür eigenen sich Anti-Malware- und Anti-Spam-Lösungen. Sie verhindern beispielsweise, dass ein User auf eine Website zugreift, die mit Malware hinterlegt ist oder einen E-Mail-Anhang öffnet, der Schadsoftware enthält. Hilfreich ist außerdem, wenn eine E-Mail-Sicherheitslösung dem Nutzer die Möglichkeit gibt, eigenständig eine verdächtige Nachricht überprüfen zu lassen. Dafür stellen einige Anbieter solcher Lösungen beispielsweise Plug-ins für gängige Mail-Programme wie Outlook zur Verfügung.

Eine Überlegung wert ist, auf cloud-basierte E-Mail-Security-Gateways und Sicherheitslösungen zurückzugreifen. Diese erfordern einen geringeren Administrationsaufwand und bieten eine bessere Skalierbarkeit. Außerdem werden sie von Spezialisten angeboten, die meist über eine höhere Expertise im Bereich Cyber-Security verfügen als die hauseigenen IT-Fachleute.

Künstliche Intelligenz und Machine Learning einsetzen

Wichtig ist, dass die Lösungen sich nicht auf eine signaturbasierte Identifizierung von Malware beschränken. Sie sollten über heuristische Funktionen verfügen, um verdächtige E-Mail-Attachments und eingebettete Links zu erkennen und zu eliminieren. Mittlerweile greifen die Anbieter von Anti-Malware- und E-Mail-Sicherheitslösungen verstärkt auf künstliche Intelligenz (KI) und Machine Learning (ML) zurück, um die Analysefunktionen und Reaktionsschnelligkeit der Gateways und der Schutzsoftware zu verbessern.

KI und ML können zudem Firewalls und Intrusion-Protection-Systeme (IPS) dabei unterstützen, potenziell schädliche Zugriffe zu erkennen und zu unterbinden. Dazu bauen solche Lösungen durch die Analyse von Datenverkehrsmustern sowie des Verhaltens von Anwendungen und Usern ein "Fachwissen" auf, das den Normalzustand einer IT-Umgebung widerspiegelt. Vor allem beim Erkennen von Anomalien und atypischen Verhaltensmustern sind diese Technologien hilfreich. Ein IPS sollte beispielsweise Alarm schlagen, wenn eine Office-Anwendung wie Microsoft 365 plötzlich eine Powershell-Sitzung startet.

DNS-Authentifizierung und E-Mail-Continuity

Wenn ein Mitarbeiter eine E-Mail mit einem Word-Dokument von einem Partnerunternehmen erhält, ist nicht in jedem Fall besagter Kunde oder Lieferant der Absender. Ransomware-Attacken beginnen häufig damit, dass an ausgewählte Adressaten "gespoofte" E-Mails mit Malware an Bord versendet werden. Das heißt, die Mail stammt vermeintlich von einer vertrauenswürdigen E-Mail-Domain.

Solche Angriffe lassen sich mithilfe von DNS-Authentifizierungsverfahren (Domain Name Service) wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) erkennen [17]. Sie überprüfen die Authentizität der Nachrichten und der Absender-Domains. DMARC legt zudem fest, wie der Empfangs-Mailserver mit einer verdächtigen Nachricht verfahren soll, etwa ob er diese ablehnt oder in eine Quarantäneumgebung verschiebt.

Backups einrichten und Netzwerk segmentieren

Es ist hier sicherlich lohnenswert – soweit es möglich ist – einen Zero-Trust-Ansatz im Netzwerkbereich sowie bei der Authentifizierung und bei den Benutzer-Berechtigungen umzusetzen. Weiterhin ist es erforderlich, regelmäßig Backups von geschäftskritischen Daten zu erstellen – etwa einmal pro Woche. Allerdings ist dabei zu beachten, dass sich auch in Backup-Daten Schadsoftware und Ransomware einschleichen kann. Zudem sind Ransomware-Versionen in der Lage, Netzwerkverbindungen zu erkennen und daher auch Dateien auf Backup- und Storage-Systemen zu kompromittieren. Abhilfe schaffen separate, besonders gut abgesicherte Netzwerksegmente, in denen Backup- und Archivierungssysteme platziert werden. Weitere Optionen sind Offsite-Backups und die Datensicherung in einer Cloud. Damit im Ernstfall die Datenwiederherstellung auch reibungslos funktioniert, ist es empfehlenswert, Restore-Vorgänge regelmäßig zu "üben". Das unterbleibt leider in vielen Unternehmen und Organisationen wegen des Zeitmangels der IT-Abteilung.

Eine Netzwerksegmentierung ist zudem hilfreich, um laterale Bewegungen von Angreifern und Ransomware im Netz zu unterbinden oder zumindest zu erschweren. Eine Option ist beispielsweise, für jeden Fachbereich eine separate Netzwerkumgebung einzurichten. Das gilt auch für IoT-Komponenten, die oft weniger gut gegen Cyber-Angriffe geschützt sind und seltener "gepatcht" werden. Denn Hacker nutzen solche Systeme verstärkt, um sich in das Kernnetz von Unternehmen vorzuarbeiten.

Apropos Patching: Sicherheitslücken von IT- und Netzwerksystemen möglichst schnell zu schließen, ist essenziell, um Ransomware-Angriffe zu unterbinden. Laut einer Studie des Beratungsunternehmens Osterman Research benötigen 20 Prozent der Unternehmen zwischen einer Woche und mehreren Monaten, um Sicherheitsupdates einzuspielen [17]. Das ist völlig unzureichend. Denn Hacker sind mittlerweile in der Lage, innerhalb von wenigen Tagen bekannte Sicherheitslücke auszunutzen. Bei einem FTP-Client von Accellion wurden beispielsweise bereits 72 Stunden nach Veröffentlichung der Information über eine Schwachstelle erfolgreich Angriffe auf Nutzer der Software durchgeführt.

Mehrfaktor-Authentifizierung

Zu den aus Sicht von Anwendern wichtigsten Maßnahmen gegen Ransomware-Angriffe zählt laut Osterman Research die Mehrfaktor-Authentisierung beziehungsweise -Authentifizierung (MFA) [17]. Sie ist dann von Nutzen, wenn es einem Angreifer gelungen ist, sich den Anmeldenamen und das Passwort eines Users zu verschaffen. Ist ein zweiter Faktor erforderlich, etwa ein Token oder eine Authentifizierungs-App, bleibt ihm dennoch der Zugang zur IT-Umgebung verschlossen.

Problematisch ist, dass viele Unternehmen schwache MFA-Verfahren einsetzen, etwa auf Basis von E-Mails oder SMS-Nachrichten. Einen besseren Schutz bieten Hardware Security Keys, etwa auf Basis der FIDO-Spezifikation, sowie biometrische Technologien. Authentifizierungs-Apps sind unter anderem von Google und Microsoft erhältlich. Vor allem bei Mitarbeitern mit privilegierten Rechten und dem Zugang zu sensiblen Daten sollten sichere MFA-Methoden Pflicht sein. Dazu zählen Manager, IT-Administratoren sowie Mitarbeiter in der Finanzabteilung, dem HR-Bereich und in Forschung und Entwicklung.

Mitarbeiter aufklären und schulen

Doch die besten E-Mail-Security-Gateways, Intrusion-Protection-Systeme und Anti-Malware-Lösungen helfen nur bedingt, wenn die Mitarbeiter nicht mitspielen. Unabdingbar ist, regelmäßig Schulungen durchzuführen, damit Beschäftigte Phishing-Versuche erkennen und andere Risiken vermeiden. Dazu zählt der Einsatz von Software und IT-Systemen, die nicht von der IT-Abteilung freigegeben wurden. Wichtig ist zudem, dass den Beschäftigten klar ist, dass E-Mails ein Haupteinfallstor für Ransomware sind. Daher ist angebracht, verdächtige Nachrichten von Security-Tools überprüfen zu lassen oder in einen Quarantäne-Ordner verschieben. Idealerweise erarbeitet ein Unternehmen eine Cybersicherheitsrichtlinie. Sie sollte abgestufte Regeln (Policies) enthalten, etwa für "normale" Beschäftigte, Manager und Administratoren.

Die Richtlinie sollte außerdem den potenziellen Schaden berücksichtigen, den eine Ransomware-Attacke anrichtet. Eine Online-Handelsplattform ist ohne Zugriff auf Daten und Anwendungen de facto arbeitsunfähig. Ein Handwerksbetrieb kann sich dagegen möglicherweise einige Tage lang mit papiergestützten Kundenunterlagen behelfen, bis die IT wieder funktioniert.

Exkurs: Zahlen oder nicht zahlen?

Doch wie sollen sich Unternehmen und Organisationen verhalten, die trotz aller Vorkehrungen Opfer einer Ransomware-Attacke wurden? Eine pauschale Antwort darauf gibt es nicht. Zwar empfehlen staatliche Einrichtungen wie das BSI und die Polizei, kein Lösegeld zu bezahlen. Dies vor allem deshalb, um nicht weitere Cyberkriminelle zu ermutigen, Ransomware-Attacken zu starten. In der Praxis müssen Betroffene jedoch abwägen, wie hoch der Schaden ist, wenn sie ein Lösegeld bezahlen oder was es "kostet", wenn IT-Systeme eine Zeit lang nicht mehr zugänglich sind beziehungsweise sensible Daten in falsche Hände geraten [18].

Um den finanziellen Schaden zu begrenzen, können Unternehmen außerdem eine Versicherung abschließen. Sie kommt bei einem Ransomware-Angriff für die Kosten auf, die mit dem Ausfall von IT- und OT-Systemen (Operational Technology) verbunden sind – auch für das Lösegeld [19]. Um die Ausfallzeiten von Systemen und die damit verbundenen Kosten niedrig zu halten, sind Versicherer bestrebt, möglichst schnell die geforderten Summen zu überweisen. Das wissen auch die Kriminellen. Sie konzentrieren ihre Angriffe daher zunehmend auf Unternehmen, die über eine solche Versicherung verfügen. Die Folge: Assekuranzen gehen dazu über, die Zahlung von Cyber-Lösegeld aus ihren Angeboten auszuschließen.

Fazit

Ransomware ist keine "Modeerscheinung". Vielmehr ist davon auszugehen, dass die Cybercrime-Szene in den kommenden Monaten und Jahren ihre Aktivitäten in diesem Bereich deutlich erhöht – zumindest solange genügend Unternehmen und Organisationen Lösegeld zahlen oder bis regulierende Standards geschaffen werden, durch die sich die "Erträge" reduzieren und damit Angriffe unattraktiver werden. Effektive und Schutzmaßnahmen sind daher kein Luxus, sondern eine Notwendigkeit. Das gilt umso mehr, als die Digitalisierung in vielen Bereichen Fahrt aufnimmt und dadurch mehr Ansatzpunkte für Ransomware-Angriffe entstehen. Nur wenn Cyberkriminelle zu dem Schluss kommen, dass sich solche Attacken wegen des hohen Aufwands und Risikos nicht mehr auszahlen, besteht die Chance, dieser Problematik Herr zu werden.

Autor

Alexander Peters

Alexander Peters ist seit April 2021 Manager des Sales Engineers Teams bei Mimecast verantwortlich für die DACH-Region mit einem Fokus auf Enterprise-Kunden.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben