Wie groß ist die Gefahr von neuen Schadprogrammen, erweiterten Angriffsmethoden und ungewolltem Eindringen in Unternehmensnetzwerke? So sehr die Digitalisierung zu schätzen ist, bedeutet das für den IT-Bereich auch neue Gefahren.
Experten bei CERT-Bund und dem BSI-Lagezentrum mussten sich in jüngster Zeit mit ausgefeilten Angriffstechniken auseinandersetzen, die amerikanische Dienstleister, aber auch deutschen Unternehmen das Leben schwer machten.
Eines davon ist die Ransomware. Was darunter zu verstehen ist, wo die Gefahr liegt und wie Sie sich schützen können, verraten wir Ihnen in den nächsten Minuten.
Was ist Ransomware?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt ausreichend Aufklärung über diese fortschrittliche Art von Schadprogrammen mit hohem Bedrohungspotenzial.
Ransomware zielt auf die Verschlüsselung von Nutzerdaten ab sowie auf die Einschränkung und Unterbindung von Datensystemen. Seit Jahren beobachtet das BSI diese Art Angriffsmethoden.
Nach der Verschlüsselung der Daten werden die Betroffenen mit einem Lösegeld (englisch: Ransom) erpresst. Infolgedessen auch die Bezeichnung “Ransomware”. Nach der Zahlung des meist digitalen Lösegelds werden verschlüsselte Dateien wieder freigeschaltet.
Prinzipiell lässt sich zwischen zwei Arten von Ransomware unterscheiden:
- Screenlocker: Diese sperren Ihren Bildschirm, sobald Sie betroffen sind.
- File-Encrypter: Hier werden Ihre Daten auf dem Computer verschlüsselt. Darunter kann es sich um Kinderfotos, Text-Dateien oder weitere wichtige Ordner handeln.
Besonders betroffen von Ransomware sind gemäß Aussage des BSI Windows-Rechner. Im Prinzip können jedoch alle Systeme von diesem Schadprogramm befallen werden.
Opfer von Ransomware sind die unterschiedlichsten Organisationen:
Lediglich Privatverbraucher sind bislang noch nicht betroffen – bislang!
Der Unterschied zwischen Ransomware und Malware
Malware bedeutet Schadsoftware und ist als Oberbegriff für sämtliche verschiedene Arten von böser Software anzusehen. Bei Ransomware handelt es sich um einen Typ bzw. eine Art von Malware.
Seit wann ist Ransomware ein Ernst zu nehmendes Problem?
Das Problem Ransomware ist eigentlich nicht neu. Bereits vor der Jahrtausendwende gab es Formen dieser digitalen Erpressung. Ab dem Jahr 2006 konnte jedoch der Anstieg der Ransomware-Varianten auf Windows-Systeme beobachtet werden. Das Schadprogramm zeichnete sich in erster Linie darin aus, sämtliche PC-Daten in ein passwortgeschütztes ZIP-Archiv zu komprimieren. Erst gegen Geld erhielten die Betroffenen das zugehörige Passwort.
Im Verlauf der darauffolgenden Jahre bis heute konnten sich verschiedene Ransomware-Varianten einen berüchtigten Namen machen. Darunter
- CryptoLocker,
- Reveton,
- WannaCry,
- REvil
- Deadbolt.
Unterschiede und Formen:
Das passiert auf Ihrem Rechner
Bleiben wir bei dem Beispiel der vorab erwähnten Varianten. Diese zeichnen bereits ein deutliches Bild der einzelnen Vorgehensweisen sowie den damit verbundenen möglichen Ausmaßen und Konsequenzen für Ihr Unternehmen.
Bei dieser Ransomware aus dem Jahr 2005 handelte es sich um die erste Version mit einer Verschlüsselungsfunktion. Sie trat großflächig auf. Durch das Programm wurden Nutzerdaten eines bestimmten Typs mit kryptografischen Verfahren chiffriert. Davon waren jedoch nicht nur die lokalen Festplatten der Unternehmen betroffen, sondern auch angebundene Netzlaufwerke.
Dieses Schadstoffprogramm trat 2010 in Erscheinung und ist auch unter BKA‑, GVU oder BSI-Trojaner bekannt. Diese zeichneten sich durch einen erscheinenden Warnhinweis auf dem Desktop aus, mit der Behauptung, der Rechner sei aufgrund einer polizeilichen oder zollrechtlichen Ermittlung gesperrt.
Erst nach Zahlung eines “Bußgeldes” werde er wieder freigeschaltet. Um die Täuschung möglichst echt wirken zu lassen, nutzen die Täter verschiedene Logos und Namen staatlicher Stellen.
Damit handelt es sich bisher um eines der größten beobachteten Angriffe. Im Mai 2017 verschlüsselte das Schadprogramm innerhalb von nur drei(!) Tagen in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. Insgesamt betraf dies vermutlich über Millionen von Computern.
Glücklicher weise konnte größerer Schaden aufgrund der schnellen Aktivierung einer speziellen Funktion durch Analysten verhindert werden. Anders als bei typischen Erpressungstrojanern handelte es sich in diesem Fall um einen Wurm, der sich aufgrund einer Sicherheitslücke im Windows-Betriebssystem selbstständig verbreiten konnte.
Für eines der größten Angriffe 2021 sorgte REvil auf den amerikanischen IT-Dienstleister Kaseya. Gleich Hunderte Unternehmen waren betroffen. Aufgrund einer Schwachstelle legten die Hacker sämtliche Kunden von Kaseya mit einem Verschlüsselungstrojaner lahm.
Zugriffe auf Systeme wurden gesperrt und hohe Lösegeldsummen angesetzt. Insgesamt sollen 70 Millionen Dollar gefordert worden sein. Der Angriff bewirkte einen Domino-Effekt, da an Kaseya viele IT-Unternehmen mit weiteren großen Kundennetzwerken angeschlossen waren.
So waren letztendlich sogar ein Kassensystem eines schwedischen Supermarktes betroffen, deutsche Unternehmen sowie elf Schulen und sämtliche Kindergärten und Neuseeland, um nur einige Opfer zu nennen. Einige Organisationen sahen sich sogar gezwungen, den Geschäftsbetrieb zeitweise zu unterbrechen.
Das Jahr 2022 war noch keinen Monat alt, als die Ransomware Deadbolt einen Angriff auf die NAS-Geräte von Qnap wagte. Dateien wurden verschlüsselt und die Anmeldeseite der Geräte gekapert. Von Kunden und Herstellern wurde anschließend ein Lösegeld gefordert. Qnap-Kunden wurde eine Lösegeldforderung von 0,03 Bitcoin (in etwa 1.000 Euro) unterbreitet, Herstellern 5 Bitcoin (ca. 165.000 Euro).
Schutz vor Ransomware – sich vor tatsächlichen Angriffen schützen?
Die Vorfälle zeigen, dass mit dieser Art Schadprogrammen nicht zu spaßen ist. Vernetzte IT-Infrastrukturen mit einer oder mehreren Sicherheitslücken sind “gefundenes Fressen”, um es salopp auszudrücken. Die Ausmaße erstrecken sich mitunter weltweit.
Überträgt sich das Risiko einer Ransomware auch auf private Rechner, gelten für jeden Privatanwender wie auch für Unternehmen folgende zu unternehmende Schritte.
In erster Linie sollten jedoch Unternehmen und Behörden Schutz- und Präventionsmaßnahmen folgen und diese umsetzen. Demzufolge gibt das BSI die notwendige Hilfestellung anhand des veröffentlichten “Maßnahmenkatalog Ransomware”. Dieser basiert auf Praxiserfahrungen sowie Fallbehandlungen und gibt Unternehmen mögliche Schutzmaßnahmen vor den Trojanern an die Hand. Die Maßnahmen gelten zusätzlich und ersetzen nicht den IT-Grundschutz.
Zudem handelt es sich um ein Zusammenspiel verschiedener systematischer Maßnahmen, um möglichst viele Stellen abzudecken, vor Infektionen und Verschlüsselungen zu schützen oder diese zeitnah aufzudecken.
Ransomware aufspüren – welche Techniken gibt es?
Das Problem: Es werden selbst Rechner verseucht, die bereits über eine Sicherheitssoftware verfügen. Das bedeutet, es muss ein Sicherheitssystem her, welches selbst eine tiefgehende Schadsoftware wie Ransomware aufspürt. Diese kann sonst Wochen und Monate unentdeckt bleiben.
Ist der Ransomware-Stamm sehr stark und gefährlich, bleibt Ihnen möglicherweise nichts anderes übrig als auf eine engagierte weltweite Taskforce zurückzugreifen.
Eine gesunde Mischung aus Automatisierung und Malware-Analyse ist hilfreich, um sich um Vorfeld vor Malware dieser Art zu schützen oder frühzeitig zu erkennen, bevor ein großer Schaden entsteht.
Sie können auf 3 bewährte Malware-Erkennungstechniken zurückgreifen:
Systeme befallen – was ist zu tun?
Es ist keinesfalls sicher, dass Hacker Ihre verschlüsselten Daten wieder freischalten, sobald Sie der Zahlung nachgekommen sind. Statt auf eigene Faust zu handeln, empfiehlt das BSI eine sofortige Anzeige bei der zuständigen Polizeibehörde (Landeskriminalamt).
Haben Sie übrigens im Vorfeld regelmäßige Sicherheitskopien angelegt, können Sie trotz eines Angriffs die Datenbestände wieder herstellen – ohne Lösegeldzahlung. Teilweise ist es sogar möglich, die Passwort-Schranke mithilfe von Entschlüsselungstools zu durchbrechen.
Um die schädliche Software wieder von Ihrem Computer zu löschen, braucht es recht drastische Maßnahmen. Die gründlichste Art und Weise ist, das System auf Werkseinstellungen wieder zurückzustellen. Dazu sei gesagt, dass alle auf dem PC befindlichen Dateien unwiderruflich verloren sind.
Haben Sie ein System-Back-up erstellt, können Sie den Rechner wieder auf diesen Zeitpunkt vor dem Angriff zurückstellen. Demnach ginge nur eine “kleine” Datenmenge verloren. Bei großen Unternehmen, wo täglich riesige Datenmengen verarbeitet werden, entsteht allerdings dennoch ein immenser Schaden.
Wie akut ist die Gefahr für Unternehmen?
Mit nur einem Wort: Sehr!
Im Bereich Ransomware hat sich ein kriminelles Geschäftsmodell mit mehreren Trends herauskristallisiert. Unter anderem wird Ransomware als Dienstleistung unter Cyber-Kriminellen angeboten. Das soll Angriffe erleichtern.
Gruppen wie Darkside oder REvil vermieten und verkaufen Hacking-Tools zu diesem Zweck wie große kommerzielle Unternehmen. Selbst Unterstützungsdienste werden angeboten.
Hinzu kommt, dass es oftmals nicht bei einer Erpressung bleibt. Eine sogenannte “Dreifach Erpressung” hat bereits einige Unternehmen heimgesucht. Dabei handelt es sich um eine Kombination aus Denial-of-Service-Angriffen, Dateiverschlüsselung und Diebstahl von Daten.
Leidtragend ist dann nicht mehr nur das Unternehmen, sondern mitunter auch Geschäftspartner und Kunden.
Bekämpfung von Ransomware – je eher, desto besser
Das Ausmaß der Cyber-Kriminalität ist nicht zu Unterschätzen. Selbst kleine Aktionen können bei Unternehmen einen großen Schaden anstellen. Die verlorenen oder verschlüsselten Dateien sorgen mitunter für einen zeitweiligen Stillstand und können Betriebsabläufe auch im Nachhinein negativ beeinträchtigen.
Fakt ist: Die meisten Cyberangriffe könnten vereitelt werden, würden sich Unternehmen der Verstärkung ihrer Cybersicherheit- und Kontrollen annehmen. Entsprechende Maßnahme-Checklisten helfen bereits, Sicherheitslücken zu vermeiden. Eine Kombination aus Erkennungstechniken bewahrt Unternehmen anschließend vor größerem Schaden.
Es liegt damit auch durchaus in Ihrem Interesse, sich der Sache anzunehmen.