Lösegeld für Ihre Daten

Ransomware gehört aktuell zu den am weitesten verbreiteten Angriffsmethoden auf Unternehmen

Topmedia_Ransomware_high.jpg

Never change a winning strategy! Diese leicht abgewandelte Phrase müsste eigentlich das Lebensmotto jedes ambitionierten Hackers sein. Denn warum sollte man Vorgehensweisen ändern, die sich in der Vergangenheit bewährt haben und die aufgrund der Arglosigkeit der Opfer auch morgen noch Erfolg versprechen? Besonders gilt dieser Grundsatz für das Angriffsmuster Ransomware. Per Definition handelt es sich dabei um Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Hacker nehmen also die Systeme und Daten des Nutzers als Geisel und verlangen Lösegeld für die Freigabe. Diese Vorgehensweise zielt direkt auf die Unbedarftheit von kleinen und mittelständischen Unternehmen ab, die davon überzeugt sind, dass ihre Daten für keinen Außenstehenden von Interesse sein können. Das ist leider komplett falsch gedacht, denn das größte Interesse an diesen Informationen hat natürlich das betroffene Unternehmen selbst. In stark digitalisierten Geschäftsbereichen sind die Organisationen ohne ihre Daten nicht mehr handlungsfähig und müssen große Verluste bis hin zum Marktaustritt verkraften.

Ransomware: viele Varianten, wenig Handhabe

Welch katastrophale Folgen ein erfolgreicher Ransomware-Angriff haben kann, zeigt unter anderem das Beispiel Maersk. Als die Server der Reederei mit der Schadsoftware NotPetya infiziert wurden, musste das Unternehmen Verluste von mehreren Hundert Millionen US-Dollar verzeichnen. Dies lag daran, dass die globalen Geschäftsprozesse vollständig unterbrochen wurden. Nach Schätzungen der amerikanischen Regierung kostete die Behebung der weltweiten Kosten des Angriffs neun Milliarden Euro. Dabei ist NotPetya längst nicht die einzige Ransomware-Variante dieses Typs. SamSam ist ein weiteres Beispiel. Dabei handelt es sich um eine Malware-Familie, die speziell dafür konzipiert wurde, Systeme für den Endpunktschutz zu unterlaufen. Dabei soll sie zielgenau die kritischen Server von Unternehmen und Institutionen infizieren. Die Malware ist nur schwer zu detektieren, da sie nicht mit einem Command-and-Control-Server kommuniziert. Deshalb wird sie seit 2015 gerne für gezielte Attacken gegen Behörden und medizinische Organisationen eingesetzt. Im Jahr 2018 wurde SamSam gegen die Kommunalverwaltung von Atlanta in Stellung gebracht. Dadurch entstanden Schäden in Millionenhöhe und wichtige städtische Dienste waren zeitweise nicht verfügbar. Noch ein wenig hinterhältiger operiert Powerware. Dies ist eine vergleichsweise neue Art von Ransomware, die keine neuen Dateien auf infizierten Systemen installiert. Sie nutzt die Microsoft-Powershell, um sich von den Endpunkten auf die Server auszudehnen und diese Aktivitäten als legitime Vorgänge zu verschleiern.

Einmal feucht durchwischen

Das neueste Tool aus dem Werkzeugkasten des Schreckens nennt sich GermanWiper. Dabei handelt es sich um ein an ein vermeintliches Bewerbungsschreiben beigefügtes Zip-Archiv. Wie man sich denken kann, ist aber nicht der Lebenslauf als Word-Dokument angefügt, sondern eine Windows-Link-Datei. Durch Aktivierung startet die Powershell in Windows und diese wiederum lädt die eigentliche Schadsoftware von einem Server. GermanWiper vernichtet Daten dauerhaft. Denn anstatt sie mit viel Aufwand zu verschlüsseln, überschreibt die Malware Dateien mit Nullen und ändert die Dateiendung. Das tut sie, bevor sie eine Lösegeldforderung stellt, auf die der Betroffene auf gar keinen Fall eingehen sollte. Leider ist der einzige Weg zur Wiederherstellung der Dateien ein vorher angefertigtes Backup. Dieses wird aufgespielt nachdem der PC gesäubert wurde.

Patches und Updates schaffen Abhilfe

Der effektivste Schlüssel zum Schutz vor Ransomware ist die Anpassung des eigenen Verhaltens im Umgang mit E-Mails. Mehr Informationen dazu finden Sie in unserem Beitrag zum Thema E-Mail-Sicherheit [Verlinkung zum Blogbeitrag E-Mail-Sicherheit]. Regelmäßige Patches und Updates sind darüber hinaus die effektivsten und einfachsten Maßnahmen für Unternehmen, um die Sicherheit vor solchen Gefahren zu verbessern. Das Stichwort lautet Automatisierung. Mithilfe automatischer Aktualisierungen nutzen beispielsweise 75 bis 80 Prozent der Verwender von Google Chrome immer die aktuellste Version oder zumindest die Vorversion. Wenn keine automatisierten Prozesse Verwendung finden, dann zeigt sich ein anderes Bild. Viele Nutzer laden Patches oder Updates nicht herunter, obwohl sie Benachrichtigungen von der IT-Administration bekommen. So kommt es, dass in Unternehmen Software-Versionen eingesetzt werden, die vom Hersteller keinen Support mehr bekommen und zahlreiche, seit Jahren bekannte, Schwachstellen aufweisen.

Ebenso häufig gefordert und leider dennoch zu oft ignoriert wird die Empfehlung für komplexe Passwörter. Das aktuelle Whitepaper von Topmedia widmet sich diesem Thema und gibt Ihnen Tipps, wie Sie sichere Passwörter erstellen. Sie können es kostenfrei hier herunterladen.