Ransomware ist eine Malware, die Geräte, Netzwerke und Rechenzentren infiziert und den Zugriff für Benutzer sperrt. Um die Systeme wieder freizuschalten, erpressen die Angreifer ein Lösegeld. Die Schadsoftware kann auf verschiedenen Wegen in das System gelangen, wobei Web-basierte Malware bereits Anfang 2020 den traditionelleren Vektor der E-Mail-Zustellung verdrängt hat. Eine weitere Strategie ist der Drive-by-Download: Ruft ein Benutzer eine infizierte Website auf, wird die Malware ohne sein Wissen heruntergeladen und installiert. Nicht nur Geräte, sondern auch Webbrowser sind also die Hauptziele von Cyber-Kriminellen. Gerade jetzt, wo Angreifer auch weiterhin Beschäftigte an entfernten Standorten ins Visier nehmen.
Im Zusammenhang mit der weltweiten Pandemie waren zudem COVID-19-bezogene Nachrichten und Anhänge, die in einer Reihe verschiedener Ransomware-Kampagnen als Köder eingesetzt wurden, zu beobachten. Das deutet darauf hin, dass Ransomware weiterhin eine große Bedrohung darstellen wird. Dies belegen auch Zahlen aus dem aktuellen FortiGuard Labs Global Threat Landscape Report. So war die durchschnittliche wöchentliche Aktivität von Ransomware-Bedrohungen im Juni 2021 mehr als zehnmal so hoch wie vor einem Jahr. Zusätzlich setzen Akteure vermehrt auf die Beschaffung und den Verkauf von sogenannten Erstzugriffen auf Unternehmensnetzwerke, was ein weiteres Anzeichen für die kontinuierliche Zunahme von Ransomware-as-a-Service (RaaS) ist.
Ransomware basiert generell auf einer von verschiedenen existierenden Vorgehensweisen:
Crypto-Ransomware infiziert ein Betriebssystem und verhindert das Booten des betroffenen Geräts.
Andere Versionen verschlüsseln Laufwerke oder mehrere Dateien oder Dateinamen.
Einige besonders bösartige Versionen sind mit einem Timer ausgestattet, der nacheinander Dateien löscht, bis das Lösegeld gezahlt wird.
Eine neue Technik, bei der Phishing-E-Mails in einen aktiven E-Mail-Thread eingefügt werden, um so die Wahrscheinlichkeit zu erhöhen, dass der Thread angeklickt wird, ist das Spear Phishing. Wenn das Ziel ein Mitglied der Geschäftsführung ist, spricht man von "Whale Phishing".
Lesetipp: Spear Phishing - So erkennen Sie E-Mail-Betrüger
Allen Strategien ist gemeinsam, dass ein Lösegeld bezahlt werden muss, bevor das gesperrte oder verschlüsselte System die Dateien oder Daten wieder entsperrt beziehungsweise freigibt.
Aktiv werden gegen Ransomware
Hier ist eine Liste mit zehn Ratschlägen, um Unternehmen vor Ransomware zu schützen:
Erstellung eines Backup- und Recovery-Plans, um die Systeme regelmäßig zu sichern und Backups offline auf einem separaten Gerät zu speichern.
Einsatz von professionellen E-Mail- und Websicherheits-Tools, die Anhänge, Websites und Dateien auf Malware untersuchen und potenziell gefährliche Werbung und Social-Media-Seiten ohne Relevanz für das Unternehmen blockieren. Diese Tools sollten Sandbox-Funktionen umfassen, damit neue oder unbekannte Dateien in einer sicheren Umgebung ausgeführt und analysiert werden können.
Betriebssysteme, Geräte und Software müssen immer gepatcht werden und aktuell sein. Bei Remote-Arbeitsplätzen kann es schwierig sein, Nutzer zur Anwendung von Patches zu bewegen. Dies ist jedoch essenziell, um Ransomware zu stoppen.
Antivirusprogramme, IPS und Antimalware-Tools für Geräte und Netzwerk sollten immer mit dem neuesten Update laufen.
Nutzung von Anwendungs-Whitelists, die verhindern, dass unerlaubte Anwendungen heruntergeladen und ausgeführt werden.
Segmentierung, also das Netzwerk Netzwerks in Sicherheitszonen unterteilen, damit ein infizierter Bereich nicht ohne Weiteres auf einen anderen übergreifen kann.
Erstellung und Einhaltung von Zugriffsrechten, damit so wenig Benutzer wie möglich geschäftskritische Anwendungen, Daten und Services infizieren können. Unternehmen sollten umdenken und ein Zero-Trust-Modell einführen - also erst einmal niemandem vertrauen und Zugriffsrechte auf kritische Assets streng reglementieren.
Umsetzung einer ByoD-Sicherheitsrichtlinie, mit der Geräte geprft und blockiert werden, die bestimmten Sicherheitsstandards nicht entsprechen, geprüft und blockiert werden (keinen Client oder keine Antimalware installiert, veralteter Antivirus, Betriebssystem benötigt kritische Patches, etc.).
Einsatz von forensischen Analysetools, um nach einem Angriff zu prüfen, a) wo die Infizierung herkam, b) wie lang die Malware sich in der Umgebung befunden hat, c) ob sie vollständig auf allen Geräten eliminiert wurde, und d) gewährleistet ist dass sie nicht wiederkehren kann.
In Sicherheitsfragen ist auf Mitarbeiter wenig Verlass. Es ist überaus wichtig, das Sicherheitsbewusstsein von Mitarbeitern ständig zu schulen und zu verbessern, damit sie nicht unbedacht Dateien herunterladen, auf E-Mail-Anhänge klicken oder Weblinks in E-Mails folgen. Dennoch ist der "Faktor Mensch" das schwächste Glied in jeder Sicherheitskette. Dabei ist zu beachten, dass es für viele Mitarbeiter zum Arbeitsalltag gehört, Anhänge zu öffnen und im Internet nach relevanten Informationen zu suchen. Außerdem sind Phishing-Angriffe sehr überzeugend geworden. Laut Studien sind Anwender zudem der Ansicht, dass Sicherheit die Aufgabe der anderen ist.
Lesetipp: IT-Security - Diese Mitarbeiter gefährden Ihre Sicherheit
Was, wenn es doch passiert?
Im besten Fall besteht ein aktuelles Backup, so dass das Gerät formatiert und mit einer sauberen Version neu geladen werden kann. Nachfolgend eine Liste, mit den Dingen, die darüber hinaus beachtet werden müssen:
1. Straftat anzeigen
Mit einer Online-Suche findet man schnell die Webseite, auf der Cyberangriffe für das jeweilige Land gemeldet werden können. Für Europa stellt Europol hier eine Seite zur Verfügung.
2. Bezahlen des Lösegelds ist keine Garantie
Die Zahlung des Lösegelds stellt keine Garantie dafür dar, dass die Dateien wirklich freigegeben werden. Sicher ist nur, dass die Straftäter das Geld ihres Opfers und in einigen Fällen darüber hinaus auch noch ihre Kontoinformationen erhalten. Außerdem bedeutet die Entschlüsselung der Dateien nicht automatisch, dass die Malware deinstalliert wurde.
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
3. Experten aufsuchen
Viele Anbieter von Betriebssystemen, Software und Sicherheitslösungen haben Experten unter ihren Mitarbeitern, die Unternehmen beraten können, falls ihr System mit Ransomware infiziert werden sollte. Es gibt außerdem externe Forensikexperten, die dabei helfen können, das System wieder herzustellen.
4. Einen Plan B haben
Was soll man tun, wenn die Computersysteme oder das Netzwerk nicht mehr verfügbar sind?
Gibt es einen Failover-Plan?
Gibt es eine Möglichkeit, den Betrieb - wenn auch nur mit Einschränkungen - aufrechtzuerhalten, während die Systeme repariert werden?
Wie hoch sind die Kosten pro Stunde, in der die Systeme nicht verfügbar sind?
Entspricht das IT-Sicherheitsbudget diesen Kosten?
Unternehmen sollten diese Fragestellungen unbedingt in ihren Sicherheitsrichtlinien berücksichtigen.
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Fazit
Der Markt für Cyberkriminalität generiert Milliardenumsätze. Ebenso wie Unternehmen sind Cyberkriminelle hoch motiviert, immer neue Einkunftsquellen zu finden. Sie setzen auf Täuschung, Erpressung, Angriffe, Bedrohungen und Lockmittel, um Zugriff auf kritische Daten und Ressourcen zu erhalten.
Lesetipp: Cyber Resilience 2020 - Der Sechs-Millionen-Dollar-Fail
Ransomware ist nichts Neues. Neu ist die wachsende Anzahl von Angriffen und die mehr und mehr durchdachten Strategien, die die Entwicklung immer neuer und unerwarteter Möglichkeiten der Ausbeutung von Einzelpersonen und Unternehmen beschleunigen. Es ist heute wichtiger als jemals zuvor, dass Sicherheit ein integraler Bestandteil der Geschäftsprozesse ist. Unternehmen sollten unbedingt mit Sicherheitsexperten zusammenarbeiten, die wissen, dass es zur Abwehr eine durchdachte Sicherheitslösung bedarf. Benötigt wird ein System mit hoch integrierten und automatisierten Technologien, das nur in Kombination mit effektiven Richtlinien und einer Lebenszyklusstrategie in der Form von Vorkehrungen, Schutz, Erkennung, Reaktion und Lernen wirksam ist.
Die Sicherheitslösungen müssen ihre Informationen teilen, um Bedrohungen überall in ihrer verteilten Umgebung zu erkennen und effizient darauf reagieren zu können. Sie müssen diese Lösungen in ihr Netzwerk weben, um zeitgleich zu Weiterentwicklung und Wachstum einen umfassenden Schutz zu gewährleisten und sich dynamisch an neue Bedrohungen anpassen können. (sh/bw)