Künftig werden sich Cyber-Kriminelle nicht mehr mit dem Verschlüsseln von Servern zufriedengeben. Ein Webcast der Computerwoche informiert über neueste Trends - und über wirksame Gegenmaßnahmen. Die These von Richard Werner, Business Consultant bei Trend Micro, lautet: Cyber-Kriminelle werden künftig ganze Lieferketten lahmlegen oder im großen Stil Kundendaten entwenden. Sven Hansel von der Computerwoche moderiert Webcast.
Er steigt mit einer Zahl des Branchenverbandes Bitkom ein: Jährlich entsteht ein Schaden von rund 103 Milliarden Euro durch Cyberkriminalität. Dabei haben Umfang und Qualität der Angriffe zuletzt dramatisch zugenommen, wie der Verband betont. Werner ergänzt: "Vor allem kleinere und mittelständische Unternehmen werden durch Ransomware angegriffen." Die meisten jedoch bekennen sich öffentlich nicht dazu.
Nach Beobachtung von Werner verursacht seit circa zwei Jahren vor allem die "WannaCry"-Familie Schäden. "Viele Webcast-Zuschauer erinnern sich bestimmt an das Jahr 2016", sagt er. Auch Windows 7 wird von Angreifern als Eintrittspunkt genutzt, weil es weniger Schutz bietet. "Der Hacker versucht immer, den einfachsten Weg zu gehen", erklärt Werner. Das heißt auch: Wenn er nicht genug Clients bekommt, geht er eben auf den Server.
Wenn der Angreifer "leise" bleibt
Hier schaltet sich ein Zuschauer ein: "Infektion zu erkennen ist das eine, aber es gibt ja auch Eindringlinge, die man gar nicht erkennt", so die Wortmeldung. Dazu Werner: "Tatsächlich müssen wir uns darüber unterhalten, wie Angriffe heute funktionieren. Denn das ist nicht mehr wie 2016: man klickt auf den File und der Schaden zeigt sich fast sofort!" Heute verhält sich die Ransomware oft leise.
Damit ist der Experte beim Stichwort Emotet. "Das ist das Werkzeug, mit dem solche Angriffe durchgeführt werden", erklärt er. Emotet bekommt man über Emails. Der Schädling verwendet eine Code-Sprache. Er geht in System hinein und schaut sich erstmal um. Dann entscheidet der Hacker, ob ihn das Unternehmen interessiert oder nicht. Danach wird gegebenenfalls ein Verteilmechanismus gestartet: Als erstes greift Emotet Email-Adressen ab und stellt fest, worüber die Opfer? sprechen. "Er referiert auf eine Kommunikation, die man tatsächlich getätigt hat", fährt Werner fort: "dann wird nach Schwachstellen gesucht und es werden Passwörter ausgespäht." Wem so etwas passiert, der muss den Client vom Netzwerk nehmen und für forensische Untersuchungen aufbewahren, rät der Experte.
Würde es helfen, wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Beschreibung von Sicherheitsmaßnahmen an die IT-Abteilungen schickt? Was denken die Webcast-Zuschauer darüber? Moderator Hansel startet eine Umfrage. Fazit: 26 Prozent: lehnen diese Idee ab - denn dann wissen die Angreifer, was sie erwartet. Ihnen stimmt Werner zu: "Das IT-Sicherheitsgesetz gibt grob gesagt vor, dass die IT-Security nach Stand der Technik funktionieren muss - aber was heißt ;nach Stand der Technik'? Das BSI kann nur Minimum-Standard definieren."
Fakt ist, dass sich die IT-Sicherheitstechnik ständig ändert. Neben Emotet geht es jetzt vermehrt auch um Supply-Chain Angriffe. Bei File-losen Angriffen kommt die Attacke über eine Scriptsprache. Vorinstallierte Programme werden aufgefordert, etwas zu tun, vorhandene Prozesse werden übernommen und Veränderung der Registry durchgeführt, erklärt Werner.
Mit "Best of integrated" gegen neue Angriffsarten
Supply Chain-Angriffe kreisen um das Stichwort Not-Petya. In einem konkreten Fall wurde ein Software Service-Unternehmen angegriffen. Der Schädling manipulierte einen Kommunikationsprozess und startete Angriffe auf die Kunden des initialen Opfers. "Das erstes Ziel waren die Server, dann verteilte er sich von dort aus weiter", berichtet Werner. "Stellen sie sich vor, einer ihrer Server ist soeben zum Hacker geworden!"
Wie geht man mit einer solchen Attacke um, will Moderator Hansel wissen. "Die Art und Weise, wie wir IT betreiben, wird ja nicht einfacher", antwortet Werner. Will sich ein Unternehmen wappnen, muss es sich strategisch mit der Frage auseinandersetzen: Wie kann ich im Notfall schnell reagieren? Werner rät zu einer "Best of integrated"-Strategie. Das heißt, einen Hersteller zu wählen, der möglichst vieles unter einer Oberfläche zusammenbaut und auch Services wie die Wartung der Systeme einbezieht. Bei TrendMicro geht es um Hybrid Cloud Security, Netwark Defense, User Protechtion und Smart Protection Network. Ziel ist, Visibilty und Integration sicherzustellen.