Petya/NotPetya war auch deshalb so erfolgreich, weil sich die Schadsoftware über unterschiedliche Angriffsvektoren lateral durch die Netzwerke gearbeitet und sie so infiziert hat. Aus Sicht der Kriminellen haben diese "hybriden" Malware-Formen den Vorteil, dass zwar möglicherweise einzelne Teile der Schadsoftware an den bekannten Abwehrmechanismen "hängenbleiben", aber sie insgesamt ihr Ziel erreicht.
WannaCry & Co. waren erst der Anfang
Es ist zu befürchten, dass die großen Ransomware-Attacken des Jahres 2017 wie WannaCry und Petya/NotPetya erst der Vorgeschmack auf die nähere Zukunft sind. Einige Angriffe, wie zuletzt Ordinypt, muten äußerst rätselhaft an und wirken insgesamt oftmals eher wie Testballons. Und wenn es sich hierbei um Tests gehandelt hat, muss man konstatieren, dass sie doch erschreckend erfolgreich waren. Sicherlich, den ganz großen Schaden konnten die Malware-Angriffe nicht verursachen und ganze Bereiche des wirtschaftlichen und öffentlichen Lebens lahmlegen. Trotzdem: Wenn eine so plumpe und laute Angriffsart wie Ransomware schon solchen Schaden anrichtet, was können dann höherentwickelte Angriffe erst verursachen?
Cyberabwehr staatlich unterstützen
Vergleicht man die enormen menschlichen und finanziellen Ressourcen, die hinter staatlich inspirierten oder gesteuerten Angriffen stecken, mit den Budgets der einzelnen angegriffenen Unternehmen für ihre IT-Sicherheit, sieht man ein beträchtliches Ungleichgewicht und eine vermeintliche Chancenlosigkeit der Verteidiger.
Führt man dann noch meinen letzten Punkt ins Felde, also dass die Angriffe tendenziell immer besser und ausgeklügelter werden, so kommt man unweigerlich zu der Frage, wie die Cybersecurity zukünftig organisiert werden soll. Und hier spreche ich (ausnahmsweise) nicht von einzelnen Lösungen oder Ansätzen. Es geht vielmehr um die Frage, ob nicht angesichts dieser Bedrohungslage Unternehmen und auch staatliche Stellen eine Art Bündnis (wie immer dies auch aussehen soll) schließen müssen, um den enormen, feindlichen Angriffen etwas entgegenzusetzen. Nur durch die Zusammenarbeit zwischen den Unternehmen, die angegriffen werden oder angegriffen werden könnten, unterstützt durch staatliche Stellen, könnte sich so etwas wie ein neues Gleichgewicht der Kräfte einstellen.
Extortionware läuft Ransomware den Rang ab
Noch führt Extortionware im Vergleich zum "großen Bruder" Ransomware eher ein Schattendasein. Während Ransomware die Daten verschlüsselt und gegebenenfalls eben nicht entschlüsselt, droht Extortionware mit der Veröffentlichung eben jener Daten. Angesichts von Backups mag man die Auswirkungen einer Ransomware-Attacke also (wenn auch mit Aufwand) revidieren können, gegen die Verbreitung eigener Daten (und dies kann von privaten bis sehr privaten Bildern über Finanzpläne bis hin zu geistigem Eigentum gehen) ist man relativ machtlos. Das Bedrohungspotenzial ist also um einiges höher und damit auch die Bereitschaft, das Erpressergeld zu bezahlen. Extortionware ist lukrativ, und Hacker suchen immer die lukrativsten Methoden.
- CryptoLocker
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar. - TeslaCrypt
TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet. - SimpleLocker
SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet. - WannaCry
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden. - Petya
Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.
Geistiges Eigentum und Content als Ziel von Angriffen
Wie die Data Breaches u.a. bei Disney und Netflix gezeigt haben, wird digitaler Content für Hacker immer mehr zum lohnenden und deshalb anvisierten Ziel. Während einige Branchen, die schon fast traditionell im Visier der Angreifer waren, ihre Sicherheitshausaufgaben zumeist erledigt haben (auch hier gibt es Ausnahmen, wie der Equifax-Breach zeigt), mussten Medien-Unternehmen sich der Wertigkeit und damit Schutzwürdigkeit ihrer Inhalte erst schmerzhaft bewusst werden. Andere Branchen werden und müssen hier folgen, denn letztlich sind in fast allen Bereichen die Informationen und Daten der Unternehmen ihr wertvollstes Gut.
Bedeutung der Datensicherheit ändert sich durch die DSGVO
Zum Abschluss noch ein wenig Hoffnungsvolles: Ich bin der festen Überzeugung, dass durch die Einführung der DSGVO das Thema Datensicherheit grundlegend an Bedeutung gewinnen wird, und zwar auf allen Ebenen: Vom Kunden über den IT-Sicherheitsverantwortlichen hinauf bis zum Vorstand oder Geschäftsführer. Allen Beteiligten wird mehr und mehr der Wert der Daten deutlich und sie erkennen, dass diese besonders schützenswert sind. Die Zeiten des wahllosen Datensammelns (Big Data als Stichwort) werden zumindest in Europa zu Ende gehen und durch sinnvolle, einvernehmliche, transparente und verantwortungsvolle Behandlung der Daten ersetzt.