Daten in Geiselhaft Lassen Sie sich von Ransomware nicht erpressen!

Autor / Redakteur: Jonathan Wilkins / Peter Schmitz

Brown-Forman, der US-amerikanische Spirituosenhersteller und Eigentümer bekannter Marken wie z. B. Jack Daniel’s wurde kürzlich Opfer einer Ransomware-Attacke. Damit befindet sich das Unternehmen in guter Gesellschaft – laut dem Official Annual Cybercrime Report aus dem Jahr 2019 wird alle 14 Sekunden ein Unternehmen Opfer eines Ransomware-Angriffs.

Firmen zum Thema

Ransomware entwickelt sich ständig weiter, und das müssen auch Unternehmen tun, um ihre Anlagen und Vermögenswerte zu schützen.
Ransomware entwickelt sich ständig weiter, und das müssen auch Unternehmen tun, um ihre Anlagen und Vermögenswerte zu schützen.
(Bild: gemeinfrei / Pixabay )

Laut Bloomberg stahlen Hacker über ein Terabyte an Daten, als sie in das Netzwerk von Brown-Forman eindrangen, darunter auch über zehn Jahre alte Dateien. Doch der amerikanische Spirituosenhersteller ist nur das jüngste prominente Opfer einer Ransomware-Attacke. Nissan, Renault, C.E. Niehoff und sogar das britische NHS wurden in der Vergangenheit infiltriert, was zu desaströsen finanziellen Konsequenzen führte und die Reputation der Betroffenen in Mitleidenschaft zog.

Bei Ransomware handelt es sich um bösartige Software, die den Benutzern den Zugang zu Computersystemen oder Geräten verwehrt, bis ein Lösegeld (Ransom) gezahlt wird. Derartige Malware findet und verschlüsselt wertvolle Daten und sperrt Benutzer aus ihrem eigenen Betriebssystem aus. Dann wird im Gegenzug für den Entschlüsselungscode die Bezahlung von Lösegeld gefordert, üblicherweise in Form von Bitcoins oder anderen Kryptowährungen.

Im Fall von Herstellern kann es sich bei den in Geiselhaft genommenen Daten um Informationen handeln, die von operativen Technologien stammen, wie zum Beispiel von Pumpen, Kompressoren und Motoren. Oder es kann sich um wertvolle Kundendaten handeln, die bei ihrer Verbreitung zu schwerwiegenden Verletzungen der Datensicherheit führen könnten. Darüber hinaus gibt es keine Garantie dafür, dass Betroffene nach der Zahlung des Lösegelds wieder Zugang zu ihren Geräte und Daten erhalten, weshalb in diesem Kontext Prävention letztendlich immer noch die beste Strategie ist.

Ein kleiner Überblick über die Entwicklung von Ransomware-Angriffen

Die erste Ransomware-Attacke fand im Jahr 1989 statt, doch aufgrund eines schwerwiegenden Konzeptionsfehlers war sie nicht erfolgreich – der Entschlüsselungscode konnte ohne großen Aufwand aus dem Programmcode des angreifenden Trojaners extrahiert werden, und so brauchten die Opfer kein Lösegeld zu zahlen. So primitiv dieser Angriff auch gewesen sein mag, er war der Auftakt und schuf die Voraussetzungen für wesentlich ausgefeiltere Attacken.

Im Jahr 2013 machten die kriminelle Gruppe rund um „CryptoLocker“ überaus profitable Geschäfte mit dieser Ransomware – es wird vermutet, sie von ihren Opfern mehr als 3 Millionen Dollar erpresst hat. Damals wurde mit einer recht simplen Technik vorgegangen. Die Kriminellen nahmen Millionen von Opfern parallel ins Visier, von Studenten, die dafür bezahlen sollten, ihre Abschlussarbeit zurückzuerhalten, bis hin zu großen Unternehmen.

Später erkannten die Kriminellen, dass sie noch mehr Geld machen konnten, wenn sie ganze Netzwerke anvisierten. Statt Tausende einzelne Computer zu attackieren und jeweils nur ein paar hundert Dollar zu erpressen, konnten sie so mit dem Angriff auf ein einziges Unternehmen Zehntausende lukrieren.

Außerdem kam es zu einer bedeutenden strategischen Veränderung. Indem sie die Daten stehlen, bevor sie sie verschlüsseln, können die Kriminellen nun mit der Androhung der Veröffentlichung dieser Daten Druck ausüben. Selbst wenn die Opfer über Sicherungskopien ihrer Daten verfügen, können die Angreifer immer noch bedeutenden Schaden anrichten, indem sie ihre Ransomware-Attacke in eine öffentlich bekannte Verletzung der Datensicherheit verwandeln. Denn man darf nicht vergessen, dass die Zahlung des Lösegeldes keineswegs garantiert, dass die gestohlenen Daten auch tatsächlich gelöscht werden – schlussendlich verhandelt man hier ja mit Kriminellen.

Sicherheitskopien und Aktualisierungen

Aufgrund des hohen Entwicklungsgrades heutiger Ransomware-Angriffe ist es nicht möglich, Unternehmen mit hundertprozentiger Sicherheit zu schützen. Allerdings können Hersteller Maßnahmen ergreifen, um ihre Angriffsfläche zu reduzieren. Eine der wichtigsten Maßnahmen sind regelmäßige Back-ups, also Sicherheitskopien von Daten auf mehreren Plattformen.

Es hat bereits Fälle gegeben, in denen Hacker nicht nur die Originaldaten, sondern auch die Netzwerkspeicher-Laufwerke und Cloud-Speicherorte verschlüsselten, wo sich die entsprechenden Back-up-Dateien befanden. Werksleiter sollten mehrere Back-up-Lösungen nutzen und sicherstellen, dass zumindest eine davon immer offline ist. Außerdem müssen sie bedenken, dass Cloud-Systeme mit Synchronisierungsdiensten wie Dropbox oder Google Drive möglicherweise unmittelbar nach der Verschlüsselung von Daten durch eine Schadsoftware eine Synchronisierung durchführen, was das fragliche Back-up völlig nutzlos macht.

Ebenso wichtig ist es, die Antivirus-Software des Unternehmens auf dem neuesten Stand zu halten. Für zahlreiche Antivirus-Programme werden heute Erweiterungen angeboten, die in der Lage sind, die Verschlüsselung von Dateien zu erkennen, und manche Programme erstellen automatisch Kopien der bedrohten Dateien.

Es mag zwar offensichtlich erscheinen, doch die Auswahl sicherer Passwörter und regelmäßiges Ändern von Passwörtern spielt ebenfalls eine bedeutende Rolle bei der Abwehr und Prävention von Ransomware-Angriffen. Brute-Force-Angriffe sind einer der wichtigsten Vektoren für die Infektion von IT-Systemen und machen 31 Prozent aller Angriffe aus. Bei Brute-Force-Angriffen versuchen Hacker, sich Zugang zu Unternehmensnetzwerken zu verschaffen, indem sie so viele Passwörter wie möglich eingeben, was meist mithilfe von Bots erfolgt. Wenn ein Unternehmen geläufige Passwörter nutzt und diese niemals aktualisiert, stellt sich dabei der Erfolg für die Kriminellen umso einfacher und schneller ein.

Der Faktor Mensch

Bei einem Großteil aller Ransomware-Attacken kommen Brute-Force-Angriffe zum Einsatz, doch eine Infektion kann ebenso gut und leicht von Spam- und Phishing-E-Mails ausgehen. Daher sollten Mitarbeiter darin geschult werden, verdächtige Links in ihrem Posteingang zu erkennen und zu melden. Auch das Scannen von Inhalten (Content Scanning) und E-Mail-Filter können eine zusätzliche Verteidigungsebene darstellen. Solche Instrumente sind dazu da, bösartige Links zu erkennen und gefährliche E-Mails zu kennzeichnen oder zu löschen, bevor Mitarbeiter sie öffnen oder anklicken können.

Unvorsichtige Mitarbeiter mögen zwar die häufigsten Opfer von Cyberattacken sein, doch Manager sind wohl die am besten dafür geeigneten Ziele, da sie üblicherweise Zugang zu sensiblen Daten haben, die sich optimal für Erpressungszwecke eignen. Daher ist es wichtig, dass sich auch Manager der Führungsebene an die gleichen Sicherheitsrichtlinien halten, die auch im Rest des Unternehmens durchgesetzt werden.

Oft gelten für Manager niedrigere Sicherheitsstandards als für alle anderen Mitarbeiter. So genießen sie beispielsweise mehr Freiheiten in Bezug auf die Nutzung ihrer eigenen Geräte und bei Aktivitäten außerhalb der unternehmenseigenen Firewall. Wenn der Finanzvorstand sensible Daten in einer Tabelle auf einem privaten Computer aufbewahrt, statt sie sicher in der Cloud zu speichern, steigt dadurch das Risiko für eine Cyberattacke.

Und schließlich ist es von zentraler Bedeutung, dass Unternehmen einen Plan für die Notfallwiederherstellung erarbeiten, der auch die Reaktion auf eine Ransomware-Attacke beinhaltet. Ein solcher Plan sollte einerseits die technische Strategie des Unternehmens beinhalten, zum Beispiel das Säubern unternehmenseigener Geräte und die Neuinstallation der Daten aus Backups, und andererseits die breiter gefasste Strategie zum Umgang mit rechtlichen Konsequenzen und zur Minimierung der Beschädigung der Unternehmensreputation.

Hersteller sollten beispielsweise mit ihrem Versicherungsanbieter abklären, ob ihre Versicherung die mit einer Ransomware-Attacke verbundenen Kosten abdeckt. Es kann auch sinnvoll sein, eine solide PR-Strategie auszuarbeiten, um den Kunden, Investoren und der Presse im Fall des Falles die Situation erklären zu können.

Mithilfe diesen Präventionsmaßnahmen können Ransomware-Attacken zwar nicht völlig ausgeschlossen werden, doch sie versetzen Unternehmen in die Lage, rasch und effizient zu reagieren, falls sie Opfer eines solchen Angriffs werden sollten.

Über den Autor: Jonathan Wilkins ist Leiter von EU Automation.

(ID:47035219)