Zurück zur Übersicht

Ooops, your files have been encrypted!

Sie haben klangvolle Namen wie Wannacry, Lockergoga oder Bad Rabbit. Wenn sie sich einmal im Unternehmensnetzwerk ­ein­genistet haben, wird es brenzlig. Ransomware ist für Cyberkriminelle zum ­lukrativen Geschäftsmodell geworden und der Strom an neuen Varianten reisst nicht ab. Im Gegenteil. Wir müssen uns alle auf eine Ausweitung dieser Malware einstellen. Ein Situationsbericht.

Der letzte Halbjahresbericht der Melde- und Analysestelle Informationssicherung Melani der Schweizer Bundesverwaltung liest sich wie ein Krimi. Einen beträchtlichen Teil des Plots nimmt Ransomware als «Schwerpunktthema» ein. Speziell dazu geführt haben Verschlüsselungstrojaner, die in Vielfalt und Schadenspotenzial nicht mehr vergleichbar sind mit früheren Versionen. Ransomware kann heute Unternehmen auf einen Schlag lähmen und sie in ihrer Existenz bedrohen. Beispiele gibt es zur Genüge.

 

Screenshot gesperrter Bildschirm Wannacry Ransomware
Betroffene von Wannacry sind mit diesem Bildschirm-Inhalt konfrontiert worden

Perfides Vorgehen
Die Kriminellen, die Ransomware einsetzen, versuchen sich zu bereichern, indem sie von einem Unternehmen ein Lösegeld in Form von Bitcoins oder ähnlichen Crypto Tokens erpressen. Die Opfer sind potenziell erpressbar, weil sie mit einer Schadsoftware infiltriert worden sind, die Dateien auf dem Computer und auf verbundenen Netzlaufwerken verschlüsselt und damit unbrauchbar macht – oder Files Richtung Erpresser kopiert. Die Angreifer nutzen dazu meist vertrauenserweckende E-Mails mit bösartigem Anhang oder verhängnisvollen Download-Links. Der betroffene Anwender sieht sich danach mit einem Sperrbildschirm und der erwähnten Zahlungsaufforderung konfrontiert. Natürlich gibt es keine Garantie, dass die Files nach Bezahlung wieder entschlüsselt (oder nicht veröffentlicht) werden und keine weiteren Angriffe folgen. Der Schlamassel nimmt seinen Lauf, denn die meisten Unternehmen haben weder eine definierte Prozedur noch die passenden Hilfsmittel, um bei einem Befall zielgerichtet vorzugehen.

Datenblatt «Ransomware service protection» als PDF herunterladen.

Der typische Ablauf nach einem Angriff

1. Erkennung: durch Zufall (Benutzer ruft Helpdesk an)
2. Erste Reaktion: Panik und Zufallsaktionen lostreten
3. Infektionsquelle: schwer lokalisierbar
4. Sicherstellen, dass alle Quellen gereinigt wurden: unsicher
5. Behebung: umständlich und zeitaufwendig
6. Dauer bis zur Stabilisierung des Systems: Tage bis Wochen

Vorkehrungen treffen
Darauf zu hoffen, dass man selbst nicht zum Opfer wird, ist eine schlechte Strategie. Die Kombination folgender Vorkehrungen minimiert das Risiko:

  • Bewusstsein schärfen: Stellen Sie sicher, dass die Anwender in Ihrem Unternehmen über Erpressungstrojaner Bescheid wissen und sich bei verdächtigen E-Mails oder anderen Quellen (z. B. USB Stick) richtig verhalten.
  • Antimalware und Erweiterungen nutzen: Scannen Sie eingehende Daten bereits am Eingangstor auf Schädlinge. Stellen Sie sicher, dass Antivirus-Software auf den Clients konsequent eingesetzt wird. Prüfen Sie mit Ihrem IT-Partner, ob für Ihre Umgebung spezielle Anti-Ransomware-Erweiterungen (vor allem für die File Services) verfügbar sind.
  • Updates fahren: Alle Betriebssysteme und Client-Applikationen sind aktuell zu halten.
  • Regelmässige Backups erstellen: Je mehr Sicherungsko­pien vorhanden sind, desto eher können Sie sich nach einem erfolgreichen Ransomware-Angriff die unversehrten Daten zurückspielen. Offline-Backups oder Medienbrüche bieten zusätzliche Sicherheit.
  • Notfallplan bereithalten: Stellen Sie sicher, dass Ihre IT-Crew oder Ihr IT-Partner eine getestete Schritt-für-Schritt-Anleitung parat haben für den Fall, dass ein Trojaner seine Wirkung entfaltet.

Fazit
Es kann uns alle treffen, und trotz Vorkehrungen gibt es keinen 100-prozentigen Schutz gegen Ransomware. Aber es ist möglich, mit den richtigen Massnahmen die Gefahr deutlich einzudämmen. Ein Ende der Angriffe ist nicht absehbar, zu lukrativ ist das Ransomware-Businessmodell. Aber wer sich entsprechend vorbereitet, hat gute Aussichten, dass die cyberkriminellen Heuschrecken weiterziehen.

Erpressungstrojaner sind für Unternehmen zur Bedrohung, für Cyberkriminelle hingegen zum Milliardengeschäft geworden. Patrick Hertig von ITpoint über den Umgang damit

Machen sich Unternehmen durch die Nutzung von Cloud-Diensten eher angreifbar für Ransomware?
Patrick Hertig: Ich gehe vom Gegenteil aus. Nämlich davon, dass Cloud-Dienstleister wirkungsvollere Sicherheitsvorkehrungen treffen, ihre Kunden aktiver sensibilisieren, ihre Systeme konsequenter patchen und sichern als die meisten IT-Abteilungen es tun. Falls Ihre Frage darauf abzielt, dass Cyberkriminelle bequemer an Lösegeld kommen, weil eine Cloud-Infrastruktur von vielen Unternehmen genutzt wird, gebe ich zu bedenken, dass Verschlüsselungstrojaner üblicherweise über Personen eines Unternehmens eingeschleust werden. Sind die Files eines Unternehmens auf einer Cloud-Infrastruktur befallen, hat das unter Einhaltung entsprechender Sicherheitsmechanismen keine Auswirkungen für die anderen Unternehmen auf derselben physischen Umgebung.

Patrick Hertig

Welche Unternehmen müssen speziell damit rechnen, zum Ziel einer Ransomware-Attacke zu werden?
Erpressungstrojaner scheinen sich über alle Branchen und Unternehmensgrössen hinweg auszubreiten. Die Angreifer haben es ja auch einfacher als je zuvor. Ohne die Schadsoftware selbst zu programmieren, greifen sie bei Bedarf auf vorkonfigurierte Ransomware-Angriffe – Ransomware-as-a-Service – aus dem Darknet zu, um danach den grössten Teil des erpressten Lösegelds für sich einzustreichen. Ransomware ist ein Business geworden und wir müssen leider alle lernen, damit zu leben. Kriminelle sind allerdings für gewöhnlich opportunistisch: Wenn der Aufwand zu gross wird und sich kein kurzfristiger Erfolg einstellt, lohnt sich das Ziel nicht und sie ziehen weiter. Die beliebtesten Ziele – so banal es klingt – sind also schlecht vorbereitete Unternehmen.

Wie schützt sich ITpoint als Cloud-Provider selbst und die Kunden vor Ransomware?
Wir sensibilisieren unsere Mitarbeitenden und Kunden. Unsere Leute wissen, wie sie vorgehen müssen, wenn ein Kunde oder wir selbst betroffen sind. Wir setzen Anti-Malware am Gateway und auf den Clients ein. Alle Systeme sind State-of-the-Art und werden laufend aktualisiert. Um granulare Wiederherstellung zu ermöglichen, sichern wir Files mehrmals am Tag. Als erweiterte Massnahme haben wir vor einigen Monaten einen zusätzlichen Schutz auf Ebene der Storage-Systeme implementiert und daraus gleich einen Service für unsere Kunden definiert. Wir nennen ihn «Ransomware Protection Service». Dank einer speziellen Schnittstelle unserer Netapp-Speichersysteme, auf denen die Files unserer Kunden liegen, konnten wir eine Technologie der Schweizer Software-Schmiede Cleondris andocken, die uns sehr zuversichtlich stimmt.

Wozu diese zusätzliche, storage-basierte Technologie?
Sie erlaubt uns, verdächtige Zugriffe frühzeitig zu entdecken und bösartige Änderungen proaktiv zu blockieren. Das System basiert darauf, einen Benutzer zu stoppen, wenn er anfängt, Daten auf den File Shares zu beschädigen. Genau das passiert nach einer Aktivierung von Ransomware. Zudem unterstützt es uns mit Analyse- und Restore-Funktionalität. Diese Lösung, in Kombination mit klassischer Anti-Malware-Software, reduziert unser Risiko massiv.

Wäre es nicht günstiger, als Betroffener den Erpressern einfach das verlangte Lösegeld zu zahlen?
Empfehlen würden wir das nicht. Es gibt keine Garantie, dass die Daten nach der Zahlung des Lösegelds wieder entschlüsselt werden oder dass keine weiteren Angriffe folgen. Und wer Lösegeld bezahlt, finanziert und ermutigt die Kriminellen, was die Erpressung weiterer Opfer nach sich zieht. Sich gar nicht zu schützen, ist keine Option. Aber ich verstehe natürlich Unternehmen, die nach einem Angriff ein Lösegeld bezahlen, wenn der Wert der verlorenen Daten viel höher ist als die Forderung, oder gar die unternehmerische Existenz in Gefahr ist.

Möchten Sie mehr rund um Cyberkriminalität und Sicherheitslösungen erfahren?

Ich freue mich auf Ihre Kontaktaufnahme und stehe Ihnen sehr gerne für alle Ihre Fragen zur Verfügung.

Patrick Hertig

Patrick Hertig, Chief Information Security Officer