Angriff im Netz: Wie Berater ihre IT-Systeme sichern
Fast täglich liest man neue Meldungen über IT-Sicherheitsvorfälle - vor kurzem sorgte die Attacke auf die Telekom-Router für Schlagzeilen. Nach einem Bericht des Bundeskriminalamts betrug die Schadenssumme von Vorfällen im Bereich Cybercrime 40,5 Millionen € im Jahr 2015. Dabei wurden lediglich die polizeilich registrierten Vorfälle erfasst, die Dunkelziffer wird noch höher geschätzt. Die Motivation hinter solchen Angriffen ist immer öfter Geld. Mit Erpressungs-Malware haben Cyber-Kriminelle einen Weg gefunden, aus ihren Attacken finanziellen Gewinn zu schlagen. Daher nimmt diese Form von Angriffen auf IT-Systeme von Unternehmen und Privatpersonen stetig zu. Die Opfer werden gezielt ausgewählt. Je mehr Geld mit einem Cyberangriff verdient werden kann, umso lukrativer für die ausführende Instanz.
Fünf Hands-on-Tipps für Ihre IT-Sicherheit:
- Vorsichtiger Umgang mit USB-Sticks und externen Speichermedien
- Backup-Konzept etablieren und überprüfen lassen
- Schutz durch Härtungsmaßnahmen und geeignete Security-Lösungen (z.B. Virenschutz)
- Etablierung von Prozessen, die Sicherheitsmaßnahmen verstetigen
- Regelmäßige Awareness-Schulung für Mitarbeiter (um Social Engineering oder Phishing-Mails vorzubeugen sowie, um die Einhaltung der Sicherheitsprozesse zu fördern)
- Regelmäßige Überprüfung ihrer IT-Sicherheit durch Externe (Vulnerability Assessment, Penetration Tests)
Ransomware – gezielte Erpressung im Netz
Bei dieser Art von Schadsoftware werden Daten und Dateien auf dem Rechner verschlüsselt, sodass diese nicht mehr genutzt werden können. Es folgt eine Lösegeldforderung und nach Bezahlung der geforderten Summe erhält man den digitalen Schlüssel zum Entsperren der Daten. So wie sich in der Vergangenheit bei Phishing Mails das Spear-Phishing als zielgerichtete Variante entwickelte, zeigt sich auch im Bereich der Ransomware ein gezielterer Einsatz. Zuerst wurden so viele Opfer wie möglich infiziert und die Lösegeldforderung begrenzte sich auf einen verschmerzbaren Betrag. Nun werden jedoch Fälle von höheren Forderungen gegen gezielte Opfer bekannt. So zahlte ein Krankenhaus in den USA 15.000,00 € für den Schlüssel, mit dem es seine Daten wieder entsperren konnte. Was wären die von Ihnen im Rahmen eines Beratungsmandats verarbeiteten Daten wert?
Auch aus technischer Sicht sind Kryptotrojaner wie Locky, TeslaCrypt oder Petya sehr gefährlich. Die verwendeten Krypto-Algorithmen sind State-of-the-Art und lassen sich oft nicht knacken. Ein weiteres Problem ist, dass zunehmend nicht nur die Daten auf dem infizierten Rechner verschlüsselt werden, sondern alle Daten, die von diesem Rechner aus erreichbar sind, wie etwa Netzlaufwerke oder Cloud-Speicher. Einzelne Versionen von Ransomware sperren gar den gesamten Zugriff auf den Rechner.
Cyber-Kriminelle sind oft mit einfachen Methoden erfolgreich
Am häufigsten wird diese Art von Schadsoftware über Mailanhänge oder infizierte Webseiten verteilt. Bei den Mailanhängen handelt es sich oft um Office-Dokumente mit Makros oder Downloadskripten, die beim Ausführen die Ransomware auf dem Rechner installieren. Eine weitere Möglichkeit sind Links zu infizierten Dateien in Cloud-Speichern wie zum Beispiel DropBox. Den zweiten Mechanismus zur Verbreitung stellen manipulierte Webseiten dar, die über Drive-By-Downloads die Schadsoftware bereits beim Anzeigen der Website im Hintergrund installieren können.
Unternehmer in der Pflicht
Die Hacker machen es sich zunutze, dass viele Unternehmenschefs noch nicht genug dafür tun, die gefährlichen Sicherheitslücken konsequent zu schließen. Grundlegend sollten zum Schutz alle Systeme auf einem aktuellen Update-Stand sein und Antivirensoftware mit neuesten Viren-Definitionen installiert sein. Weiter ist zu empfehlen, für die tägliche Arbeit kein Nutzerkonto mit administrativen Berechtigungen zu verwenden.
Um die initiale Installation von Ransomware zu verhindern, ist ein erhöhtes Bewusstsein der Mitarbeiter für diese Thematik notwendig. Verdächtige Links und Anhänge in Mails dürfen nicht geöffnet werden. Zur Abwehr der infizierten Makros in Mailanhängen kann man standardmäßig die aktiven Inhalte in Office Anwendungen deaktivieren. Weitere Schutzmaßnahmen für Windows sind die Nutzung von Schattenkopien und Wiederherstellungspunkten sowie die Nutzung von Whitelisting-Lösungen.
Gegen Drive-By-Downloads schützen sogenannte NoScript Plug-ins für den Browser, die das Ausführen von Skripten blockieren und dadurch die Installation der Schadsoftware verhindern.
Das wichtigste Konzept zum Schutz sind jedoch Backups. Wichtig dabei ist, dass die Backups nicht lokal auf dem Computer gespeichert oder mit Schreibrechten von diesem PC aus erreichbar sind, da diese sonst auch durch eine Ransomware verschlüsselt werden könnten. Zu empfehlen sind Sicherungen auf externen Datenträgern wie USB-Sticks und externe Festplatten die lediglich zum Zeitpunkt der Sicherung mit dem Rechner verbunden sind.
Was tun, wenn „das Kind in den Brunnen gefallen ist“?
Sollten sie trotz der Absicherungsmaßnahmen von Kryptotrojanern betroffen sein, ist die erste Aktion die Identifikation der Ransomware. Für manche Varianten gibt es Programme, um durch Fehler in der Implementierung die Verschlüsselung rückgängig zu machen.
Das Bundesamt für Sicherheit in der Informationstechnik rät, Anzeige zu erstatten und auf keinen Fall das Lösegeld zu bezahlen, um dieser Art der digitalen Erpressung die Grundlage zu entziehen. Wenn sie nicht unmittelbar auf die Daten angewiesen sind, können Sie darauf warten, ob in Zukunft die Ransomware geknackt werden kann. Selbst wenn sie bezahlen, gibt es keine Garantie dafür, dass sie den Schlüssel erhalten. Schlussendlich müssen aber im Einzelfall die Vor- und Nachteile abgewogen werden.
Autor: Prof. Dr. Gordon Rohrmair, Präsident der Hochschule Augsburg, Fakultät für Informatik, www.hsasec.de