Ransomware
Das Geschäft der Bäuerin, die am Stadtmarkt ihre Eier und Tomaten verkauft, ist von Ransomware vermutlich nicht bedroht, alle anderen Unternehmen jedoch schon. Und die Bedrohung ist akut. Der Grund dafür ist, dass sich Ransomware auf Dateispeicher konzentriert – und davon haben alle Unternehmen mindestens einen.
Warum ist Ransomware so gefährlich?
Cyberkriminelle nutzen Ransomware, um Zugriff auf Dateien zu bekommen. Gelingt dies, folgen typischerweise drei Schritte:
- Die erbeuteten Dateien werden verschlüsselt.
- Die Cyberkriminellen verlangen ein Lösegeld dafür, dass die Daten wieder zugänglich gemacht werden.
- Die Cyberkriminellen drohen mit der Veröffentlichung der Dateien.
Christian Olbrich, Experte für Verschlüsselung bei Boxcryptor:
Die Bedrohungslage ist ernst, auch weil Reichweite und Angriffsflächen zunehmen. Ein Grund dafür ist – ganz aktuell – der Zuwachs an Homeoffice.
Glücklicherweise gibt es bewährte Strategien zum Schutz gegen Ransomware,
die unabhängig von der speziellen Art der Schadsoftware funktionieren, weil sie bei der IT-Struktur ansetzen. Die Cloud als Speicherort für Unternehmensdaten spielt dabei eine entscheidende Rolle.
Robert Freudenreich, CTO bei Boxcryptor:
Unternehmen sollten nicht warten, bis es zu spät ist. Leider erleben wir es selbst oft, dass Unternehmen erst zu uns kommen, wenn es schon einen Ransomware-Angriff gab.
Wie können Unternehmen sich vor Ransomware schützen?
Ransomware abzuwehren, ist durch die vielfältigen Programme und Angriffsziele kaum möglich. Man kann sich jedoch so vorbereiten, dass die Auswirkungen minimal sind. Die wichtigsten Komponenten dafür
- Cloud-Speicher mit Versionierung ermöglicht die Wiederherstellung der Dateien zum Zeitpunkt vor dem Angriff.
- Eigene Verschlüsselung der Dateien verhindert die Veröffentlichung der Daten durch die Angreifer.
Diese einfachen Schutzmechanismen können vergleichsweise unkompliziert in bestehende IT-Strukturen eingefügt, bzw. jederzeit nachgerüstet werden. Und das ist dringend nötig, denn Ransomware ist ein ernst zu nehmendes Problem für die deutsche Wirtschaft. Laut dem Lagebericht für das Jahr 2021 vom Bundesamt für Sicherheit in der Informationstechnik (BSI), wird die Bedrohungslage als angespannt bis kritisch bewertet. Es entstehen große Schäden durch Betriebsausfälle und Lösegeldforderungen. Dazu kommen die Probleme durch Vertrauensverlust bei den Kunden und Probleme durch die DSGVO. Die Herrschaft über die eigenen Dateien zu verlieren, hat dramatische Auswirkungen. Und sie sind leider sehr häufig. Beinahe täglich sind erfolgreiche Ransomware-Angriffe in den Nachrichten.
Weiterführende Informationen
Ransomware-Schutz
Ein wirksamer Ransomware-Schutz ist die Datenspeicherung in der Cloud. Bedauerlicherweise haben noch immer viele Unternehmen Vorbehalte gegenüber Cloud-Speichern, weil sie einen Kontrollverlust befürchten. Die Gründe sind die Auslagerung des Rechenzentrums an einen Dienstleister, von deren Erfolg man sich abhängig macht und die Datenübertragung in andere Länder.
Tatsächlich lässt sich die Cloud sicher und DSGVO-konform für die Datenspeicherung einsetzen – wenn man sie mit Ende-zu-Ende-Verschlüsselung kombiniert. So kann man zwei Fliegen mit einer Klappe schlagen: Ransomware-Schutz und Datenschutz. Möglich wird das durch die einzigartigen Eigenschaften von Cloud-Speichern, die Dateien nicht einfach nur ablegen, sondern auch Versionierung dokumentieren. Und genau das ist der Clou beim Schutz gegen Ransomware.
In dem Moment, wo die Schadsoftware Dateien verschlüsselt, wird im Cloud-Speicher eine neue Version erstellt – da die Verschlüsselung ja technisch gesehen ein Bearbeitungsvorgang ist. Wenn die Ransomware entdeckt wurde und der Zeitpunkt der Verschlüsselung feststeht, kann die Version von vor dem Moment der böswilligen Verschlüsselung wiederhergestellt werden. Ransomware-Schutz ist also vorrangig der Schutz vor den Auswirkungen von Ransomware.
Cyber-Versicherung
In unserem Experten-Talk erfahren Sie, welche Cyber-Risiken Sie versichern können. Ralph Günther, Gründer & CEO von exali räumt mit dem Vorurteil auf, dass eine Cyber-Versicherung nur für große Unternehmen sinnvoll ist.
Tatsächlich sind große Konzerne oft widerstandsfähiger gegen große Ausfälle als kleine Unternehmen. Die geraten bei einem Cyber-Angriff schnell in Schieflage. Eine Cyber-Versicherung schützt vor dem finanziellen Risiko. Sie deckt in der Regel drei große Bereiche ab: Kosten, die notwendig sind, um das Geschäft am Laufen zu halten, Lösegeld, Kosten für IT-Forensiker.
Leider denken viele Unternehmen, dass sie nicht von Ransomware betroffen sind. Doch die Angriffe nehmen zu und man muss bedauerlicherweise davon ausgehen, dass es nur eine Frage der Zeit ist, bis jemand auf einen schädlichen Link in einer E-Mail klickt oder im Anhang einer gefälschten Bewerbung kein Lebenslauf, sondern ein Schadprogramm geladen werden. Die Cyber-Versicherung lässt alle Beteiligten ruhiger schlafen. Übrigens gehört zu einer guten Cyber-Versicherung auch ein 24h-Notfallnummer – ein weiterer, wichtiger Pluspunkt.
Betriebliches Kontinuitätsmanagement
Neben den organisatorischen und finanziellen Herausforderungen, die ein Ransomware-Angriff mit sich bringt, ist auch der Betriebsausfall eine große Gefahr. Da immer mehr Prozesse digital gesteuert und/oder überwacht werden, wirken sich IT-Probleme unmittelbar auf die Produktion aus. Unternehmen sollten deshalb an einer Strategie für das betriebliche Kontinuitätsmanagement (kurz: BKM) arbeiten.
Eine wichtige Rolle bei BKM spielt das Thema Datensicherung, denn die Daten stellen das Herz der IT-Struktur dar. Sie vor unbefugtem Zugriff und vor Zerstörung zu schützen, muss oberste Priorität haben. Viele Herausforderungen im betrieblichen Kontinuitätsmanagement lassen sich durch eine gut durchdachte Cloud-Strategie bewältigen. Praktisch: Oftmals sind die BKM-Maßnahmen im Bereich der Cloud-Strategie die gleichen wie die Maßnahmen, die dabei helfen, die Auswirkungen von Schadsoftware zu begrenzen.
Abgesehen von der Aufrechterhaltung der IT-Systeme im Schadens- oder Angriffsfall müssen im Rahmen des betrieblichen Kontinuitätsmanagements auch weitere Schwerpunkte bearbeitet werden. So sind Gefährdungsanalysen ein wichtiger Bestandteil. Dazu kommen die Notfallpläne mit Handlungsanweisungen für die Verantwortlichen und eine Priorisierung der Ziele.
Ransomware-Angriff
Das Risiko für einen Ransomware-Angriff steigt permanent an. Die Gründe dafür sind die zunehmende Digitalisierung (Speichermedien enthalten immer mehr Daten, also immer attraktivere Ziele für Cyberkriminelle), politische Verwicklungen (Stichwort Cyberkrieg – auch Unternehmen in nicht beteiligten Ländern können Opfer von politisch motivierten Ransomware-Angriffen sein) und zunehmende Schwachstellen in der IT durch Homeoffice-Arbeitsplätze (besonders relevant bei Unternehmen, die überstürzt ihre Arbeitsplätze verlegen müssen).
Die Maßnahmen, die Sie gegen die Verbreitung von Ransomware in Ihrem Unternehmen und Dateien ergreifen können, sind vergleichsweise einfach, da sie die Gefahren auf struktureller Ebene eingrenzen. So lassen sich Versionierungssysteme, Sicherheitskopien und Zugangsbeschränkungen in den meisten Fällen in die bestehende IT-Struktur einfügen. Ransomware-Angriffe werden dadurch zwar nicht abnehmen, die Auswirkungen lassen sich aber deutlich abmildern.
Besprechen Sie innerhalb Ihres Unternehmens, welche Handgriffe erledigt werden müssen, wenn ein Ransomware-Angriff stattgefunden hat. Expertinnen und Experten können Ihnen dafür maßgeschneiderte Notfallpläne erstellen. Die Investition in eine Schulung wird sich früher oder später lohnen, denn Angriffe, die mithilfe von Schadsoftware durchgeführt werden, wird es sicherlich noch für lange Zeit geben.
Ransomware erkennen
Es gibt einen Trick, der bei jedem Unternehmen früher oder später funktioniert: Schadsoftware wird eingeschleust, weil eine Mitarbeiterin oder ein Mitarbeiter eine Datei fälschlicherweise für vertrauenswürdig hält und öffnet. Ransomware zu erkennen, ist die einzige Methode, die gegen diese Strategie hilft. Doch die Cyberkriminellen werden immer raffinierter und gaukeln die Identität einer Chefin vor („Bitte dringend die Rechnung im Anhang überweisen!“) oder verstecken die Ransomware im Anhang einer gefälschten Bewerbung. Die Methoden sind vielseitig.
E-Mail-Anbieter arbeiten daran, Ransomware automatisiert zu erkennen und blockieren etwa Dateianhänge mit bestimmten Formaten. Das ist sicherlich bereits ein gewisser Schutz für Unternehmen, verlassen sollte man sich jedoch nicht darauf.
Am besten kann man Ransomware erkennen, wenn man eine gewisse grundlegende Skepsis gegenüber Dateien entwickelt, die unaufgefordert zugeschickt werden. Beim kleinsten Zweifel sollte man die Quelle verifizieren und auf einem anderen Weg nachfragen. Wenn also unerwartet eine Mail mit einem Anhang kommt, dann kann man die Absenderin oder den Absender anrufen und um eine kurze Bestätigung bitten. Hat die Person keine Datei verschickt, kann man sich sicher sein, gerade Ransomware erkannt und einen Befall der IT-Systeme abgewehrt zu haben.
Die Ransomware Vipasana
Wir haben uns die seit mindestens Ende 2015 kursierende Ransomware Vipasana genauer angesehen. Der Name Vipasana stammt von einer früheren Version der Ransomware, die als Kontaktmöglichkeit zu den Erpressern die E-Mail-Adresse vipasana4@aol.com angab. Als eine der ersten Ransomware-Versionen, die keine Internetverbindung benötigte, um den Angriff auszuführen, galt die Schadsoftware zu diesem Zeitpunkt als innovativ.
Vipasana macht sich auf Ihrem Gerät bemerkbar, indem sich der Desktophintergrund plötzlich und ohne Eigenwirken verändert. Eine eigenartige und chaotische Collage ist nun Ihr Hintergrundbild mit einer Warnung in einer giftgrünen Schrift sowie einer E-Mail-Adresse in knalligem Rot. Zu diesem Zeitpunkt hat Vipasana bereits alle Ihre Daten verschlüsselt und ein Zugriff ist nicht mehr möglich.
Eine weitere besondere Eigenschaft der Ransomware Vipasana ist der Verschlüsselungsalgorithmus. Anhand einer sogenannten Stromverschlüsselung, werden zunächst ein Strom an Bytes generiert, der dieselbe Länge besitzt, wie der zu verschlüsselnde Klartext. Danach werden die Zeichen des Stroms Zeichen für Zeichen mit dem Klartext kombiniert. Die Schlüssel des Vipasana-Algorithmus sind per RSA verschlüsselt, sodass ein Zugriff der Daten nur durch den Erpresser erfolgen kann.