Advertorial: Fünf Maßnahmen gegen Ransomware

Ransomware und Erpresserviren sind für Unternehmen ein allgegenwärtiges Problem. Laut BSI hat sich die Zahl der Cyberangriffe versechsfacht und es betrifft auch große und namhafte Firmen. Die richtige Backup-Strategie sorgt für vollen Schutz gegen Verschlüsselungstrojaner. Unitrends nennt fünf Maßnahmen gegen Ransomware.

Eva Heptner, Unitrends

Geschlossene Krankenhäuser in Großbritannien, von der Arbeit abgeschnittene Mitarbeiter im russischen Innenministerium, blockierte Anzeigetafeln im deutschen Bahnverkehr, Ausfälle bei Telefónica in Spanien – all dies sind nur einige der jüngst spektakulären Schäden, die durch Ransomware angerichtet wurden. Mit dieser Form von Cyberangriffen wurden bis heute weltweit zahlreiche Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt. IT-Security-Spezialisten sprechen alleine im Fall von »Wanna Cry« von mehr als 45.000 Angriffen in 74 Ländern. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) stieg die Zahl der Ransomware-Attacken im letzten Jahr um das Sechsfache – die Online-Kriminellen nehmen also die Bundesrepublik besonders ins Visier.

Beispiel Krankenhäuser: Wert der Daten wird unterschätzt

Die Vorfälle demonstrieren, wie sich die Bedrohungslandschaft immer weiter verändert. Vor allem Unternehmen im Gesundheitssektor werden zum Ziel von Cyber-Kriminellen. Während moderne Gesundheitseinrichtungen bei Themen wie Internet-of-Things (IoT) oder Bring-Your-Own-Device (BYOD) zum Vorreiter avancierten, wurde der Wert der hochsensiblen Daten aus Anlagen für Magnetresonanztomographie, Narkose und anderen netzwerkfähigen medizinischen Anlagen oft vergessen oder spielte eine untergeordnete Rolle. Angesichts des hohen Werts der Daten und des vergleichsweise niedrigen Schutzniveaus, sind Einrichtungen im Gesundheitssektor zum beliebten Ziel für Ransomware geworden. Die Situation wird sich aber branchenübergreifend verschärfen, wenn Unternehmen keine geeigneten Maßnahmen für den Schutz ihrer Daten ergreifen.

Geringer Aufwand – hohe Rendite

Für Kriminelle ist Ransomware ein einträgliches Geschäft. Der Aufwand hält sich in Grenzen und es ist einfach, neue Varianten zu erzeugen. Anti-Viren-Lösungen können meist nur reagieren. Es gibt neue, »nicht ausführbare« Versionen von Ransomware, die mit einer Kombination aus verschiedenen Skriptsprachen arbeiten, um die Dateien auf einem Rechner oder Server zu verschlüsseln. Die Verschlüsselung, die Lösegeldforderung und der Aufruf eines Befehls- und Steuerungsservers erfolgen ohne eine ausführbare Datei. Diese Ransomware-Familien werden von herkömmlichen Sicherheitsanbietern nicht erkannt, da sie sich zulässige Prozesse des Systems zu Nutze machen. All ihre Aktionen werde als »legitim« registriert.

Dabei gab es schon 1989 die ersten Versuche, mit verschickten Disketten Computer zu sperren und Lösegeld zu erpressen. Zwar wurde der Urheber gestellt, er lieferte aber dennoch die Vorlage für ein fast perfektes Verbrechen. Denn nie war es für Cyber-Kriminelle einfacher, mit geringen Kenntnissen hohe Renditen zu »erwirtschaften«. Malware-Dienste wie RaaS (Ransomware as a Service) sind nur die Spitze des Eisbergs. Die Software lässt sich über gut gestaltete Phishing-E-Mails und Webseiten schnell, einfach und billig verbreiten. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schad-Software auf den Computer. Der Bitcoin ist dazu die perfekte Währung, um anonym abzukassieren. Fazit: Ransomware wird Unternehmen wie Privatanwender also noch eine Weile beschäftigen.

Die meisten Unternehmen bezahlen das Lösegeld

Eine im Dezember veröffentlichte IBM-Sicherheitsstudie ergab, dass 70 Prozent der Unternehmen, die von Ransomware betroffen waren, ein Lösegeld gezahlt haben, um wieder auf ihre Daten zugreifen zu können. Die Hälfte der erfolgreich erpressten Unternehmen zahlte mehr als 10.000 US-Dollar, 20 Prozent sogar über 40.000 US-Dollar für den Wiedererhalt ihrer Daten. Krankenhäuser, die behördliche Auflagen zum Schutz von Informationen erfüllen müssen oder Unternehmen, deren Datenbanken Kreditkarteninformationen oder Sozialversicherungsinformationen enthalten, sind besonders gefährdet. Sie müssen einfach zahlen, um einen rechtlichen und finanziellen Albtraum zu vermeiden.

Big-Money-Hacks – Das Erfolgsgeschäft Ransomware

• Das Hotel Romantik Seehotel Jägerwirt in den Österreichischen Alpen konnte in den 24 Stunden, die das Reservierungssystem des Hotels außer Betrieb war, keine neuen Schlüsselkarten an Gäste ausgeben, die in diesem Zeitraum eintrafen. Das Hotel war gezwungen, das Lösegeld in Höhe von 1.600 US-Dollar zu zahlen.
• 2016 bezahlte das Hollywood Presbyterian Medical Center 17.000 US-Dollar nach einem Ransomware-Angriff. Die Malware hatte nicht nur Dateien verschlüsselt, sondern den Betrieb für über zehn Tage erheblich beeinträchtigt, sodass die Mitarbeiter wieder mit Papieraufzeichnungen und Faxgeräten arbeiten mussten. Das Krankenhaus hatte zwar Backups, sie konnten die Daten damit jedoch nicht wiederherstellen.
• Der US-Pharmakonzern Merck musste nach der Attacke mit dem Trojaner NotPetya Umsatzeinbußen von fast zwei Prozent hinnehmen. Die Cyber-Attacke zog Produktionsausfälle nach sich, aufgrund derer die Nachfrage nach dem Impfstoff Gardasil nicht mehr gedeckt werden konnte. Zukäufe von einer US-Behörde wurden notwendig.

Für Backup gibt es keine Alternative

Die beschriebenen »Money Hacks« wären für sich bereits spektakuläre Fälle. Sie zeigen aber zusätzlich, dass auch große Konzerne trotz Vorbereitung betroffen sein können. Selbst bei Nichtzahlung der Lösegelder sind stillstehende Produktivsysteme das noch größere finanzielle Risiko. Unternehmen kommen daher um eine funktionierende Disaster-Recovery-Strategie nicht herum. Als zweiter Schutzwall hinter der bestehenden Anti-Malware-Lösung gewährleistet ein funktionierendes Backup im Notfall eine kurze Wiederanlaufzeit der betroffenen Systeme.

Gefahrenherd Windows-Systeme und Cloud-Dienste

Die ständige Weiterentwicklung von Ransomware und ihre einfache Verbreitung bedeuten, dass sich Unternehmen jetzt mit den Gefahren auseinandersetzen müssen. Backups bleiben weiterhin alternativlos, wenngleich nicht alle Sicherungen zuverlässig sind. Anbieter von Windows-basierten Backup-Lösungen sind anfälliger für Ransomware. Da die Malware im Regelfall für Windows konzipiert wird, stellen unter Windows gesicherte Dateien ebenfalls ein strategisches Ziel dar. Auch Unternehmen, die ihre Daten in die Cloud sichern, sind nicht hinreichend geschützt. Cyber-Kriminelle haben mittlerweile Ransomware-Abwandlungen entwickelt, wie beispielsweise eine Variante von Virlock, die sich die Desktop-Synchronisierung beliebter Cloud-Dienste zunutze machen um Dateien zu verschlüsseln. Findet eine automatisierte Synchronisierung statt, sind die Online gesicherten Daten ebenfalls betroffen. Fazit: Eine reine Datensicherung in die Cloud stellt noch kein ausreichendes Backup dar.