Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

Kommentar von Jochen Koehler, Regional Director DACH beim Sicherheitsanbieter Bromium

[datensicherheit.de, 09.05.2019] Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor Ransomware-Attacken meinen. Es ist nicht das erste Mal, dass die Behörde mit einer entsprechenden Meldung an die Öffentlichkeit geht, und es wird auch nicht das letzte Mal sein. Längst ist Ransomware ein lukratives Geschäft für Cyber-Kriminelle und es gibt keine Anzeichen dafür, dass dieser Trend abebbt.

Muster einer Ransomware-Attacke ähnlich

Das Muster einer Ransomware-Attacke ist dabei immer ähnlich: Einfach formuliert, befällt ein Virus den Rechner, verschlüsselt die Daten und gibt sie erst frei, nachdem eine entsprechende Lösegeldzahlung – meist in Kryptowährungen wie Bitcoin – auf den Konten der Erpresser eingegangen ist. Immer raffinierter und professioneller werden die Angreifer – und sie haben es so leicht wie nie zuvor. Einerseits lassen sich Schadprogramme nach dem Baukastenprinzip zusammenstellen. Während die Kriminellen also wenig Geld in die Erstellung stecken, können sie sehr viel herausholen. Die Anonymität von Bitcoin ist zudem ideal, um Lösegeldforderungen zu stellen. Andererseits schlampen viele Unternehmen immer noch bei den essentiellsten Maßnahmen wie dem Einspielen neuester Sicherheits- und Betriebssystem-Updates. Mit anderen Worten: Die Diebe müssen sich gar nicht die Mühe machen, über das Kellerfenster einzudringen, die Haustür steht ja sperrangelweit offen.

Bild: Bromium

Jochen Koehler ist Regional Director DACH bei Bromium

Schadsoftware WannaCry nutzte eine Sicherheitslücke im Betriebssystem aus

Das Schadprogramm WannaCry beispielsweise verschlüsselte im Mai 2017 innerhalb weniger Tage in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. WannaCry nutzte eine Sicherheitslücke im Betriebssystem aus, für die Microsoft bereits Wochen zuvor ein Software-Patch bereitgestellt hatte. Kurze Zeit später legte Petya weltweit Computer lahm. Die Schadsoftware verbreitete sich hier nicht über Phishing-Mails, bei denen Mitarbeiter unbedacht auf Anhänge klicken. Vielmehr drang der Virus in Form eines Software-Updates für ein Buchhaltungsprogramm in Unternehmensnetze ein, das alle verwenden mussten, die mit der ukrainischen Regierung zusammenarbeiten. So befanden sich unter den Petya-Betroffenen die deutsche Beiersdorf AG und der internationale Lebensmittelriese Mondelēz.

Die aktuelle Ransomware-Welle, vor der das BSI so eindringlich warnt, nutzt laut Bundesbehörde Angriffsmethoden, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Der erste Schritt sind dabei meist breit angelegte Dynamit-Phishing-Kampagnen, wie die von Emotet, um sich Zugang zum Netzwerk zu verschaffen. Eine Dynamit-Phishing-Mail der neuesten Generation hängt bereits gestohlene Mails an, um so eine schon existierende Kommunikation aufzugreifen. Zudem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Einmal im Netz, breiten sich die Angreifer dann systematisch weiter aus. Dabei versuchen sie etwaige Backups zu manipulieren oder zu löschen und infizieren anschließend selektiv kritische Systeme manuell mit Ransomware. Da es sich um teilweise „existenzbedrohende Datenverluste“ handelt, wie es das BSI nennt, können die Angreifer bei ihren Forderungen ungeniert in die Vollen gehen.

Die Beispiele zeigen: Auch Systeme auf dem neuesten Stand der Technik können von Ransomware befallen werden. Die Frage lautet also, wie können sich Unternehmen schützen? Neben den allgemeinen Ratschlägen, regelmäßig Sicherheitskopien anzulegen, Betriebssystem und installierte Programme auf dem neuesten Stand zu halten, Benutzer- und Netzwerkrichtlinien einzuführen, aktuelle Schutz-Software zu installieren sowie die Mitarbeiter zu schulen, macht es doch viel mehr Sinn, die Angreifer einfach ins Leere laufen zu lassen. Applikations-Isolation mittels Micro-Virtualisierung sollte also die Antwort auf potenzielle Gefahren jeder Art sein. Wenn einzelne Tasks wie eine Browserabfrage oder das Öffnen eines E-Mail-Anhangs in einer eigenen Micro-Virtual Machine (VM) stattfinden, sind sie strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Mögliche Schädigungen bleiben somit immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu oder alt oder aggressiv das Schadprogramm ist. Nach Beendigung einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, wird die VM einfach gelöscht. Das Problem ist damit vom Tisch.

Fazit

Fakt ist, Angriffe via Ransomware wird es auch in Zukunft geben. Warum sollten die Cyber-Kriminelle ihr lukratives Geschäft aufgeben? Selbst wenn nur eines von tausend Unternehmen sich entschließt, das Lösegeld zu zahlen, gewinnen sie. Werden die Attacken allerdings isoliert, sind die Unternehmen und Behörden auf der sicheren Seite.

Weitere Informationen zum Thema:

datensicherheit.de, 30.04.2019
Cyberkriminelle nehmen Kryptowährungsbranche ins Visier

datensicherheit.de, 28.04.2019
Symantec-Studie: Wachsender Druck auf Security-Experten

datensicherheit.de, 26.04.2019
Ransomware: Die nicht endende Gefahr

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 21.08.2018
Secure Platform: Schutz vor Download von Malware