Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Die richtige Strategie gegen Ransomware: Zusammenspiel von Technologie und Mensch

Ransomware – also Schadsoftware, mit der Cyberkriminelle Daten verschlüsseln und Systeme sperren, um Geld zu erpressen – ist weiter auf dem Vormarsch. Hacker zielen dabei auf Unternehmen, die auf ihre Daten nicht verzichten können und hoffen dadurch schnell große Summen zu erbeuten. Wie kann man sich davor schützen? Wie hilft ein umfassendes Security-Management-System auch die Mitarbeiter für Sicherheits-Prozesse zu sensibilisieren?

Ransomware wird meist entweder über Phishing-E-Mails oder Drive-by-Exploits unbemerkt eingeschleust – diese profitieren von Schwachpunkten im Browser und das Opfer fängt sich den Schädling unbemerkt ein. Selbst ein kurzer Besuch einer präparierten Webseite reicht dazu schon aus. Hacker nutzen hierzu Exploit-Kits, die Schwachstellen erkennen, und installieren so die Malware.

Drive-by-Exploits sind für etwa ein Viertel solcher Angriffe verantwortlich. Die Mehrheit erfolgt allerdings über Phishing-Mails. Waren diese früher noch gut an mangelhafter Grammatik und Rechtschreibung zu erkennen, wirken sie inzwischen oft täuschend echt und sind teils sogar auf den Empfänger zugeschnitten. Für diesen wird es somit äußerst schwierig, die schädliche E-Mail als solche zu identifizieren. Ein Klick auf den scheinbar vertrauenswürdigen Link oder Anhang genügt und das eigene System und alle erreichbaren File-Shares sind verschlüsselt. Die Verbrecher versprechen, die Daten freizugeben, wenn ein bestimmter Betrag bezahlt wird – üblicherweise in der Internetwährung Bitcoin.

Ein Beispiel: Im Februar 2016 wurde unter anderem ein Krankenhaus in Neuss Opfer einer Ransomware-Attacke, die durch einen Klick auf einen E-Mail-Anhang ausgelöst wurde. Viele Systeme mussten gänzlich heruntergefahren werden und funktionierten teilweise nur noch stark eingeschränkt – es kam zu Verzögerungen und Verschiebungen von Operationen. Der Schaden konnte nur in Grenzen gehalten werden, weil das Krankenhaus aktuelle Backups hatte. Anderen Opfern bleibt oft nichts anderes übrig als zu bezahlen und zu hoffen, dass die Erpresser die Daten tatsächlich wieder freigeben. Davon ist abzuraten, denn selbst wenn die Daten dann wieder zur Verfügung stehen, zeigt es den Kriminellen, dass ihre Methoden funktionieren.

Doch was benötigen Hacker um einen Ransomware-Angriff zu starten? Eigentlich nur einen Laptop und Internetzugang. Diese Einfachheit sowie die Erfolgsquote machen die digitale Erpressung so beliebt. Darüber hinaus lässt sich meist kaum feststellen wo die Attacke herkommt. Es lassen sich zwar viele Attacken aus Russland feststellen, damit wird jedoch oft eine Erwartungshaltung bedient sowie die eigentliche Quelle verschleiert. Schließlich lassen sich Ransomware-Attacken von überall auf der Welt durchführen.

Komponenten erfolgreicher Ransomware-Abwehr

Unternehmen stehen zahlreiche Maßnahmen zur Verfügung, um zu verhindern, dass sie Opfer eines Kryptotrojaners werden. Dazu sollte der Schutz vor Schadsoftware immer Teil eines ganzheitlichen Sicherheitskonzeptes sein, das neben den technischen auch organisatorische Maßnahmen beinhaltet. Damit das ISMS wirkt, müssen Unternehmen ihre IT-Sicherheit als fortlaufenden Prozess betrachten und kontinuierlich verbessern. Die Verantwortung dafür sollten sie einem Chief Information Security Officer (CISO) übertragen und ihm ermöglichen, die IT-Sicherheit weisungsfrei und intensiv zu überprüfen. Er führt Risikoanalysen durch, ermittelt etwaigen Handlungsbedarf und erstellt Sicherheitsberichte. Außerdem dokumentiert er den Erfolg von Sicherheitsmaßnahmen, berät das Management und schult die Mitarbeiter hinsichtlich der IT-Security. Daneben muss er die vorhandenen Sicherheits-Konzepte und -Prozesse beständig ausbauen, verbessern und dokumentieren. Diese Aufgaben erfordern ein detailliertes Know-how und füllen eine Vollzeitstelle – der IT-Leiter kann sie also nicht zusätzlich zu seinen täglichen Arbeiten erledigen. Er würde zudem einem Interessenkonflikt zwischen Budgetgrenzen und Sicherheit unterliegen.

Zu den technischen Maßnahmen eines ganzheitlichen Sicherheitskonzeptes zählen klassische Antivirenprogramme, die Unternehmen auf allen Endgeräten, Servern und am Perimetereingang installieren sollten. Sinnvoll ist es, Produkte verschiedener Anbieter einzusetzen, das erhöht die Erkennungsquote. Allerdings finden die Virenscanner nur Schadsoftware, deren Erkennungspattern sie haben – neue Varianten entgehen ihnen. Sogenannte Sandboxen spüren auch unbekannte Schädlinge auf. Dazu werden eingehende Dateien in eine virtuelle Umgebung – die Sandbox – umgeleitet und dort ausgeführt. Verhalten sie sich ungewöhnlich, verhindert die Lösung, dass sie ins Unternehmensnetzwerk heruntergeladen werden. Ebenfalls nützlich, um das Eindringen von Schadsoftware zu verhindern, sind Malicious-Code-Extraction-Systeme. Sie filtern aus Dokumenten alle aktiven Code-Elemente heraus, etwa Skripte und Makros. Cyberkriminelle nutzen diese Elemente für ihre Angriffe. Erhält ein Mitarbeiter beispielsweise eine Excel-Datei als E-Mail-Anhang, kann er sie sofort herunterladen – allerdings ohne die aktiven Komponenten. Der Malicious Code Extractor emuliert das Dokument und sucht nach ungewöhnlichen Vorgängen. Treten solche nicht auf, lässt sich die Datei anschließend mit allen ausführbaren Elementen herunterladen.

Ein ganzheitliches Sicherheitskonzept enthält auch zusätzliche Aufgaben für die IT-Abteilung. Es liegt an ihr, die gesamte Software stets auf dem neuesten Stand zu halten. Denn Hersteller schließen Sicherheitslücken in ihren Lösungen meist, sobald sie ihnen bekannt werden und bieten dafür Patches an. Nur wer diese einspielt schließt die Lücken, die Angreifer nutzen könnten. Auch regelmäßige Backups auf separaten Systemen zu erstellen, ist Aufgabe der IT. Zusätzlich muss sie wissen, wie sie diese schnell einspielt, wenn das Unternehmen tatsächlich Opfer eines Kryptotrojaners wird. Dafür sollte sie regelmäßig trainieren.

Wenn ein Nutzer als Administrator im System eingeloggt ist, kann Ransomware den größtmöglichen Schaden anrichten. IT-Mitarbeiter in Unternehmen sollten daher Administratoren-Accounts auch nur für Aufgaben nutzen, für die das unumgänglich ist und das Internet dabei möglichst nicht nutzen.

Schließlich bindet ein ISMS nicht nur technische Schutzsysteme und die IT-Abteilung in die Abwehr von Cybergefahren ein, sondern die gesamte Belegschaft. Denn Mitarbeiter stellen eine der besten Möglichkeiten für Cyberkriminelle dar, ihre Malware einzuschleusen. Deshalb ist ein essenzieller Aspekt des ganzheitlichen Sicherheitskonzeptes, sie zu schulen und ihr Bewusstsein für die Risiken zu schärfen, die etwa von E-Mail-Attachements ausgehen. Sie müssen ein gesundes Misstrauen gegenüber E-Mail-Anhängen entwickeln, besonders wenn sie von einem unbekannten Absender stammen. Zudem sollten alle Mitarbeiter einfache Maßnahmen ergreifen, wie die Anzeige von Dateiendungen in Windows zu aktivieren. Sonst kann sich Ransomware in ausführbaren Programmen mit der Dateiendung „.exe“ als harmloses PDF tarnen, das der Empfänger herunterlädt – und damit auch den Schädling.

Risiken entgehen durch gute Vorbereitung

Hacker entwickeln ständig neue Betrugsmethoden. Um mit ihnen Schritt halten zu können, müssen Chief Information Security Officer (CISO) mithilfe ihrer Teams ein umfängliches Sicherheitskonzept schaffen und permanent erweitern. Zum Schutz vor Malware benötigen Unternehmen Sicherheitstechnologien. IT-Mitarbeiter stehen in der Pflicht, Programme stets auf dem neuesten Stand zu halten und im Notfall mit aktuellen Backups bereit zu stehen. Genauso wichtig ist aber die Sensibilisierung der Mitarbeiter gegenüber Bedrohungen. Diese werden sich zukünftig nicht mehr nur gegen verbreitete Betriebssysteme auf mobilen und stationären Endgeräten richten, sondern zunehmend auch gegen vernetzte Maschinen. Daraus folgt, dass sich auch die IT-Security kontinuierlich weiterentwickeln muss. Denn nur so können Unternehmen sicher stellen, dass sie gegen den nächsten Malware-Angriff gewappnet sind und so etwaigen Schäden in Millionenhöhe entgehen können.

Autor: Ulf-Gerrit Weber, Senior Security Consultant bei Axians IT Security