Ransomware zielt auf das Herz moderner Wirtschaft: die Daten. Sind diese einmal von fremder Hand verschlüsselt, ist die Bereitschaft, Lösegeld zu zahlen eine große. Um das zu verhindern, plädieren Experten für mehr Eigenverantwortung der Anwender. [...]
Ransomware gehört zu den großen Gefahren der heutigen Zeit. Der Begriff steht derzeit in erster Linie für kryptografische Schadsoftware oder sogenannte Erpressungstrojaner. Die Ransomware erreicht den Computer über eine Sicherheitslücke oder über eine durch den ahnungslosen Benutzer heruntergeladene ausführbare Datei. Der Schadcode verschlüsselt Dateien auf dem Rechner, etwa Dokumente, Bilder oder Zertifikate. Damit die Daten wieder entschlüsselt werden, muss der Betroffene in der Regel Lösegeld innerhalb eines bestimmten Zeitrahmens zahlen – meistens in Form von Bitcoins, da diese strafrechtlich nur schwer nachverfolgbar sind.
Niemand sei vor der Gefahr gefeit, sagte Christine Schönig, Technical Managerin bei Check Point, beim Innovations-Forum 2016. Private User können genauso Opfer werden wie kleine oder große Unternehmen. Auch Gemeinden: Aus Deutschland ist ein Fall bekannt, in der eine Kleinstadt sogar auf Papier zurückgehen musste, um ihre Verwaltungsaufgaben erledigen zu können. Der Grund: Die Daten blieben auch nach den ersten Zahlungen weiter verschlüsselt.
Was die Angriffsvektoren betrifft, so stehen E-Mail-Attachments mit 63 Prozent ganz oben. Es folgen Web drive by (61 Prozent), E-Mail-Links (39 Prozent) und Downloads (10 Prozent). Besonders gefährlich sei Ransomware in Verbindung mit Phishing: »Jede zehnte Phishing-Mail wird geöffnet, obwohl 81 Prozent der User die Risiken kennen«, so Schönig, die eine aktuelle Studie aus dem universitären Bereich zitierte.
Was die aktuellen Erpessertrojaner betrifft, so liegt laut Christian Funk, Head of Global Research and Analysis Team DACH bei Kaspersky, Teslacrypt mit 48,8 Prozent deutlich voran. Danach folgen CTB-Locker (21,6 Prozent), Scatter (8,6 Prozent), Cryakl (7,1 Prozent) und CryptoWall (5,2 Prozent). Zu den Neuzugängen 2016 gehört etwa Petya: Die neue Ransomware verschlüsselt die gesamte Festplatte. Die aktuelle Kampagne zielt auf Unternehmen ab, wie unter anderem. G Data festgestellt hat. In einer E-Mail an die Personalabteilung wird auf eine Datei verwiesen, die bei Dropbox liegt. Empfänger, die dem Link folgen, geraten so in die Falle.
Erpressung mit Kundenservice
Laut Funk, der ebenfalls auf dem Innovations-Forum in Wien referierte, sind Home User weiterhin die bevorzugten Opfer: 2015 waren 93,2 Prozent aus diesem Bereich, 2016 noch immer satte 86,1 Prozent. Bei Angriffen auf Privatnetze wird ein höheres Volumen erzielt und sie sind leichter durchzuführen. Dies liegt vor allem am geringeren Sicherheitsniveau und der fehlenden Schulung der Anwender. Die Angreifer erwirtschaften aber weniger Geld pro Infektion als bei Unternehmen: Ransomware-Kriminelle, die auf den Massenmarkt setzen, können dennoch in der Summe beträchtliche Beträge erwirtschaften.
Um bei Home Usern erfolgreich zu sein, haben sich die Kriminellen in den letzten Jahren deutlich verbessert. Die ersten Erpresserbriefe, die auf dem Bildschirm erschienen, waren noch alle in Englisch verfasst. Die Folge: Viele Anwender kamen der Zahlungsaufforderung nicht nach, weil sie diese nicht verstanden. Heute seien die Schreiben meist lokalisiert und nicht selten mit ansprechenden Service-Tools versehen, um auch die letzten Unklarheiten aus dem Weg zu räumen, so Christian Funk.
Die große Panik
Obwohl der Unternehmensbereich noch wenig betroffen ist, ist die Angst besonders hier eine große. Zu diesem Ergebnis kommt die Studie „Closing Security Gaps to Protect Corporate Data“ des Ponemon-Instituts im Auftrag des Security-Anbieters Varonis, für die über 3.000 Mitarbeiter US-amerikanischer, britischer, deutscher und französischer Unternehmen befragt wurden. 46 Prozent der Umfrageteilnehmer bezeichnen ihre Furcht vor Ransomware als „sehr hoch“, ein knappes Drittel als „überdurchschnittlich hoch“. Nur jeder zehnte Befragte hat wenig bis gar keine Angst vor Ransomware. Interessant ist, dass fast drei Viertel aller befragten Unternehmen noch nie mit dieser Art der Cyber-Erpressung in Berührung gekommen sind.
Die wenigen Unternehmen, die bereits Erfahrungen mit Cyber-Erpressung gemacht haben, entdeckten häufig binnen 24 Stunden (54 Prozent der Befragten) oder zumindest innerhalb einer Woche (32 Prozent), dass sie Ransomware auf den Systemen hatten.
Die Autoren der Studie kommen zu dem Schluss, dass Unternehmen die gegenwärtigen Umwälzungen ihrer Arbeitsabläufe und Geschäftsmodelle noch immer nicht ernst genug nehmen. Vertrauliche Daten, die essenziell für die Wertschöpfung des Unternehmens seien, würden unzureichend geschützt. Sie empfehlen Anwendern, ihre Datensicherheitsstrategie noch einmal grundlegend zu überdenken.
Um sich als Unternehmen vor den Gefahren zu schützen, ist der richtige Mix aus Vorbereitung, Prävention und Reaktion wichtig. Daten müssen so gesichert werden, dass sie nach einem erfolgreichen Angriff leicht wiederherstellbar sind. Die Backups sollten vom Internet getrennt sein. Netzwerkfreigaben sollten so begrenzt werden, dass die kleinstmögliche Anzahl von Benutzern und Systemen Schreibrechte besitzt.
Eine Überwachung für E-Mails und ausführbare Dateien muss ebenfalls eingesetzt werden. Zum Schutz vor den sich schnell verändernden Malware-Varianten gilt es auch unbekannte Bedrohungen zu erkennen. Mittels statischer und dynamischer Analyse in einer virtuellen Sandbox-Umgebung werden bösartige Verhaltensweisen identifiziert. Neueste Erkenntnisse werden über entsprechende Dienste einer Next-Generation-Sicherheitsplattform global geteilt. Hinzu kommt die Endpunktüberwachung, mittels der sich die Ausführung von bösartigen Dateien stoppen lässt, bevor sie beginnt. Christine Schönig von Check Point weist jedoch darauf hin, dass die Bürde nicht alleine auf den Schultern der IT-Abteilung liegen kann – mehr Eigenverantwortung sei gefragt.
Be the first to comment