Ransomware-Erfolg basiert auf vermeidbaren Fehlern

Meist schlicht die Nachlässigkeit der Anwender

[datensicherheit.de, 20.07.2016] „Locky“, „CryptXXX“, „Jigsaw“ usw. – das Thema Ransomware ist seit Monaten ein Dauerbrenner. Laut BSI war im Mai 2016 ein Drittel aller Unternehmen mit Ransomware infiziert. Auch wenn in 70 Prozent der betroffenen Unternehmen „nur“ Einzelarbeitsplätze betroffen gewesen seien, bei immerhin 22 Prozent der Befragten seien wichtige Teile ihrer IT-Infrastruktur ausgefallen. In elf Prozent der Fälle seien sogar wichtige Unternehmensdaten verloren gegangen. Die Auswirkungen könnten für das jeweilige Unternehmen dramatisch sein. Was Ransomware so erfolgreich macht, sei meist schlicht die Nachlässigkeit der Anwender, kommentiert Dariush Ansari, Geschäftsleiter der Network Box Deutschland GmbH.

Schon seit 2010 Ransomware-Varianten im Umlauf

Das BSI definiere Ransomware als Schadprogramme, „die den Zugriff auf Daten und Systeme einschränken oder verhindern, und eine Freigabe dieser Ressourcen erfolgt nur gegen Zahlung eines Lösegeldes (engl. ransom).“ Das Konzept dieser digitalen Erpressung sei gar nicht so neu – schon seit dem Jahr 2010 seien Ransomware-Varianten im Umlauf, erläutert Ansari.
Ransomware werde in der Regel über verseuchte E-Mail-Anhänge verbreitet. Ansari: „Im Anhang befinden sich beispielsweise gefakte Rechnungen oder Dokumente im Allgemeinen, die mit dem jeweiligen Unternehmen in Verbindung stehen sollen.“ Andere Verbreitungswege seien zum Beispiel sogenannte „Drive-By“-Angriffe, bei denen das Opfer auf eine kompromittierte Webseite gelockt werde. Die frühen und einfachen Ransomware-Varianten seien noch mehrheitlich darauf ausgelegt gewesen, den Zugang zu einem PC mit einem Sperrbildschirm zu verhindern. „Es erschienen Meldungen, dass das System im Zuge einer staatlichen Ermittlung gesperrt worden sei und nur gegen Zahlung eines ,Bußgeldes‘ freigegeben werden könne.“

„Ranscam“: Datenfreigabe nach Lösegeldzahlung nicht vorgesehen!

Neuere Varianten seien dagegen darauf ausgelegt, Dateien zu verschlüsseln, damit der Eigentümer nicht mehr darauf zugreifen könne. Das Passwort zur Entschlüsselung werde den Opfern dann gegen eine Lösegeldzahlung angeboten. Man könne sich jedoch nicht darauf verlassen, dass die Daten wieder freigegeben würden, warnt Ansari und benennt ein aktuelles Beispiel:
Die neue Ransomware-Variante „Ranscam“ sei von Sicherheitsexperten der Firma Cisco untersucht worden. Sie hätten herausgefunden, dass das Programm überhaupt keine Funktion zum Entschlüsseln der Daten besitze. Stattdessen lade „Ranscam“ immer nur das gleiche Bild mit der Nachricht, dass die Zahlung bislang nicht eingegangen sei.

Vorsorge ist besser als Nachsorge!

Bei Angriffen mit Ransomware rächten sich vor allem die Versäumnisse bei der Absicherung von IT-Infrastrukturen. Vermeidbare Fehler seien zum Beispiel schwache Administrator-Passwörter, veraltete Systeme, schlechte Netzwerksegmentierung und natürlich fehlende Backups.
Network Box empfiehlt laut Ansari grundsätzlich: „Vorsorge ist besser als Nachsorge!“ Man solle niemals das Lösegeld zahlen, denn damit belohne man lediglich die Macher solcher Malware. In den meisten Fällen werde eine Ransomware nach einiger Zeit geknackt.
Generell müsse eine Infektion nicht unbeobachtet bleiben. So könne der Download einer Malware durch geeignete Malware-Scans von E-Mail-Anhängen und Web-Traffic schon am Gateway entdeckt werden. Zusätzlich könne ein ausgeklügelter Gateway-Schutz Verbindungen von Malware zu externen Kontrollservern identifizieren und unterbinden. So sei es möglich, „proaktiv Gefahrenquellen ausfindig zu machen und einzuschreiten, bevor größerer Schaden entsteht“.

Ohne regelmäßiges Backup keine Sicherheit!

Ansaris Rat: „Greifen Sie zudem auf regelmäßige Backups zurück. Am besten sollten sogar mehrmals täglich Backups angelegt werden. Zu einer professionellen Schutzstrategie gehört außerdem ein zusätzliches, räumlich getrenntes Backup.“ Damit lasse sich der Systemzustand von vor der Infektion jederzeit wiederherstellen. Das sei übrigens mit einfachen, automatisierten Backup-Lösungen auch für Privatpersonen möglich.
„Nehmen Sie Netzwerksegmentierung ernst,“ appelliert Ansari. Seien die einzelnen Bereiche eines Netzwerkes „sauber und konsequent voneinander getrennt“, könne nur ein Teilsystem infiziert werden. Das begrenze den Schaden und mache die Wiederherstellung noch einfacher.Firewall und Anti-Virensoftware sollten stets aktuell gehalten werden.
Als nicht-technische Vorsichtsmaßnahme nennt Ansari die Sensibilisierung der Mitarbeiter und Kollegen für das Thema Schadsoftware. Das sei wichtig, „gerade weil manche Spam-E-Mail mittlerweile gut gemacht ist und nicht mehr jeder Angriff auf den ersten Blick erkannt werden kann“.

Über externe Unterstützung nachdenken!

Für viele Unternehmensstrukturen lohnt sich laut Ansari auch der Einsatz von „Managed Services“ im IT-Security-Bereich.
Entsprechende Konzepte seien „an 365 Tagen 24/7 verfügbar“ und verantworteten die Sicherheit im Unternehmen zugunsten der Geschäftskontinuität und der Schonung interner Ressourcen. Gleichzeitig werde das IT-Personal entlastet, denn durch die Auslagerung der grundlegenden Sicherheit könnten sich die IT-Kräfte weiterführenden Aufgaben widmen.