Abwehr von Ransomware: Abweichungen vom Normalfall erfassen und melden

Mehrheit der Unternehmen sieht verschärfte Bedrohungslage durch Erpresser-Malware

[datensicherheit.de, 03.09.2016] Nach aktuellen Angaben von Varonis hat gerade eine Studie des Ponemon Institute unter 3.000 Mitarbeitern und IT-Verantwortlichen in den USA und Europa ergeben, dass 78 Prozent der Befragten fürchten, Opfer von Ransomware zu werden beziehungsweise die Erpresser-Software für eine der wichtigsten Cyber-Bedrohungen halten. Dabei hegten deutsche Unternehmen mit 83 Prozent im europäischen Vergleich deutlich die meisten Befürchtungen.

Untersuchung über die Betroffenheit von Ransomware

Wer aber tatsächlich und in welchem Ausmaß von Ransomware betroffen sei, habe die Allianz für Cybersicherheit im Rahmen einer öffentlichen Online-Umfrage überprüfen wollen. Diese Befragung habe April 2016 stattgefunden und sei anonym durchgeführt worden. Ausgewertet habe man schließlich 592 bereinigte Datensätze. David Lin von Varonis hat nach eigenen Angaben die Ergebnisse zusammengefasst sowie kommentiert, und er erläutert, wie man eine Ransomware-Infektion erkennt und was man tun kann.

Ein Drittel der deutschen Unternehmen im Fokus

Zwar hätten 68 Prozent der befragten Institutionen angegeben, innerhalb der letzten sechs Monate nicht von Ransomware betroffen gewesen zu sein. Das übrige Drittel der Befragten sei aber nicht nur betroffen gewesen, sondern 29 Prozent seien sogar das Ziel von mehr als einer Ransomware-Familie gewesen. Ebenso habe sich herausgestellt, dass Unternehmen aller Größenordnungen Opfer geworden seien.
54 Prozent der bereits mit Erpresser-Software konfrontierten Unternehmen und Institutionen beschäftigten Mitarbeiter in einer Größenordnung von 1.000 bis 10.000, dicht gefolgt allerdings von der typischen Größe eines mittelständischen Unternehmens mit zwischen 250 und 999 Mitarbeitern. Unternehmen dieser Größe seien immerhin noch zu 44 Prozent von Ransomware-Angriffen betroffen gewesen – innerhalb der letzten sechs Monate.

„Locky“ noch immer Spitzenreiter

Die Ergebnisse der Umfrage decke sich an dieser Stelle mit denen anderer Umfragen und Studien des BSI. Deutlich angeführt werde die Statistik von „Locky“, einer Variante, die Daten auf lokalen Laufwerken und Netzwerkfreigaben verschlüssele und gerade in den USA und Deutschland besonders erfolgreich gewesen sei. 93 Prozent der betroffenen Firmen/Institutionen hätten es mit diesem Erpressungs-Trojaner zu tun bekommen, gefolgt von „TeslaCrypt“ mit 74 Prozent. „TeslaCrypt“ richte sich gegen „Windows“-Versionen inklusive „Windows XP“, „Windows Vista“, „Windows 7“ und „Windows 8“. „TeslaCrypt“ sei erstmals im Februar 2015 veröffentlicht worden.
„CryptoWall“ folge mit 24 Prozent und Sonstige mit 27 Prozent.
Der wichtigste Angriffsvektor, so überhaupt bekannt, seien E-Mail-Anhänge. Diese seien bei der überwiegenden Mehrzahl der Betroffenen verantwortlich dafür, dass die Ransomware es ins System geschafft habe. Mit deutlichem Abstand folgten sogenannte „Driven-by“-Angriffe.

Professionelle Ransomware-Entwickler ausgesprochen findig

Derzeit gelte Ransomware weithin als raffinierte Angriffsmethode, gegen die „kaum ein Kraut gewachsen“ sei. Nicht nur habe sie sich als erfolgreiches Geschäftsmodell für Hacker etabliert und die einzelnen Varianten hätten es bereits zu einer gewissen „Markenbekanntheit“ gebracht. Darüber hinaus seien professionelle Ransomware-Entwickler ausgesprochen findig und statteten bekannte Familien mit immer neuen Features aus.
„Cerber“ verfüge nun beispielsweise über DDoS-Funktionen, und Microsoft habe von einer neuen Ransomware-Variante berichtet, die sich wie ein Computerwurm verbreiten könne. Selbst „Mac“-Anwender seien längste nicht mehr auf der sicheren Seite. Die Zeiten, in denen Cyber-Kriminelle sich ausschließlich auf „Windows“-Betriebssysteme beschränkten, seien seit „KeRanger“ endgültig vorbei.

Auch Netzlaufwerke nicht unbedingt sicher

Das Speichern von Nutzerdaten auf Netzlaufwerken wie Abteilungs-Fileshares oder in Basisverzeichnissen sei seit Jahren ein verbreitetes Paradigma in der IT. Netzlaufwerke ermöglichten es nicht nur Dateien auszutauschen, sondern sie verhinderten auch, dass große Datenmengen auf Endgeräten gespeichert würden. Gehe ein Laptop verloren oder werde ein Rechner beschädigt und es befänden sich keine wichtigen Informationen auf der lokalen Festplatte, würden die Geschäftsprozesse dadurch kaum beeinträchtigt. Die IT stelle neue Hardware bereit, mappe die Netzlaufwerke des Nutzers und es gehe weiter.
Leider seien auf Netzlaufwerken gespeicherte Dateien nicht unbedingt vor Ransomware geschützt, denn das Betriebssystem behandele gemappte Netzlaufwerke wie lokale Ordner. Einige Ransomware-Varianten wie der bereits erwähnte Erpressungstrojaner „Locky“ verschlüsselten sogar Dateien auf nicht gemappten Netzlaufwerken.

IT-Managementfehler erhöhen Gefahrenpotenzial der Ransomware

Im Gegensatz zu anderen Cyber-Bedrohungen bemerkten Nutzer zwar die Attacke, da Ransomware üblicherweise alles Andere als heimlich vorgehe. Im Gegenteil kündige sie sich selbst über ein Popup-Fenster an. Trotzdem stelle sich sofort eine ganze Reihe von Fragen:

• Welche Nutzer sind infiziert?
• Was wurde noch verschlüsselt?
• Wann genau hat der Angriff begonnen?

Dass viele Mitarbeiter nicht nur mit vertraulichen Daten zu tun hätten, sondern in aller Regel auf wesentlich mehr Daten zugreifen könnten, als sie brauchen, mache die Sache nicht besser.

Im wesentlichen gebe es drei Ursachen, die Ransomware so gefährlich machten:

1. Nur wenige Firmen überwachten die Aktivitäten ihrer Mitarbeiter auf Fileshares, also auf den großen Datei-Repositories, auf die es neuere Ransomware-Varianten abgesehen hätten. „Wovon man nichts weiß, das ist kaum in den Griff zu bekommen“, sagt David Lin. Ransomware zu erkennen ohne die Nutzung von Fileshares zu kontrollieren, sei ausgesprochen schwierig.
2. Schlimmer noch wirke sich aus, dass die meisten Nutzer auf weitaus mehr Dateien zugreifen könnten als sie eigentlich bräuchten. Etliche Dateien seien sogar für sämtliche Mitarbeiter freigegeben. Man brauche nicht viel Fantasie, um sich vorzustellen, welche Schäden Ransomware dann anrichten könnte: Gelangten die Zugangsdaten nur eines einzigen Nutzers in falsche Hände, führe das unter Umständen bereits zur Verschlüsselung riesiger Datenmengen.
3. Da die meisten Unternehmen und Institutionen nicht dokumentierten, wer welche Dateien wann ändert (oder verschlüsselt), sei nach einem Ransomware-Angriff ein enormer Aufwand nötig, um sicherzustellen, dass nichts verloren gegangen sei. Häufig müssten ganze Fileshares gelöscht und durch Backups ersetzt werden.

Vier Prozent der Vorfälle existenzgefährdend

Auch sei in der Online-Umfrage der Allianz für Cybersicherheit gefragt worden, welche betrieblichen Auswirkungen die Infektion mit Ransomware gehabt habe.
Zwar hätten nur vier Prozent angegeben, dass ein Worse-Case-Szenario eingetreten sei und der Vorfall die wirtschaftliche Existenz des betroffenen Unternehmens gefährdet habe. Mit verschiedenen Folgen hätten aber praktisch alle Betroffenen zu kämpfen.
Etliche hätten beispielsweise erhebliche Teile der IT-Infrastruktur präventiv abschalten müssen oder die Systeme seien sogar ausgefallen; es sei zu Ausfällen innerhalb der Produktion oder des Dienstleistungsangebotes gekommen, wichtige Daten seien verlorengegangen oder hätten nicht mehr wiederhergestellt werden können und bei immerhin gut einem Drittel der Betroffenen habe der Angriff länger als 48 Stunden gedauert.

Wenige zahlen Lösegeld und auch kaum Strafanzeigen

Verglichen mit neueren Untersuchungen, beispielsweise Erhebungen in Großbritannien, hätten die Befragten allerdings zu mehr als 95 Prozent das geforderte Lösegeld nicht gezahlt.
Die wenigen, die es getan hätten, deren Daten seien tatsächlich entschlüsselt worden. Strafrechtliche Konsequenzen hätten die Hacker bei alledem nur selten zu befürchten, denn nur wenige Betroffene hätten Strafanzeige gestellt. Lediglich 18 Prozent hätten diesen Weg gewählt, 80 Prozent hätten den Vorfall auf sich beruhen lassen.

Drei Tipps von David Lin

Die erfolgreichen Ransomware-Angriffe blieben nicht folgenlos, und die Mehrzahl der Opfer (60 Prozent) gehe davon aus, dass sich die Bedrohungslage durch die Erpresser-Software verschärft habe, und der Umgang mit Malware gehöre für viele schon zum Tagesgeschäft.
Dabei gebe es eine Reihe von Strategien, die helfen könnten, die Auswirkungen von Ransomware in Grenzen zu halten. Unter den Betroffenen der aktuellen Umfrage der Allianz für Cybersicherheit sei eine überwältigende Mehrheit sofort dazu übergegangen, die Mitarbeiter stärker und konsequenter zum Thema Ransomware zu sensibilisieren.
Aber auch technisch sei investiert worden, beispielsweise in Filterlösungen an Netzübergängen – eine Methode, die erwiesenermaßen ihre Grenzen habe, wenn die Bedrohung von Insidern ausgehe oder Insider-Konten von einem Hacker hätten gekapert werden können. Deren Aktivitäten seien dann nicht mehr ganz so leicht aufzudecken, denn sie sähen aus wie die eines legitimen Nutzers.
Über diese Maßnahmen hinaus gebe es drei grundlegende Methoden, die dazu beitrügen die negativen Folgen einer Ransomware-Infektion zu minimieren:

1. Das beste Mittel gegen Ransomware sei es, sämtliche Dateiaktivitäten der Nutzer zu überwachen und zu analysieren. Man könne Ransomware und andere Insider-Bedrohungen beispielsweise daran erkennen, dass erhebliche Änderungen im Dateisystem vorgenommen und große Datenmengen gelöscht würden.
   Abhilfe schaffe es, die Systemprotokolle der Dateien sorgfältig zu überprüfen und eine Überwachungslösung so zu konfigurieren, dass sie auffällige Vorgänge zwingend meldet. So wisse man, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.
2. Lin: „Was hilft gegen Ransomware, vor der nicht einmal Sicherheitstools für Endgeräte schützen?“ Die Analyse des Benutzerverhaltens – dabei werde das normale Verhalten von Benutzern, also ihre üblichen Aktivitäten und Zugriffsmuster, mit den potenziell abweichenden Aktivitäten eines Angreifers verglichen, der die Zugangsdaten eines Mitarbeiters gestohlen hat.
   Um ein Profil mit den typischen Verhaltensweisen jedes Benutzers zu erstellen, werde das als normal definierte Verhalten überwacht und sämtliche Aktionen protokolliert. So ließen sich ungewöhnliche, anomale Verhaltensweisen schneller als solche erkennen.
3. Das Prinzip der minimalen Rechtevergabe sei eine sehr wirksame Methode, Risiken zügig zu reduzieren, indem man unnötige globale Berechtigungsgruppen aus den Zugriffssteuerungslisten entferne. Verwende man Gruppen wie „Jeder/Alle“ oder „Domänenbenutzer“ für Datencontainer (wie Ordner und SharePoint-Sites) würden ganze Hierarchien für sämtliche Nutzer in einem Unternehmen freigegeben. Entferne man solche Gruppen und vergebe nur die notwendigen Zugriffsrechte, mache man es Angreifern deutlich schwerer alle Dateien zu verschlüsseln.