[datensicherheit.de, 20.02.2018] datto hat einen europäischen Ransomware-Report veröffentlicht, der nach eigenen Angaben auf dattos „Channel-Partner-Community“ basiert. Diese besteht demnach aus über 150 „Managed Service Providern“ (MSPs), die mehr als eine Million kleine und mittlere Unternehmen (KMU) in ganz Europa betreuen.

Aktuelle Erkenntnisse

Zwischen 2016 und 2017 habe Ransomware europäische KMU 80 Millionen Euro Lösegeld gekostet: Die Zahlung von Lösegeld gelte immer noch als die beste Option zur Vermeidung von Ausfallzeiten – so hätten 21 Prozent der betroffenen KMU auch gezahlt. Aber davon hätten 18 Prozent immer noch keinen Zugang zu ihren Daten erhalten.
Die typische Lösegeldforderung habe zwischen 395 und 1.588 Euro gelegen.
Elf Prozent der „Managed Service Provider“ hätten berichtet, dass ein Ransomware-Virus nach dem ersten Angriff auf dem KMU-System verblieben sei und zu einem späteren Zeitpunkt erneut zugeschlagen habe.
Trotz steigender Häufigkeit von Ransomware-Angriffen blieben die Berichtszahlen niedrig – weniger als 33 Prozent würden an Behörden weitergegeben. Dies könnte darauf zurückzuführen sein, dass die KMU nicht bereit seien zuzugeben Opfer geworden zu sein.
Als Hauptursachen für Ransomware-Angriffe würden ein Mangel an Cyber-Sicherheitstraining (45 Prozent) und Phishing-Mails (42 Prozent) genannt. 94 Prozent der gemeldeten Angriffe seien trotz vorhandener Antiviren-Software erfolgt.
54 Prozent der „Managed Service Provider“ hätten angegeben, dass KMU-Clients ohne zuverlässige Lösung für Backup- und Disaster-Recovery (BDR) nach einem Angriff nicht hätten vollständig wiederhergestellt werden können. 93 Prozent hätten indes angegeben, dass diejenigen, die über eine solche verfügen, dies gekonnt hätten.

Dreifachschaden durch Ransomware

„Der Einfluss von Ransomware kann dreifach sein. Die kombinierten Kosten für Lösegeld, Ausfallzeiten und erlittene Reputationsschäden können sich potenziell geschäftsgefährdend auf KMUs auswirken, weshalb ein besseres Verständnis dafür erforderlich ist. Dies kann dadurch unterstützt werden, dass die Opfer ermutigt werden, Angriffe zu melden“, erläutert Michael Breeze, „Marketing Director EMEA“ bei datto. Die Bereitstellung von realen Daten helfe Behörden bei der Verbesserung des allgemeinen Bewusstseins, der Prävention, Aufdeckung und Verfolgung von Straftätern.
Es sei auch alarmierend, dass ein Mangel an Cyber-Sicherheitstraining als Grund für die wachsende Effektivität von Ransomware angeführt wird. Viele KMU gingen ein Risiko ein, indem sie nicht einmal eine Basisschulung anböten, aber dies erhöhe die Gefahr, dass Phishing-E-Mails und andere Social-Engineering-Angriffe erfolgreich sind. Breeze: „Unternehmen müssen Mitarbeitern beibringen, Warnsignale zu erkennen.“

Vielschichtige Cyber-Sicherheitsstrategie erforderlich!

Die Verteidigung gegen Ransomware erfordere eine vielschichtige Cyber-Sicherheitsstrategie. „Keine einzelne Verteidigung ist genug – wie die Anzahl der Angriffe trotz vorhandenem Antivirenprogramm beweist“, so Breeze.
Cyber-Sicherheitstraining müsse mit Malware-Blockern und Detektoren kombiniert werden, wobei eine zuverlässige BDR die letzte Verteidigungslinie darstelle. Wenn KMU regelmäßige „Snapshots“ von Netzwerken erstellten, könnten sie einfach Systeme von einem „gesunden Punkt“ aus hochfahren, sollte sich ein Ransomware-Angriff durchsetzen. „Dies mindert entscheidend das Lösegeld und die Ausfallzeiten, die dadurch entstehen, dass auf kritische Daten nicht zugegriffen werden kann“, unterstreicht Breeze.

Weitere Informationen zum Thema:

datto
Datto Lagebericht – Ransomware im Channel – EUROPA

datensicherheit.de, 11.02.2018
WannaMine: Neue Malware raubt Rechenleistung

datensicherheit.de, 20.07.2017
Ransomware: Die Seuche des 21. Jahrhunderts

Michael Breeze rät Unternehmen zu Business-Continuity-Strategie

[datensicherheit.de, 11.02.2018] Sicherheitsexperten von CrowdStrike sollen eine neue Malware dokumentiert haben, die es nicht auf Erpressungsgeld oder Daten, sondern auf Rechenleistung abgesehen hat: „WannaMine“, so der Name des Schädlings, basiert demnach auf Angriffsmethoden, die eigentlich vom US-Geheimdienst NSA entwickelt worden und bereits bei „WannaCry“ zum Einsatz gekommen seien. Doch „WannaMine“ verschlüssele keine Daten, sondern ziehe von infizierten Systemen ohne entsprechende Authentifizierung Rechenleistung ab, um die Kryptowährung „Monero“ zu schürfen.

Lange Zeit unentdeckter Missbrauch von Rechenleistung

Für Michael Breeze, „Marketing Director EMEA“ bei Datto, ist diese neue Malware gefährlicher als es auf den ersten Blick scheint:
„Keine Verschlüsselung von Dateien, die Systeme ad hoc lahmlegt, kein Zugriff auf sensitive Daten – was also soll in hohem Maße bedrohlich sein an ,WannaMine‘? ,Der stete Tropfen höhlt den Stein‘, heißt es in Deutschland treffend. Und genau das ist es, was ,WannaMine‘ gefährlich macht.“
So habe ein Anwender CrowdStrike informiert, dass nach einer Infektion mit „WannaMine“ fast 100 Prozent seiner Umgebung aufgrund der Überlastung der System-CPUs kaum mehr nutzbar gewesen seien. Wenn nun aber Systeme nur noch mit halber Kraft arbeiten, sinke die Produktivität – und das fortgesetzt, denn mangelnde Leistung sei meist kein Grund, sofort aktiv zu werden. So könne es Wochen dauern, bis festgestellt wird, dass externe Gründe für die Performanceverluste verantwortlich sind, welche die Produktivität „auf Raten“ störten.

Foto: FINNPARTNERS

Michael Breeze: Systeme schnell auf infektionslosen Stand zurückzusetzen!

Business-Continuity-Strategie ist existenziell

„Ist der Übeltäter schlussendlich identifiziert, kann es noch einmal spannend werden – zumindest für die Firmen, die es bislang versäumt haben, eine Business-Continuity-Strategie zu verfolgen“, betont Breeze. Denn das Rückspielen eines zwei Tage alten Backups werde zwar Arbeit machen, aber „WannaMine“ gleich mit wiederherstellen – „Sisyphos lässt grüßen“.
Wer den Begriff „Business Continuity“ allerdings ernst genommen und mit seinem „Managed Service“-Provider entsprechende Vorbereitungen getroffen hat, sei auf der sicheren Seite. „Denn wenn dort, wo auch das IT-Know-How liegt, Zugriff auf eine lückenlose Backup-Historie gewährleistet ist, dann ist es kein Problem, die Systeme schnell auf den infektionslosen Stand des Tages X vor ,WannaMine‘ zurückzusetzen, erläutert Breeze.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2017
Petya: Bedeutung größer als nur die von einer Art WannaCry 2.0