• Kerstin Mende-Stief

Schutz vor Ransomware – die 10 Gebote der IT-Sicherheit

Eines gleich vorweg: einen 100%igen Schutz gibt es nicht. IT-Landschaften sind komplex. Genauso komplex müssen auch Schutzmaßnahmen sein. An 34% der Angriffe im vergangenen Jahr waren Innentäter – bewußt oder unbewußt – beteiligt (Quelle: 2019 Data Breach Investigations Report von Verizon). Auf der Beliebtheitsskala der Angreifer nach wie vor ganz oben zu finden: Malware. Keine Firewall der Welt hält Menschen davon ab, z. B. Emails zu öffnen und auf Dinge zu klicken. Im Artikel zeichnet unser Autor eine Skizze der aktuellen Bedrohungslage am Beispiel Ransomware und streut hier und da etwas Hintergrundwissen ein. Mit den zehn Geboten der IT-Sicherheit helfen wir Unternehmen, sich besser schützen zu können.


Sie brauchen dringend zu antworten wegen wichtiges Geschäft!

Wer kennt sie nicht: Emails von Freunden mit lustigen Bildern oder die elektronische Rechnung per Email. Doch ist der Absender wirklich ein Freund, nur weil er auch Malwin heißt wie Ihr bester Kumpel oder haben Sie wirklich kürzlich etwas bei Amazone bestellt? Cyber-Angriffe sind nicht immer leicht zu enttarnen. Was im privaten Bereich sehr lästig ist, kann für ein Unternehmen geschäftskritisch sein. Denn hier geht es nicht nur um verlorene Erinnerungen oder den letzten Brief an Mutti.


Wer hat Angst vorm schwarzen Mann?!

Malware hat viele Gesichter. So spielt z. B. Scareware nur mit Ängsten und richtet nicht wirklich Schaden an. Gefährlich ist die so genannte encrypting ransomware – Schadsoftware, die Ihre Daten tatsächlich verschlüsselt. Nicht schlimm werden sie sagen. Ich hab ja Backups. Ja. Haben Sie. Aber! Schauen wir doch einmal genauer hin, was Ransomware überhaupt ist, und wie sie wirkt.


Acquired Immuno-Deficiency Syndrome (AIDS)

AIDS wurde in der Humanmedizin erstmals 1981 diagnostiziert. In der digitalen Welt kennt man es seit den späten Achtzigern. Und damit nicht genug: Der PC-Cyborg – die erste bekannte Ransomware – war auch gleich noch eine frühe Form eines Advanced Persistent Threat (APT).

Aber wir sind noch in den Anfängen des digitalen Zeitalters und auch wenn der PC-Cyborg 90 Boot-Vorgänge brauchte, um sich zu aktivieren: Er nutzte eine so einfache Verschlüsselung, dass jeder halbwegs versierte Computernutzer ohne fremde Hilfe wieder an seine Daten kam. Nach weiteren eher halbherzigen Erpressungsversuchen mit verschlüsselten Daten, hatten eine Zeit lang vor allem Locker Konjunktur. Für erfahrene Anwender stellten sie aber immer noch keine ernste Bedrohung dar. Das änderte sich erst 2013, als CryptoLocker die Bühne betrat.

CryptoLocker nutzte als Erster eine für militärische Zwecke geeignete Verschlüsselung – und speicherte die für die Entschlüsselung notwendigen Schlüssel nicht mehr lokal, sondern erstmals remote auf einem Server im Netz. Das war so effektiv, dass diese Mechanismen bis heute angewendet werden. Prominente Vertreter der Neuzeit sind WannaCry und Petya aus 2017, Ryuk in 2018 oder Sodinokibi in 2019. Letzterer entdeckte zudem das volle Cloud-Potential für seine Zwecke, indem er seine Ziele über Managed Serives Provider (MSPs) suchen (und attackieren!) ließ.

Generell verzeichnete 2019 das Gesundheitswesen mit 72% Anteil an den gemeldeten Attacken den höchsten Zuwachs an Bedrohungen. Die Angriffe waren nahezu ausnahmslos finanziell motiviert (82%). Dagegen ist Espionage mit 2% fast zu vernachlässigen. Der Spitzenreiter mit 47% aller bekannten Vorfälle sind nach wie vor Botnetze. Ransomware folgt auf dem zweiten Rang mit 28% (Quelle: 2019 Data Breach Investigations Report von Verizon).

Der Sicherheits-Tacho der Telekom verzeichnet aktuell mehr als 86 Millionen Angriffsversuche pro Tag – knapp vier Millionen pro Stunde.


Who let the dogs out?!

Waren in den Anfangszeiten noch eher einzelne Nutzer das Ziel, sind heute mehr und mehr Unternehmen betroffen. Geographisch führen Großbritannien, die USA und Kanada die Rangliste an. Besonders gefährdet sind kleine und mittelständische Unternehmen. Von 81% erkannten Angriffen wurden 35% erfolgreich Opfer dieser Angriffe. Zum Vergleich: Nur 1,8% der privaten Nutzer fielen auf die Nepper und Schlepper rein. Allerdings sind auch große Konzerne nicht immun: Bei stolzen 12,3% versagten sämtliche Schutzvorrichtungen und Awareness-Kampagnen (Quelle: malwarebytes.com).

Angriffe auf Unternehmen nahmen im zweiten Halbjahr 2018 um 88% zu. Seit 2019 werden zunehmend Angriffe auf Behörden sowie Bildungseinrichtungen beobachtet. Emotet und TrickBot sind auch hier die ungeschlagenen Stars.


Sign of the times

Sich vor den digitalen Trojanern zu schützen, fällt zunehmend schwerer. Modulare Bibliotheken, polymorpher Code oder sich selbst immer wieder neu startende Registrierungsdatenbanken und Services ergänzen zunehmend intelligentere Botnet-Mechanismen. Schon lange verlassen sich diese nicht mehr nur auf so simple Tricks wie die kurze Lebenszeit von DNS-Einträgen und ständig wechselnde A-Records.

Die Chancen steigen also, zu den glücklichen Gewinnern einer umfassenden und hoch-wirksamen Verschlüsselung seiner Daten zu zählen. So wie die 400 Zahnärzte, die Sodinokibi zum Opfer fielen und nicht mehr an ihre Patientendaten kamen. Die hatten bestimmt auch ein Backup – nur war das leider dann auch digital geschreddert.


I will survive

Wir lernen: Schützen kann man sich nicht wirklich. Ein paar werden es immer bis hinter die erste Verteidigungslinie schaffen, manche davon werden auch die letzte Hürde nehmen. Was können Unternehmen also tun? Ihre Daten regelmäßig sichern, werden viele jetzt antworten. Ja, das hatten wir schon erwähnt. Das kann man machen – aber wenn die Daten erstmal verschlüsselt sind, werden die mit hoher Wahrscheinlichkeit auch genauso verschlüsselt ins Backup geschrieben. Woher soll schließlich der Archivar wissen, dass da jetzt was verkehrt dran ist? Je nach Intelligenz des Backup-Konzeptes sind die Daten komplett verloren, extrem aufwendig zu rekonstruieren oder mit viel Glück immerhin noch auf dem Stand von vor einer Woche. Bei KMU trifft in fast allen Fällen der Komplettverlust zu. Wir müssen also mehrstufig an die Sache rangehen.


Die 10 Gebote der IT-Sicherheit

  1. Wir verlassen uns nicht auf den Schutz am Perimeter – gemeinhin als Firewall bekannt.

  2. Wir verlassen uns nicht auf Signatur-basierten AV- und Spamschutz. Nur was bereits bekannt ist, hat eine Signatur. Wir erkennen das Problem mit Zero-Days?

  3. Wir machen regelmäßig Updates und spielen Patches ein. Regelmäßig bedeutet in diesem Zusammenhang nicht „einmal pro Jahr“, sondern sofort bei Erscheinen relevanter Updates und Patches.

  4. Wir achten auf verdächtiges Verhalten des Computers. Dazu zählt auch, wenn ein Dienst oder eine Anwendung völlig unmotiviert zweimal nach dem Passwort fragt – vor allem, wenn man sicher ist, mama123 richtig geschrieben zu haben.

  5. Wir klicken nicht jedes lustige Katzenfoto an oder folgen jedem Link, der es ins Posteingangskörbchen schafft.

  6. Wir segmentieren unser Netz.

  7. Wir klassifizieren Daten und schränken Zugriffe nach dem Need-to-Know-Prinzip ein.

  8. Wir verlassen uns nicht auf mittelalterliche Technologie wie z. B. einen Paketfilter. Es gibt auch auf Open Source basierende echte NG-Firewalls.

  9. Wir etablieren zusätzliche Schutzmaßnahmen, um das Verschlüsseln von Backup-Daten zu verhindern. Eine solche Lösung gibt es auch von deutschen Anbietern, wie Blocky4Veeam des auf KMU spezialisierten Archivierungs-Spezialisten GRAU DATA aus dem Stuttgarter Raum.

  10. Wir gehen nie, wirklich nie, auf Forderungen von Erpressern ein und behalten unsere Bitcoins und Ethereums für uns. Denn wie heißt schon eine alte Bauernregel? Wer einmal zahlt, dem tritt man immer wieder die Tür ein.


Dieser Artikel erschien im Original am 11.12.2019 auf speicherguide.de

3 Ansichten

© 2020 by MENDE.MEDIA