- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Ransomware: Kaum ein Kraut dagegen gewachsen


Umfrage Ransomware: Wer ist betroffen und was kann man tun?
Eine Umfrage der Allianz für Cybersicherheit zur Betroffenheit durch Ransomware



Von David Lin, Varonis

Wir haben uns an dieser Stelle bereits mehrfach mit dem Thema Ransomware beschäftigt. Gerade hat eine Studie des Ponemon Institute unter 3.000 Mitarbeitern und IT-Verantwortlichen in den USA und Europa ergeben, dass 78 Prozent der Befragten fürchten, Opfer von Ransomware zu werden beziehungsweise die Erpresser-Software für eine der wichtigsten Cyberbedrohungen halten. Dabei hegen deutsche Unternehmen mit einer Prozentzahl von 83 Prozent deutlich die meisten Befürchtungen. Im europäischen Vergleich liegen die Werte in Frankreich bei 80 Prozent und in UK sogar bei nur 73 Prozent.

Wer aber ist tatsächlich und in welchem Ausmaß von Ransomware betroffen? Das wollte die Allianz für Cybersicherheit im Rahmen einer öffentlichen Online-Umfrage überprüfen. Die Befragung fand im April dieses Jahres statt und wurde anonym durchgeführt. Ausgewertet wurden schließlich 592 bereinigte Datensätze.

Wer ist betroffen?
Zwar gaben 68 Prozent Prozent der befragten Institutionen an, innerhalb der letzten sechs Monate nicht von Ransomware betroffen gewesen zu sein. Das übrige Drittel der Befragten war aber nicht nur betroffen, sondern 29 Prozent waren sogar das Ziel von mehr als einer Ransomware-Familie. Ebenso stellte sich heraus, dass Unternehmen aller Größenordnungen Opfer wurden. 54 Prozent der Unternehmen und Institutionen, die es bereits mit Erpresser-Software zu tun bekommen hatten, beschäftigen Mitarbeiter in einer Größenordnung von 1.000 – 10.000, dicht gefolgt allerdings von der typischen Größe eines mittelständischen Unternehmens mit zwischen 250 und 999 Mitarbeitern. Unternehmen dieser Größe waren immerhin noch zu 44 Prozent von Ransomware-Angriffen betroffen (innerhalb der letzten sechs Monate).

Und wovon?
Die Ergebnisse der Umfrage decken sich an dieser Stelle mit denen anderer Umfragen und Studien des BSI. Deutlich angeführt wird die Statistik wenig überraschend von Locky, einer Variante, die Daten auf lokalen Laufwerken und Netzwerkfreigaben verschlüsselt und gerade in den USA und Deutschland besonders erfolgreich war. 93 Prozent der betroffenen Firmen/Institutionen bekamen es mit diesem Erpressungs-Trojaner zu tun, gefolgt von TeslaCrypt mit 74 Prozent. TeslaCrypt – richtet sich gegen Windows-Versionen inklusive Windows XP, Windows Vista, Windows 7 und Windows 8. TeslaCrypt wurde erstmals im Februar 2015 veröffentlicht sowie CryptoWall mit 24 Prozent und sonstige mit 27 Prozent.

Der wichtigste Angriffsvektor, so er überhaupt bekannt ist sind E-Mail-Anhänge. Sie waren bei der überwiegenden Mehrzahl der Betroffenen verantwortlich dafür, dass die Ransomware es ins System geschafft hat. Mit deutlichem Abstand folgen sogenannte "Driven-by-Angriffe".

Ransomware – Der Status Quo
Derzeit gilt Ransomware weithin als raffinierte Angriffsmethode, gegen die kaum ein Kraut gewachsen ist. Nicht nur hat sie sich als erfolgreiches Geschäftsmodell für Hacker etabliert und die einzelnen Varianten es bereits zu einer gewissen "Markenbekanntheit" gebracht. Darüber hinaus sind professionelle Ransomware-Entwickler ausgesprochen findig und statten bekannte Familien mit immer neuen Features aus. Cerber verfügt nun beispielsweise über DDoS-Funktionen, und Microsoft berichtete von einer neuen Ransomware-Variante, die sich wie ein Computerwurm verbreiten kann. Und selbst Mac-Anwender sind längste nicht mehr auf der sicheren Seite. Die Zeiten, in denen Cyberkriminelle sich ausschließlich auf Windows-Betriebssysteme beschränkten sind seit KeRanger endgültig vorbei.

Das Speichern von Nutzerdaten auf Netzlaufwerken wie Abteilungs-Fileshares oder in Basisverzeichnissen ist seit Jahren ein verbreitetes Paradigma in der IT. Netzlaufwerke ermöglichen es nicht nur Dateien auszutauschen, sondern sie verhindern auch, dass große Datenmengen auf Endgeräten gespeichert werden. Geht ein Laptop verloren oder wird ein Rechner beschädigt und es befinden sich keine wichtigen Informationen auf der lokalen Festplatte, werden die Geschäftsprozesse dadurch kaum beeinträchtigt. Die IT stellt neue Hardware bereit, mappt die Netzlaufwerke des Nutzers und es geht weiter.

Leider sind auf Netzlaufwerken gespeicherte Dateien nicht unbedingt vor Ransomware geschützt, denn das Betriebssystem behandelt gemappte Netzlaufwerke wie lokale Ordner. Einige Ransomware-Varianten wie der bereits erwähnte Erpressungstrojaner Locky verschlüsseln sogar Dateien auf nicht gemappten Netzlaufwerken.

Ransomware – Warum sie so gefährlich ist
Im Gegensatz zu anderen Cyberbedrohungen bemerken Nutzer zwar die Attacke, da Ransomware üblicherweise alles andere als heimlich vorgeht. Im Gegenteil kündigt sie sich selbst über ein Popup-Fenster an. Trotzdem stellt sich sofort eine ganze Reihe von Fragen: Welche Nutzer sind infiziert? Was wurde noch verschlüsselt? Wann genau hat der Angriff begonnen? Dass viele Mitarbeiter nicht nur mit vertraulichen Daten zu tun haben, sondern in aller Regel auf wesentlich mehr Daten zugreifen können, als sie brauchen, macht die Sache nicht besser.

Im Wesentlichen gibt es drei Ursachen, die Ransomware so gefährlich machen:

1. Nur wenige Firmen überwachen die Aktivitäten ihrer Mitarbeiter auf Fileshares,
also auf den großen Datei-Repositories, auf die es neuere Ransomware-Varianten abgesehen haben. Wovon man nichts weiß, das ist kaum in den Griff zu bekommen. Ransomware zu erkennen ohne die Nutzung von Fileshares zu kontrollieren, ist ausgesprochen schwierig.

2. Schlimmer noch wirkt sich aus, dass die meisten Nutzer auf weitaus mehr Dateien zugreifen können als sie eigentlich brauchen. Etliche Dateien sind sogar für sämtliche Mitarbeiter freigegeben. Man braucht nicht viel Fantasie, um sich vorzustellen, welche Schäden Ransomware dann anrichtet: Gelangen die Zugangsdaten nur eines einzigen Nutzers in falsche Hände, führt das unter Umständen bereits zur Verschlüsselung riesiger Datenmengen.

3. Da die meisten Unternehmen und Institutionen nicht dokumentieren, wer welche Dateien wann ändert (oder verschlüsselt), ist nach einem Ransomware-Angriff ein enormer Aufwand nötig, um sicherzustellen, dass nichts verloren gegangen ist. Häufig müssen ganze Fileshares gelöscht und durch Backups ersetzt werden.

Ransomware – Die Auswirkungen
Und auch danach wurde in der Online-Umfrage der Allianz für Cybersicherheit gefragt: Welche betrieblichen Auswirkungen hatte die Infektion mit Ransomware?

Zwar gaben nur 4 Prozent an, dass ein Worse-Case-Szenario eingetreten ist und der Vorfall die wirtschaftliche Existenz des betroffenen Unternehmens gefährdet hat. Mit verschiedenen Folgen hatten aber praktisch alle Betroffenen zu kämpfen. Etliche mussten beispielsweise erhebliche Teile der IT-Infrastruktur präventiv abschalten oder die Systeme sind sogar ausgefallen, es kam zu Ausfällen innerhalb der Produktion oder des Dienstleistungsangebotes, wichtige Daten gingen verloren oder konnten nicht mehr wiederhergestellt werden und bei immerhin gut einem Drittel der Betroffenen dauerte der Angriff länger als 48 Stunden.

Verglichen mit neueren Untersuchungen beispielsweise Erhebungen in UK, haben die Befragten allerdings zu mehr als 95 Prozent das geforderte Lösegeld nicht gezahlt. Die wenigen, die es taten, deren Daten wurden tatsächlich entschlüsselt. Strafrechtliche Konsequenzen hatten die Hacker bei alledem nur selten zu befürchten, denn nur wenige Betroffene haben Strafanzeige gestellt. Lediglich 18 Prozent wählten diesen Weg, 80 Prozent ließen den Vorfall auf sich beruhen.

Ransomware – Die Konsequenzen
Die erfolgreichen Ransomware-Angriffe bleiben nicht folgenlos, und die Mehrzahl der Opfer (60 Prozent) geht davon aus, dass sich die Bedrohungslage durch die Erpresser-Software verschärft hat, und der Umgang mit Malware gehört für viele schon zum Tagesgeschäft.

Dabei gibt es eine Reihe von Strategien, die helfen, die Auswirkungen von Ransomware in Grenzen zu halten. Unter den Betroffenen der aktuellen Umfrage der Allianz für Cybersicherheit ist eine überwältigende Mehrheit sofort dazu übergegangen, die Mitarbeiter stärker und konsequenter zum Thema Ransomware zu sensibilisieren. Aber auch technisch wurde investiert beispielsweise in Filterlösungen an Netzübergängen. Eine Methode, die erwiesenermaßen ihre Grenzen hat, wenn die Bedrohung von Insidern ausgeht oder Insider-Konten von einem Hacker gekapert werden konnten. Deren Aktivitäten sind dann nicht mehr ganz so leicht aufzudecken, denn sie sehen aus wie die eines legitimen Nutzers.

Über diese Maßnahmen hinaus gibt es drei grundlegende Methoden, die dazu beitragen die negativen Folgen einer Ransomware-Infektion zu minimieren:

Das beste Mittel gegen Ransomware ist es, sämtliche Dateiaktivitäten der Nutzer zu überwachen und zu analysieren. Man kann Ransomware und andere Insider-Bedrohungen beispielsweise daran erkennen, dass erhebliche Änderungen im Dateisystem vorgenommen und große Datenmengen gelöscht werden. Abhilfe schafft es, die Systemprotokolle der Dateien sorgfältig zu überprüfen und eine Überwachungslösung so zu konfigurieren, dass sie auffällige Vorgänge zwingend meldet. So weiß man, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.

Was hilft gegen Ransomware, vor der nicht einmal Sicherheits-Tools für Endgeräte schützen? Die Analyse des Benutzerverhaltens. Dabei wird das normale Verhalten von Benutzern, also ihre üblichen Aktivitäten und Zugriffsmuster, mit den potenziell abweichenden Aktivitäten eines Angreifers verglichen, der die Zugangsdaten eines Mitarbeiters gestohlen hat. Um ein Profil mit den typischen Verhaltensweisen jedes Benutzers zu erstellen, wird das als normal definierte Verhalten überwacht und sämtliche Aktionen protokolliert. So lassen sich ungewöhnliche, anomale Verhaltensweisen schneller als solche erkennen.

Das Prinzip der minimalen Rechtevergabe ist eine sehr wirksame Methode, Risiken zügig zu reduzieren, indem man unnötige globale Berechtigungsgruppen aus den Zugriffssteuerungslisten entfernt. Verwendet man Gruppen wie "Jeder/Alle" oder "Domänenbenutzer" für Datencontainer (wie Ordner und SharePoint-Sites) werden ganze Hierarchien für sämtliche Nutzer in einem Unternehmen freigegeben. Entfernt man solche Gruppen und vergibt nur die notwendigen Zugriffsrechte, macht man es Angreifern deutlich schwerer alle Dateien zu verschlüsseln. (Varonis: ra)

eingetragen: 18.09.16
Home & Newsletterlauf: 04.10.16


Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.