Ransomware - leider keine Entwarnung für Unternehmen

Dez. 03, 2021

Ransomware-Angriffe auf Unternehmen sind nach wie vor ein hochaktuelles Thema. In den Medien wurde allein in den letzten Monaten über zahlreiche Cyber Attacken auf bekannte Unternehmen und Behörden berichtet.

Die Bedrohung durch Ransomware scheint für Unternehmen und Institutionen noch zuzunehmen. Immer häufiger wird in Medien über neue Angriffe auf populäre Unternehmen oder Behörden berichtet. Es ist schwer auszumachen, ob es nur an tatsächlich ansteigenden Fallzahlen oder auch an vermehrtem Interesse der Öffentlichkeit liegt. Das Bundeskriminalamt (BKA) geht jedenfalls im Cybercrime-Bereich in seinem jährlichen Lagebericht grundsätzlich von einem hohen Dunkelfeld nicht angezeigter Vorfälle aus. Dadurch sind Statistiken in diesem Bereich nur bedingt aussagekräftig. Aufgrund des großen Schadenspotentials ist es für Verantwortliche von KMU empfehlenswert, sich regelmäßig mit der Thematik zu beschäftigen. Obwohl es Kriminellen immer wieder gelingt, selbst mutmaßlich gut geschützte große Konzerne erfolgreich anzugreifen, kann sich dies auszahlen. Der eintretende Schaden lässt sich unter Umständen durch gezielte Vorsorge eindämmen.

Chronologie aktueller Ransomware-Angriffe

15.10.2021: Angriff auf den IT-Dienstleister der Stadt und des Landkreises Schwerin. Die IT-Plattform Golem.de berichtet, dass aufgrund des Vorfalls Bürgerbüros geschlossen und Dienste nur sehr eingeschränkt angeboten werden konnten. Am 19.10. erfolgte die Ergänzung, dass auch die Städte Greifswald und Stralsund von einem Angriff betroffen seien.

25.10.2021: Der Automobilzulieferer Eberspächer wurde nach Berichten u.a. des SWR Opfer eines Angriffs von immensem Ausmaß. Demnach seien die Computersysteme weltweit lahmgelegt worden. Man spekuliert dort, dass Eberspächer einen Schaden von etwa 13 Millionen Euro pro Ausfalltag in der Produktion erleide. Der Internetauftritt des Unternehmens war auch Wochen nach dem Vorfall nur eingeschränkt erreichbar.

03.11.2021: Das Softwareunternehmen Medatixx wurde nach eigenen Angaben Ziel eines Cyber-Angriffs. Dies habe erhebliche Auswirkungen auf den Unternehmensbetrieb. Da zumindest in der Anfangszeit nicht ausgeschlossen werden konnte, dass Daten abgeflossen sind, wurden Kunden vorsorglich gebeten, Passwörter ihrer Systeme zu ändern. Das Unternehmen stellt Software für Arztpraxen her. Nach Angaben der Süddeutschen Zeitung hat Medatixx einen Marktanteil von 28 Prozent, wodurch über 20.000 Arztpraxen in Deutschland betroffen sind.

08.11.2021: Die Elektronikmarktkette Mediamarkt/Saturn erlitt nach übereinstimmender Berichterstattung zahlreicher Medien eine Ransomware-Attacke größeren Ausmaßes. Diese soll unter anderem dazu geführt haben, dass Kassensysteme zeitweise nicht korrekt funktionierten. Nach Angaben der Security-Webseite Bleepingcomputer.com ist dieser Angriff mit einer hohen Lösegeldforderung verbunden. In einer Stellungnahme gegenüber Bleepingcomputer.com bestätigte der Konzern den Vorfall.

10.11.2021: Der Schweizer Kommunalfahrzeughersteller Bucher war nach Meldung der Neuen Zürcher Zeitung (NZZ) von einer Ransomware-Attacke betroffen. Die Systeme seien dort zum Schutz vor Schäden vorsorglich heruntergefahren worden.

11.11.2021: Das Softwareunternehmen Kisters AG berichtet auf der eigenen Webseite, Opfer eines orchestrierten Ransomware-Angriffs geworden zu sein. Dort wird zudem eine Chronologie zur Wiederherstellung der Systeme veröffentlicht. Demnach konnte beispielsweise die Telefonanlage erst dreizehn Tage nach dem Vorfall wieder in Betrieb genommen werden.

Wie funktionieren Ransomware-Angriffe?

Bei bekanntgewordenen Ransomware-Angriffen auf Unternehmen werden Details verständlicherweise häufig geheim gehalten. Dennoch ist die grundsätzliche Vorgehensweise von Cyber-Kriminellen in diesem Bereich gut erforscht und dokumentiert. Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht regelmäßig Informationen zu aktuellen Angriffsmethoden, unter anderem in seinem jährlichen Lagebild der IT-Sicherheit in Deutschland. Man kann Ransomware-Angriffe in mehrere Schritte unterteilen:

  1. Vorbereitung / Aufklärung: Durch Recherche in frei zugänglichen Quellen sammeln die Kriminellen Informationen über das geplante Ziel. Nützliche Informationen sind Namen von Administratoren und Führungskräften sowie aktuelle Projekte. Auch durch Social Engineering werden Informationen gesammelt. Zudem kann ein Scanning von Servern auf aus dem Internet zugängliche und möglicherweise verwundbare Schnittstellen erfolgen.

  2. Einschleusen von Schadsoftware: Ein häufiger Weg ist das Versenden von Office-Dokumenten mit eingebetteten Makroviren als E-Mail-Anhang. Hierbei nutzen die Angreifer Informationen aus dem ersten Schritt, indem sie beispielsweise einen passenden Betreff formulieren. Zusätzlich bauen die Täter häufig mittels Social Engineering Druck auf, indem vermeintlich dringende Gründe für das sofortige Öffnen der Anlage vorgetäuscht werden. Eine weitere gängige Variante ist das Ausspähen von Zugangsdaten zu Firmen-Servern mittels Phishing-Mails oder durch Social Hacking.

  3. Befindet sich die Schadsoftware im Firmennetzwerk, können zwei Schadenszenarien eintreten - oftmals auch parallel. Zunächst lokalisieren die Cyber-Kriminellen vertrauliche Daten und leiten diese aus. Danach werden möglichst umfassend Dateien verschlüsselt. Wenn Backups zugreifbar sind, werden diese zum Teil gezielt zerstört.

  4. Im letzten Schritt treten die Kriminellen per E-Mail an die Verantwortlichen heran. Oftmals hinterlassen sie auch auf den angegriffenen Systemen Erpresserschreiben. Dort wird die Entschlüsselung von Daten gegen ein Lösegeld angeboten. Die ausgeleiteten Daten werden in der Regel genutzt, um der Erpressung Nachdruck zu verleihen. Bei Nichtzahlung drohen die Angreifer mit einer Veröffentlichung.

Wie kann ich mein Unternehmen vor einem Cyberangriff schützen?

Unternehmen, Behörden und sonstige Institutionen sind darauf angewiesen, mit Externen zu kommunizieren und auch Daten auszutauschen. Dies macht sie potenziell angreifbar. Dennoch ist auch ein kleines oder mittelständisches Unternehmen den Cyber-Kriminellen nicht schutzlos ausgeliefert. Mit einigen Maßnahmen kann die Gefahr schon erheblich verringert werden:

- Sensibilisierung: Gegen Social Hacking hilft Aufklärung eigener Mitarbeiter und ein Klima, in dem Rückfragen bei Vorgesetzten und das Vier-Augen-Prinzip bei wichtigen Entscheidungen selbstverständlich sind. Inhalte vermeintlich wichtiger E-Mails sollten grundsätzlich auf einem anderen Kommunikationskanal verifiziert werden. Essenziell ist das Bewusstsein, dass in externen E-Mails jeder Anhang und jeder eingebettete Link eine Gefahr darstellen kann und dass Absenderadressen fälschbar sind.

- Technische Maßnahmen: Das Ausführen von Makros in Office-Dokumenten kann in Gruppenrichtlinien auf Windows-Systemen unterbunden werden. Zudem gibt es Schutzsoftware, die verdächtige Aktivitäten im Netzwerk erkennt. Mit einem Intrusion-Detection-System (IDS) kann etwa das Abfließen größerer Datenmengen detektiert werden. In Windows-Systemen lässt sich zudem bereits seit einigen Jahren der Ordner-Schutz aktivieren. Dieser überwacht festgelegte Ordnerpfade und erlaubt nur explizit freigegebener Software einen Zugriff.

- Netztrennung, Berechtigungskonzept und Schutz personenbezogener Daten: Es ist sinnvoll, Mitarbeitern nur Zugriff auf Daten zu geben, die sie wirklich benötigen. Wichtige Daten sollten möglichst gar nicht frei zugänglich im Netz gespeichert sein. Schadsoftware startet nicht immer mit maximalen Rechten im System. Selbst wenn die Malware versucht, sich höhere Rechte zu verschaffen, können Sie unter Umständen Zeit gewinnen in der Ihre Schutzsoftware den Eindringling erkennt.

- Absichern externer Zugänge: Zugriffe von außen können mit einem Virtual-Private-Network (VPN) abgesichert werden. Generell sollten Sie für das Einloggen in Dienste und Systeme eine Zwei-Faktor-Authentifizierung in Erwägung ziehen.

- Backupstrategie: Wenn Sie in der Lage sind, Ihre Systeme anhand von Backups in kurzer Zeit wieder aufzubauen, verlieren die Angreifer ihr größtes Druckmittel. Wichtig ist es, Backups außerhalb des regulären Netzwerks zu speichern und diese regelmäßig zu erneuern. Mehr zur Backupstrategie finden Sie hier.

- Erstellen eines Notfallplans für den Schadensfall: Eine im Vorfeld festgelegte und mit den Mitarbeitern besprochene Vorgehensweise schützt davor, versehentlich den Schaden zu vergrößern.

- Penetration-Testing und externe Beratung: Ein neutraler Blick von außen sorgt manchmal für wichtige Erkenntnisse. Externe Experten unterliegen nicht dem Risiko, "betriebsblind" zu sein oder aus falscher Rücksicht auf Mitarbeiter Problemfelder nicht anzusprechen.

Übrigens gab es im Zusammenhang mit Ransomware-Angriffen auch schon positive Schlagzeilen: So berichtete beispielsweise das Handelsblatt am 08.11.2021 von einem Ermittlungserfolg internationaler Ermittler. Diese nahmen mehrere Verdächtige fest, die im Verdacht stehen, für Angriffe mit der Malware REvil verantwortlich zu sein.

Blog

vor einem Monat

Wirtschaftliche Betrachtung eines SCR-Systems in einem Erdgaskraftwerk unter Berücksichtigung aktueller Standards, Förderungen und CO2-Zertifikate

Wirtschaftliche Vorteile und Umweltimpact: SCR-Systeme in Erdgaskraftwerken im Einklang mit aktuellen Emissionsstandards und CO2-Zertifikaten

vor einem Monat

Kostenvergleich: CAPEX, OPEX und ROI für neue Umweltstandards im Kohlebergbau in Deutschland vs. anderen Ländern (bei gleichen Standards und Berücksichtigung aktueller Förderungen)

Optimierung des Kohleabbaus für die Zukunft: Kosten, Umweltstandards und staatliche Förderungen im Vergleich zwischen Deutschland und anderen Ländern

vor einem Monat

Wie können Kohlekraftwerke sauberer werden? Technologien, Kosten und Rentabilität einer grüneren Zukunft

Kohlekraft neu gedacht: Saubere Energie durch moderne Technologien und strategische Investitionen