Wenn Unternehmen von Ransomware betroffen sind - IT Security Ratgeber.

Ransomware – So können sich Unternehmen 2022 schützen

/in /von

Verlorene Kundendaten, stillstehende Bänder und Lösegeldzahlungen. Überschriften über solche Themen liest man heutzutage immer häufiger. Unternehmen verlieren wichtige Daten, viel Geld und oft geht es auch bis an die Existenz. Und meist steckt Ransomware dahinter.

In diesem Beitrag möchten wir über Ransomware aufklären und auf die aktuelle Lage am Markt eingehen. Dabei geben wir auch Tipps, wie sich Unternehmen vor Ransomware schützen können und was zu tun ist, wenn sie bereits betroffen sind.

Inhalte
  1. Was macht eine Ransomware?
  2. Warum können sich viele Unternehmen nicht vor Ransomware schützen?
  3. Die Aktuelle Lage am Markt
  4. Unternehmen von Ransomware betroffen – was tun?
  5. Quellen

Was macht eine Ransomware?

Ransomware setzt sich aus den Wörtern ransom (= Lösegeld) und Software zusammen. Quasi eine Lösegeldsoftware mit enormen Folgen.

Ziel dieser Software bzw. Malware ist es, Daten auf dem einzelnen Computer oder im gesamten Netzwerk unzugänglich zu machen. Dafür werden entweder Zugriffe gesperrt oder Daten verschlüsselt. Das wiederum wird als Druckmittel verwendet: Nur gegen eine Lösegeldzahlung werden die Daten wieder freigegeben. Größtenteils erhält das Opfer einen Schlüssel, mit dem eine Entschlüsselung der Daten veranlasst oder Zugänge wieder freigegeben werden.

Ransomware wird umgangssprachlich auch als Verschlüsselungs- oder Erpressungstrojaner bezeichnet. Dabei bezeichnet der Begriff Ransomware nicht einen bestimmten Trojaner, sondern lediglich die Art und Weise, wie der Trojaner funktioniert.

Ransomware im Trend - so kommen Hacker in Systeme.

Wie macht sich Ransomware bemerkbar?

Ransomware macht sich spätestens über die Lösegeldforderung bemerkbar. Doch wenn diese kommt, ist der Zugriff auf die Daten bereits verloren.

Warum ist Ransomware so gefährlich?

Die schnelle Verbreitung über Netzwerke und die Hilflosigkeit nach so einer Infektion machen Verschlüsselungstrojaner sehr gefährlich. Unternehmen können die komplette Kontrolle über die betroffenen Daten verlieren. Teilweise kann es sogar soweit führen, dass der Betrieb nicht mehr aufrecht gehalten werden kann. Schadsoftware wie Ransomware zeigen die Schattenseiten der Digitalisierung auf und wirken sich oft negativ auf die Reputation eines Unternehmens aus. Ein Grund für einen Angriff kann ein fehlendes Sicherheitskonzept sein.

Ransomware gehört unter die Rubrik Internetkriminalität. Daher bietet das BKA auch ein hilfreiches Handout für Unternehmen an.

Warum können sich viele Unternehmen nicht vor Ransomware schützen?

Um diese Frage beantworten zu können, müssen wir genauer auf die Art und Weise wie Ransomware verbreitet wird eingehen. Ransomware wird vorwiegend über ganz einfache Mittel an Anwender verteilt: Unscheinbare Dateien über Social-Media oder E-Mail Anhänge gespickt mit ausführbaren Programmen. Aber auch durch kompromittierte Websites oder manipulierte Programme lässt sich die Schadsoftware verteilen.

Durch die Ausführung des Erstkontaktes wird eine Kettenreaktion angestoßen. Das passiert allerdings nicht immer sofort – oft hat der Programmierer Startbedingungen oder Verzögerungen eingebaut. Nach der Ausführung beginnt der Algorithmus damit, Dateien für den Nutzer unzugänglich zu machen. Zum Beispiel, indem Daten verschlüsselt werden. Hängt der Rechner in einem Netzwerk, sind schnell auch weitere Rechner betroffen. Und das hat schon ganze Unternehmen zum Stillstand gebracht.

IT Security Alert im Unternehmen durch Ransomware.

Die einzige Möglichkeit Unternehmen vor Ransomware zu schützen, ist menschliches Versagen von Anwendern zu unterbinden. Zum Beispiel durch Aufklärung und Kontrolle. Mitarbeiter müssen informiert und geschult werden, dass sie nicht achtlos Dateien öffnen oder sich durch undurchsichtige Websites klicken. Kontrollmaßnahmen werden vorwiegend über Software gelöst. Dabei prüft eine Software Downloads und Dateien im Hintergrund. Zusätzlich können noch bestimmte Funktionen deaktiviert werden.

Viele Unternehmen machen auch regelmäßig Tests, in denen sie eine Rundmail an alle Mitarbeiter schicken und sich ein Bild darüber machen, wie leichtsinnig Mitarbeiter ihre Daten zur Verfügung stellen oder Dateien öffnen. Diese Tests zeigen plakativ, wie einfach es wäre, Ransomware in ein Unternehmen zu bringen – denn ein relativ großer Prozentsatz von Mitarbeitern würde bei diesem Test durchfallen. Besonders dann, wenn mobile Geräte wie Smartphones ins Spiel kommen, werden Mitarbeiter unvorsichtiger.

Zusammengefasst hilft Folgendes gegen die Verbreitung von Ransomware:

  • Schulung und Aufklärung von Mitarbeitern und Anwendern
  • Kontrolle von Dateien und Downloads über Softwarelösungen
  • Deaktivieren von Makros
  • Aktualität von Software und Betriebssystem (insbesondere Antivirenprogramme und Browser)
  • Deinstallation des Flashplayers
  • Unterbindung von JavaScript
  • Werbeblocker
  • Sparsame und sorgsame Verwendung administrativer Zugänge im System
  • Überprüfung von Dienstleistern, Geschäftspartnern und Verbindungen
  • Aktuelle Bedrohungen im Blick haben
  • Regelmäßige Tests, um Schwachstellen zu identifizieren

Unabhängig von all diesen Punkten sind regelmäßige Backups die wichtigste Schutzmaßnahme gegen Ransomware. Wichtig ist vor allem, dass Backups auf externen Datenträgern gesichert werden.

BLUE

Expertentipp

Ransomware wird bleiben und die Frage ist leider nicht ob, sondern wann ein Unternehmen getroffen wird. Daher raten wir jedem Unternehmen zu einer individuellen IT-Security-, inklusive Backup-Strategie, mit regelmäßigen Testläufen. Die Übung des Katastrophen-Falls deckt Schwachstellen auf und verkürzt im Notfall Reaktionszeiten, die für Unternehmen existenziell wichtig sein können.

Die Aktuelle Lage am Markt

Springen wir noch einmal zurück zu den aktuellen Schlagzeilen über die Malware. Anfangs waren nur einzelne Computer von Ransomware betroffen, inzwischen sind es hauptsächlich Netzwerkstrukturen. In diesen Tagen sind viele Unternehmen und Institutionen zur Zielscheibe von solchen Bedrohungen geworden. Die Angreifer verbreiten Ransomware viel zielgerichteter, mit dem Hintergrund, ganze Unternehmen ins Visier zu nehmen. Das treibt nicht nur die Lösegeldsumme in die Höhe, sondern richtet auch sehr großen Schaden an.

Der aktuelle Trend zeigt, dass Angreifer immer systematischer vorgehen. Wo früher noch wahllos E-Mails mit infizierten Anhängen verschickt wurden, werden heute falsche Identitäten geschaffen und Unternehmen systematisch ausgespäht. Ransomware existiert seit knapp 20 Jahren und in der Zeit haben Unternehmen auch an ihren Sicherheitskonzepten gearbeitet. Je größer die Hürden für Angreifer werden, desto gewiefter werden die Techniken, die Schadsoftware im Unternehmen zu platzieren und Daten zu verschlüsseln.

Jedes Unternehmen sollte einen Notfallplan für den Fall eines Ransomware-Angriffes haben. Dieser beinhaltet eine Backupstrategie inkl. Wiederherstellungsmaßnahmen, die Sicherstellung der Kommunikationsfähigkeit und auch die Zahlungsfähigkeit.

René Angenheister, CTO der BLUE Consult

Der große Landtechnikkonzern AGCO, zu welchem auch der Traktorenhersteller Fendt gehört, wurde 2022 Opfer von Ransomware. [1] Der Konzern hatte über eine Woche mit einem Produktionsstillstand zu kämpfen. Auch die Kommunikationsstrukturen innerhalb des Unternehmens waren lahmgelegt. Den Türöffner für die Schadsoftware zu finden, ist aber fast unmöglich.

Beim Energieversorger Entega [2] wirkte sich das Resultat des Angriffes anders aus. Die Kundendaten (teilweise inkl. IBAN) wurden im Darknet veröffentlicht. Dadurch entstand ein großer Schaden für die Reputation des Unternehmens.

Neben Unternehmen werden auch immer wieder Institutionen und Bildungseinrichtungen angegriffen. Die Universität Maastricht ist nach einem Angriff sogar auf die Zahlungsaufforderung eingegangen. Das war bereits im Jahr 2019. In diesem Fall konnte die Polizei sogar Erfolge erzielen und ein Teil der Lösegeldsumme konnte zurückgeführt werden. [3] Paradoxerweise erzielte die Universität dank Kursschwankungen Gewinn durch die Lösegeldrückzahlung. Solche positiven Meldungen sind allerdings Einzelfälle.

Unternehmen von Ransomware betroffen – was tun?

Im Idealfall würde der Workflow nach einer Malware Attacke folgendermaßen aussehen:

Idealer Ablauf nach einer Attacke von Ransomware.

Doch seien wir mal ehrlich: Diese Bilderbuchdarstellung ist fast jedem Unternehmen eine Utopie. Meist scheitert es schon an der schnellen und richtigen Reaktion, nachdem eine Ransomware-Attacke gestartet oder ein Gerät infiziert wurde. Wenn kein Notfallplan vorhanden ist, bricht erst einmal ein großes Chaos aus.

In vielen Fällen fehlt es an Datensicherungen und Fachkräften, welche mit der Situation umgehen können. Und all diese Probleme kosten Zeit – wertvolle Zeit für das Unternehmen.

Wird eine Ransomware-Attacke bekannt, empfehlen wir die Kontaktaufnahme zu IT-Security Spezialisten, sofern keine beim Unternehmen beschäftigt sind. Bei einem Angriff werden Profis benötigt, da Halbwissen die Situation verschlimmern kann. Sollte es im ersten Moment an IT-Security Expertise fehlen, empfiehlt das BKA eine vollständige Netzabtrennung beziehungsweise die Abschaltung möglichst aller Komponenten im System, bis ein Experte gefunden ist. So kann verhindert werden, dass noch mehr Daten verschlüsselt oder unzugänglich gemacht werden.

Außerdem muss schleunigst die Kommunikation zu Mitarbeitern, Geschäftspartnern und Kunden sichergestellt werden.

Auch die Polizei sollte früh eingeschalten werden, da es sich um Cyberkriminalität handelt. Im Regelfall kommen bei solchen Attacken auch personenbezogene Daten innerhalb des Systems abhanden, welche gemeldet werden müssen. Dafür gibt es sogar eine Meldefrist.

Nach so einer Attacke sollten unbedingt alle Passwörter geändert werden.

Alles verschlüsselt - so funktioniert Ransomware.

Sollte man auf die Lösegeldforderung der Cyberkriminellen eingehen?

Meist wird das Lösegeld via Coins (meist Bitcoins) gefordert. Dadurch können die Erpresser weiterhin anonym bleiben.

Wird einmal Lösegeld bezahlt, ist dies ein Signal für die Cyberkriminellen, dass die Opfer Potenzial für weitere Lösegeldzahlungen haben. Das wiederum macht sie zu Opfern von weiteren Angriffen.

BSI, Strafverfolgungsbehörden und Sicherheitsexperten raten dringend davon ab, mit solchen Kriminellen Geschäfte einzugehen.

Abgesehen davon, dass eine Zahlung von Lösegeld keine Garantie für die Lösung der Probleme ist, gibt es mittlerweile auch andere Möglichkeiten den vollständigen Datenzugriff zurückzuerhalten.

Nur wenn ein Unternehmen vor der Entscheidung steht, den Geschäftsbetrieb infolge einer Ransomware-Attacke einzustellen und alle Möglichkeiten erfolglos geprüft wurden, darf eine Lösegeldübergabe in Betracht zogen werden. Zum Beispiel dann, wenn alle Datensicherungen auch infiziert wurden. Hier empfiehlt sich eine enge Zusammenarbeit und Absprache mit den zuständigen Behörden. Eine Zahlung von Lösegeld sollte die letzte Möglichkeit sein und muss immer sorgsam geplant werden.

René Angenheister

IT-Security ist ein wichtiger Bestandteil der digitalen Welt.

Unser Experte René Angenheister hilft Ihnen gerne weiter, wenn es darum geht, ihr Unternehmen digital zu schützen. Als CTO von BLUE Consult bringt er nicht nur tiefes Fachwissen, sondern auch die richtigen Verknüpfungen rund um die IT-Security mit.

Dabei entwickelt er Strategien zum Schutz von Unternehmen bis hin zu Maßnahmen im Ernstfall.

Über 200 Projekte im Datacenter-, Cloud- und Infrastrukturbereich prägen seinen Erfahrungsschatz. Dabei ist er der Experte für Backup, Disaster Recovery & Business Continuity im Unternehmen.

Kontakt aufnehmen

Quellen

[1] Ransomware lässt bei Traktorenhersteller Fendt die Bänder stillstehen

[2] Kundendaten von Energieversorger Entega nach Ransomware-Angriff veröffentlicht

[3] Universität erzielt durch Lösegeldrückzahlung Gewinn