Ransomware im Firmennetzwerk: Was Sie über den Trojaner wissen sollten
Mit sogenannten Verschlüsselungstrojanern greifen Cyberkriminelle häufig Unternehmen an, um hohe Lösegelder zu erpressen – ein lukratives Geschäft. Erfahren Sie mehr im Interview mit dem Cybersecurity-Experten Thomas Stubbings.
Die Zahl von Cyberangriffen auf Unternehmen hat in den letzten Jahren in Österreich stark zugenommen. Mittels Ransomware (Verschlüsselungstrojaner, Erpressungstrojaner) werden Daten in Firmennetzwerken verschlüsselt, für deren Entschlüsselung die Kriminellen dann Lösegeldforderungen auch in Millionenhöhe stellen. Thomas Stubbings, Cybersecurity-Experte und Geschäftsführer von Cyber Trust Services, erklärt im Interview, wie Verschlüsselungstrojaner in Firmennetzwerke gelangen und welche Schutzmöglichkeiten Unternehmen haben.
Wie kann Ransomware in ein Firmennetzwerk geraten – selbst wenn innerhalb eines Unternehmens Schutzmaßnahmen und Awareness vorhanden sind?
Thomas Stubbings: Awareness in Unternehmen ist gut und wichtig. Allerdings ist es schwierig sicherzustellen, dass Mitarbeiterinnen und Mitarbeiter nicht doch vereinzelt versehentlich auf schädliche E-Mails mit Ransomware klicken. Auch klassische Firewalls schützen nicht vor Ransomware – ein weit verbreiteter Irrtum. Es braucht daher verschiedene technische Methoden, damit Schadsoftware sofort erkannt und gestoppt werden kann.
Welche technischen Vorkehrungen können getroffen werden, damit E-Mails mit Ransomware keinen Schaden verursachen?
Stubbings: Über Methoden wie Whitelisting, Sandboxing und XDR-Lösungen kann Ransomware proaktiv begegnet werden. Beim Whitelisting läuft auf jedem Endgerät ein Mechanismus, der verhindert, dass Software, die nicht explizit freigegeben ist, ausgeführt wird. Hingegen basiert das sogenannte Sandboxing auf einem anderen Ansatz. Alle E-Mails werden zuerst in einem Spielkasten – daher der Name Sandbox – getestet und ausgeführt. Wird dabei Ransomware erkannt, wird diese sofort gelöscht, ohne dass etwas Schädliches passiert. Ein weiterer Schutzmechanismus sind XDR-Lösungen, die über viele Sensoren versuchen, Schadsoftware nicht nur anhand des Codes, sondern auch über bestimmte Verhaltensmuster zu erkennen. XDR steht für „Extended Detection and Response“ und unterbindet mit sehr fortschrittlichen Methoden das Ausführen von Schadsoftware.
Hinweis
Ausführliche Informationen zum Schutz gegen Verschlüsselungstrojaner finden Sie hier als PDF zum Download: Empfehlungen zu Ransomware.
Gibt es neben infektiösen E-Mails auch andere Methoden, wie Ransomware in ein Unternehmen geschleust werden kann?
Stubbings: Es gibt die Möglichkeit, sich beim Surfen im Internet zu infizieren. Für diese sogenannten Drive-by-Infections ist es nicht notwendig, auf einen Link zu klicken. Schadcodes auf Websites nutzen Schwachstellen von Browsern aus, um Schadsoftware in ein Unternehmen zu schleusen. Darüber hinaus gibt es auch noch klassische Hacks: Ein sogenannter Advanced Persistent Threat ist ein zielgerichteter Angriff, der vor allem bei größeren Unternehmen und entsprechend hohen Lösegeldforderungen durchgeführt wird.
Wer steckt hinter Cyberangriffen über Ransomware? Gibt es ein typisches Täterprofil?
Stubbings: Cyberangriffe sind ein extrem erfolgreiches Geschäftsmodell im Bereich der organisierten Kriminalität. Dahinter stecken nur selten Einzelpersonen. Ransomware-Angriffe werden von Gruppierungen durchgeführt, die hochprofessionell und arbeitsteilig agieren. Die Täterinnen und Täter arbeiten wie in einem „normalen“ Geschäftsmodell – nur eben illegal. Üblicherweise sitzen sie in Ländern, in denen die Strafverfolgung aus der Europäischen Union sehr schwierig ist. Dazu zählen etwa Russland, China, Nordkorea, aber zB. auch Bosnien und Herzegowina.
Wie suchen sich Cyberkriminelle ihre Opfer aus?
Stubbings: Es gibt grundsätzlich zwei Arten von Angriffen: mit der Schrotflinte oder mit dem Skalpell. Bei einem „Schrotflinten-Angriff“ wird die Attacke möglichst breit gestreut und versucht, über Methoden wie Spam-E-Mails oder infizierte Websites ungerichtet Unternehmen zu infizieren. „Skalpell-Angriffe“ sind gezielt, sehr genau geplant und werden über Monate hinweg durchgeführt. Das Ziel ist hier, in einem Firmennetzwerk möglichst viele Informationen einzuholen, um herauszufinden, wie der Angriff am besten gestartet werden kann und wie hoch die Lösegeldforderung sein sollte.
Wie kann man sich den Prozess der Lösegeldforderung vorstellen?
Stubbings: Wollen Unternehmen ihre Daten wiederhaben, müssen sie Lösegeld in Kryptowährungen bezahlen. Tun sie das in der gesetzten Frist nicht, wird ihnen von den Kriminellen gedroht, dass Daten unwiederbringlich gelöscht und/oder im Darknet veröffentlicht werden. Es gilt die Empfehlung, dass Unternehmen Lösegeldforderungen nicht nachkommen. Einerseits, um das Geschäftsmodell nicht noch attraktiver werden zu lassen. Andererseits gibt es keine Garantie, dass nach einer Zahlung der Schlüssel zur Wiederherstellung aller Daten auch wirklich funktioniert. Die Frage ist daher immer, wie gut sich Unternehmen auf den Ernstfall vorbereitet haben. Im Krisenfall sollte dann gemeinsam mit Forensik-Expertinnen und -Experten die aktuelle Lage bewertet und entschieden werden, welche Methoden und Wege die bestmöglichen sind.
Welche präventiven Maßnahmen empfehlen Sie?
Stubbings: Eine neue Studie von Deloitte und SORA belegt, dass beinahe die Hälfte der befragten Unternehmen bereits von einer Ransomware-Attacke betroffen war. Diese Statistik zeigt auch, dass immer öfter kleine und mittlere Unternehmen (KMU) zur Zielscheibe werden. Zunächst sollten Unternehmen – vor allem KMU – für Basissicherheit sorgen. Ähnlich wie Händewaschen als Grundlage menschlicher Hygiene dient, sollten im IT-Sicherheitsumfeld gewisse Schutzmaßnahmen eingehalten werden. Ich empfehle etwa die 14 Basissicherheitskriterien des Cyber Trust Austria Gütesiegels. Eine 100-prozentige Sicherheit gibt es nicht, aber die Wahrscheinlichkeit, Opfer von Ransomware-Attacken zu werden, ist damit sehr viel geringer.
Tipp
Wie sich Userinnen und User im privaten Kontext vor Ransomware schützen können, erfahren Sie im Artikel „Erpressungstrojaner – Vorbeugende Maßnahmen“. Was bei Verdacht auf eine Infektion sofort unternommen werden sollte, lesen Sie hier: „Erpressungstrojaner – Was tun bei Infektion?“.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria