Ransomware: Gefahr, Definition, geeignete Schutzmaßnahmen und Bedrohungslage
Ransomware-Angriffe auf Unternehmen verschiedener Branchen und Größe wurden in den letzten Jahren nicht nur weitaus häufiger ausgeübt, sondern auch professionalisiert. Sie haben sich als eine Art „Geschäftsmodell“ unter den Angreifern etabliert, welches die betroffenen Unternehmen nicht nur finanziell schädigt, sondern auch langfristig belastet.
Die Bedrohungslage für Unternehmen steigt stetig an, sodass eine Strategie zur Prävention von und zum Umgang mit Ransomware-Angriffen mittlerweile unerlässlich ist. Dies gilt auch für kleine und mittelständische Unternehmen (KMU), die sich häufig selbst für ein zu bedeutungsloses Angriffsziel halten. Zahlreiche Angriffe aus der Vergangenheit belegen das Gegenteil, zeigen aber auch, dass es Möglichkeiten gibt, den Angriffen vorzubeugen oder den Schaden zu begrenzen. Im Folgenden wird erklärt, was Ransomware ist und was Sie beim Schutz gegen Ransomware oder bei einem akuten Notfall unbedingt beachten müssen.
Mögliche Folgen eines Angriffes für das Unternehmen
Die Folgen eines Ransomware-Angriffs sind vielseitig und gravierend. Je nachdem wie ausgeklügelt die Präventivmaßnahmen und das Notfallmanagement sind, variiert die Intensität der Schäden. Diese können Produktionsausfälle von mehreren Tagen oder Monaten, aber auch Rufschädigung bedeuten und im schlimmsten Fall bis zur Geschäftsaufgabe führen. Teilweise können die Daten selbst nach der Bereinigung des Schadprogramms nicht wiederhergestellt werden und auch das Zahlen des Lösegeldes ist keine Garantie dafür, den Zugriff auf die Daten tatsächlich wiederzuerhalten. Selbst wenn die Daten wiederhergestellt oder entschlüsselt werden können, sind sie möglicherweise beschädigt und weiterhin kompromittiert. Hinzu kommt die oftmals enorme Höhe der Lösegeldforderungen. Teilweise nutzen Angreifer zusätzlich die Androhung der Veröffentlichung oder des Verkaufs gestohlener Daten, um eine höhere Summe an Lösegeld fordern zu können. Auch in diesem Fall bietet das Zahlen des Lösegeldes keine Sicherheit, dass die Daten nicht trotzdem verbreitet werden. Neben dem Lösegeld kommen auf das Unternehmen viele weitere finanzielle Anstrengungen hinzu, um den Status quo ante wiederherzustellen und neue, wirkungsvollere Sicherheitsmaßnahmen zu implementieren.
Der Begriff Ransomware
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Ransomware als Schadprogramme, die das Schutzziel der Verfügbarkeit angreifen, indem sie den Zugriff auf Daten sperren oder diese verschlüsseln. Die Angreifer fordern dann ein Lösegeld im Gegenzug für die Entschlüsselung der Daten. Der Begriff Ransomware leitet sich aus einer Mischung der englischen Wörter Malware für Schadsoftware und ransom für Lösegeld ab. Hierbei kann man auch von moderner Geiselnahme sprechen, bei der nun statt Personen Daten entführt werden. Diese Form der digitalen Erpressung kann auf unterschiedliche Arten erfolgen.
Arten von Ransomware-Angriffen
Die Versender der E-Mail versuchen, das Angriffsziel zum Öffnen eines Anhanges zu bewegen, indem sie diese als Rechnungen, eingescannte Dokumente oder Bestellbestätigungen tarnen. Mit dem Öffnen der Datei wird die Schadsoftware heruntergeladen und die Dokumente des Unternehmens werden verschlüsselt. Dabei sind die Angreifer mittlerweile so geschickt, dass schadhafte E-Mails immer schwerer zu identifizieren sind. Beispielsweise verwenden sie den Betreff einer vorherigen Konversation oder als Absender wird eine dem Opfer bekannte Person verwendet, wie ein Kollege oder eine Vorgesetzte.
Bei einer Drive-By Infektion wird die Malware beim Besuch einer kompromittierten Webseite automatisch heruntergeladen, wenn die Firewall keinen Alarm schlägt. Dies geschieht häufig unbemerkt im Hintergrund, weshalb Drive-By Infektionen oft lange unentdeckt bleiben. In einigen Fällen werden über die Webseiten oder Werbebanner Exploit-Kits verbreitet, die Schwachstellen in geläufigen Programmen und Softwares zur Verteilung der Ransomware ausnutzen.
Ist ein Server aus dem Internet zu erreichen, so können ihn Täter durch das Brechen von Passwörtern angreifen. Gängige Angriffsmethoden sind beispielsweise das Credential Stuffing oder Brute-Force Angriffe.
Beim Credential Stuffing hoffen die Angreifer darauf, dass ein Nutzer für verschiedene Dienste identische Anmeldeinformationen verwendet. Werden solche Informationen über ein Datenleck herausgefunden, versuchen die Täter, sich damit bei anderen Dienstleistern anzumelden.
Brute-Force Angriffe verfolgen hingegen keine ausgeklügelte Strategie, sondern wenden die Trial-and-Error Methode an. Verschiedene Zahlen- und Buchstabenkombinationen werden so lange automatisiert ausgetestet, bis das richtige Passwort gefunden wurde. Diese Art von Angriffen wird unter anderem auch auf ungeschützte Fernzugänge angewandt.
Auch externe Speichermedien, wie USB-Sticks oder Festplatten, können zur Angriffsfläche von Ransomware-Angriffen werden. Durch das Einführen infizierter Wechseldatenträger gelangt die Ransomware auf den Rechner und verbreitet sich so im Unternehmensnetzwerk. Deshalb sollen unbekannte externe Speichermedien nicht eingesteckt bzw. eingelesen werden, bevor eine genaue Überprüfung stattgefunden hat.
Schutzmaßnahmen gegen einen Ransomware-Angriff
Unternehmen sollten sich der Bedeutung und Gefahr eines Ransomware-Angriffs bewusst sein, um sich bestmöglich schützen zu können. Präventivmaßnahmen, beispielweise die Sensibilisierung und Schulung von Mitarbeitern, sind dabei unerlässlich. Eine der wichtigsten Maßnahmen, um den Schaden im Ernstfall möglichst gering zu halten, sind Offline-Backups und ein vorausschauendes Incident Management mit wirksamer Incident Response. Außerdem ist die Erstellung von Notfallplänen für den Ernstfall eine zentrale Aufgabe für den Schutz des Unternehmens vor Schäden durch Ransomware.
Reaktionsmaßnahmen
Im Falle eines Sicherheitsvorfalls mit Ransomware ist es wichtig, Ruhe zu bewahren und nicht überstürzt zu handeln. Dennoch sollten die infizierten Systeme schnellstmöglich vom Netzwerk getrennt werden, um den Schaden zu begrenzen. Dabei ist es ratsam, die Computer lediglich vom Netzwerkkabel zu trennen, da beim Herunterfahren des Systems eventuell Dateien überschrieben werden.
Für das Krisenmanagement sollte ein IT-Security-Team oder ein Krisenstab innerhalb des Unternehmens eingerichtet werden. Bei fehlendem Wissen oder geringer Erfahrung ist es ratsam, externe Unterstützung zur Hilfe zu holen und den Vorfall gemeinsam mit Experten und einer eventuell bestehenden Cyber-Versicherung zu bewältigen.
Die Entscheidungsträger des Unternehmens sollten sich über die wichtigsten organisatorischen und technischen Maßnahmen sowie über das weitere Vorgehen nach einem Ransomware-Angriff bewusst sein. Das Vorhandensein eines einsatzfähigen Notfallplans ist ratsam.
Neben allen internen Reaktionsmaßnahmen sollte unbedingt Strafanzeige bei den zuständigen Behörden gestellt werden.
Ein Krisenstab bzw. Projektteam, das die Bewältigung des Sicherheitsvorfalls und die interne und externe Kommunikation übernimmt, sollte interdisziplinär aufgestellt sein und über eine Kenntnis der kritischen Geschäftsprozesse verfügen. Verschiedene Stellen, wie beispielsweise ein Mitglied der Geschäftsführung, die IT-Leitung, die Rechtsabteilung und die Unternehmenskommunikation, sollten unbedingt in das Team eingebunden werden.
Zunächst sollte analysiert werden, welchen Schaden der Angriff verursacht hat und welche Systeme betroffen sind, woraufhin eine Phase des Übergangs folgt. Während des Übergangsbetriebs müssen weitere Infektionen dringend verhindert werden und die Netze stehen unter Beobachtung. Daraufhin gilt es, die Netze und Systeme zu bereinigen und neu aufzusetzen. Um sich künftig besser gegen Ransomware-Angriffe schützen zu können, hilft eine Analyse des Vorfalls, damit das Sicherheitskonzept weiter ausgebaut und neue Sicherheitsmaßnahmen entwickelt werden können.
Eine gelungene Kommunikation ist bei der Bewältigung von Ransomware-Angriffen eine wichtige Aufgabe, der im betroffenen Unternehmen eine angemessene Aufmerksamkeit zukommen soll. Zunächst sollten die Mitarbeitenden schnellstmöglich informiert und für die bevorstehenden Maßnahmen und den verantwortungsvollen Umgang mit Medien sensibilisiert werden. Die Kommunikationskanäle sollten sowohl für die interne als auch für die externe Kommunikation sorgsam gewählt werden. Zudem soll klar geregelt werden, wer welche Informationen an welchen Empfänger kommunizieren darf. Es ist hilfreich, wenn die Botschaften eindeutig und prägnant sind, weshalb der Krisenstab involviert werden sollte und bei Bedarf die Hilfe von Kommunikationsspezialisten hinzugezogen werden kann. Es ist besonders wichtig, keine Schuldzuweisungen vorzunehmen und stets die Wahrheit zu sagen.
Die Kommunikation mit der Öffentlichkeit hilft dabei, transparent zu bleiben und kann einem Imageschaden und den Bedenken von Kunden und Partnern entgegenwirken.
Obwohl das technische Vorgehen individuell von der Art des Angriffes abhängt, gibt es generell zu beachtende Grundsätze. Bestenfalls kann der Angriffsweg herausgefunden und die Sicherheitslücke geschlossen werden, wobei nicht außer Acht gelassen werden darf, dass mehrere Systeme betroffen sein können. Eine Anmeldung mit privilegierten Nutzerkonten auf einem eventuell infizierten System muss verhindert werden.
Die technischen Maßnahmen müssen gut geplant werden und eine ausführliche Absprache mit der Managementebene, der IT-Abteilung und eventuellen Dienstleistern ist unabdingbar.
Um die Institution vor weiteren Angriffen zu schützen, sollte der Vorfall möglichst umfassend und neutral aufgearbeitet werden. Daraus lassen sich Sicherheitsmaßnahmen ableiten, die dann in der Organisation umgesetzt werden sollen. Besonders wichtig ist, sich nach der Bewältigung eines Angriffs nicht in der trügerischen Sicherheit zu wähnen, dass das Unternehmen nicht erneut Ransomware zum Opfer fallen kann. Es ist daher umso wichtiger, zu handeln und Schutzmaßnahmen jeglicher Art zu implementieren – bei Bedarf mit der Unterstützung externer Expertise. Zudem soll eine Strafanzeige bei den zuständigen Behörden erfolgen, damit die Täter eventuell identifiziert und gefasst werden können.
Die Unterstützung der RST bei der Prävention und dem Krisenmanagement
Wir beraten Unternehmen zu verschiedenen Bedrohungslagen, unter anderem auch zu Cyber-Angriffen. Die RST unterstützt Sie dabei, den richtigen Umgang mit der Gefahr von Ransomware-Angriffen zu finden, um Ihr Unternehmen auf den Ernstfall vorzubereiten und diesen im besten Fall zu verhindern.
Unser Leistungsspektrum umfasst u.a.:
- Erstberatung zur Betroffenheit anhand einer Bewertung der Praxisgröße gemäß §75b SGB V
- Qualifizierte Einschätzung des Ist-Zustands der Umsetzung der geforderten Anforderungen Ihrer Praxis durch eine Gap-Analyse
- Beratung zur Umsetzung geeigneter Maßnahmen zur Erfüllung der Anforderungen der IT-Sicherheitsrichtlinie und zum Schutz der Informationssicherheit für Ihre Praxis
- Durchführung von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter*innen im Bereich der Informationssicherheit
Haben Sie noch Fragen?
Dann kontaktieren Sie gerne unsere RST-Ansprechpartner oder senden Sie uns eine Anfrage über das Kontaktformular:
Das könnte Sie auch interessieren:
Informationssicherheit und Datenschutz │ Schutzziele der Informationssicherheit
Links zu Dokumenten des BSI zum Thema Ransomware sowie weiterführende Informationen:
- Eine Einschätzung des BSI zur Bedrohungslage, Prävention & Reaktion in Bezug auf Ransomware finden sie hier.
- Hier erfahren Sie mehr über die Erste Hilfe bei einem schweren IT-Sicherheitsvorfall.
- Sie können sich hier über Fortschrittliche Angriffe durch den Einsatz von Ransomware informieren.
- Hier können Sie auf den Managementabstract Fortschrittliche Angriffe des BSI zugreifen.