Ransomware, also Schadprogramme, welche Daten auf Rechnern und Servern verschlüsseln und diese Daten nur gegen die Zahlung eines Lösegelds - daher auch der Begriff Ransomware - vermeintlich wieder freigeben, sind derzeit die größte Bedrohung.
Die britische Firma Sophos, die Sicherheitssoftware entwickelt und weltweit vertreibt, hat im Mai 2020 die Ergebnisse der global durchgeführten Studie "The State of Ransomware 2020" veröffentlicht. Befragt wurden hierzu 5.000 IT-Entscheidungsträger aus Unternehmen, Behörden und anderen Organisationen in 26 Ländern auf sechs Kontinenten. 51 Prozent -also mehr als die Hälfte - der befragten Organisationen haben im vergangenen Jahr einen Lösegeldangriff verzeichnet. In 73 Prozent der Fälle gelang es den Angreifern sogar, Daten zu verschlüsseln. Die Kosten für die Bewältigung der Auswirkungen pro Angriff lagen im Durchschnitt bei über 730.000 US-Dollar. Hier sind Geschäftsausfallzeiten, verlorene Aufträge oder Betriebskosten eingerechnet.
Besonders nachdenklich stimmt die Tatsache, dass - wenn ein Lösegeld bezahlt wurde - sich die Durchschnittskosten, um die Auswirkungen eines solchen erlittenen Angriffs zu beseitigen, auf 1,4 Millionen US-Dollar fast verdoppelten. Das zeigt klar auf, dass die Wiederherstellung der Daten durch die Zahlung an die Erpresser keineswegs die schnellste, einfachste und günstigste Möglichkeit ist, das Problem einer derartigen Attacke aus der Welt zu schaffen.
"Organisationen können dem Druck erliegen, ein Lösegeld zu zahlen, um schädliche Ausfälle zu vermeiden. Auf den ersten Blick erscheint dies auch als ein wirksames Mittel zur Wiederherstellung der von den Angreifern verschlüsselten Daten. Doch die Realität sieht anders aus", warnt Chester Wisniewski, Principal Research Scientist bei Sophos, und erklärt die Gründe hierfür: "Dies könnte daran liegen, dass es unwahrscheinlich ist, die Daten mit nur einem einzigen Entschlüsselungsschlüssel wiederherzustellen. Häufig teilen sich die Angreifer mehrere Schlüssel und deren Verwendung für die Daten-Rekonstruktion kann eine zeitaufwendige Angelegenheit sein."
Millionen Lösegeld geflossen
Dennoch gibt es prominente Beispiele für Firmen, die zahlten. Die Firma Garmin gab Ende Juli 2020 bekannt, dass sie Opfer einer Cyber-Attacke geworden ist. Dabei wurden auch einige Systeme verschlüsselt, sodass mehrere Dienste vom Netz genommen werden mussten. Mehreren Medienquellen zufolge soll das Unternehmen ein millionenschweres Lösegeld gezahlt haben, um wieder an die Daten zu kommen.
Auch das US-amerikanische Reiseunternehmen CWT zahlte laut einem "Reuters"-Bericht Ende Juli rund 4,5 Millionen US-Dollar, nachdem 30.000 Firmencomputer angegriffen wurden. Hierbei erbeuteten die Kriminellen nicht nur zwei Terrabit (TB) an Daten, sondern verschlüsselten auch Daten auf Firmenrechnern. Dass Summen in dieser Größenordnung wohl bezahlt werden und welche Bedeutung Cyber-Risiken haben, bestätigt auch das "Allianz Risk Barometer", eine jährliche Umfrage, die bereits zum neunten Mal durchgeführt wurde und ermittelt, was die größten Risiken aus Unternehmenssicht sind. An der zuletzt ausgewerteten Befragung beteiligten sich Ende vergangenen Jahres rund 2.700 Teilnehmer aus über 100 Ländern.
Forderungen werden immer höher
Ein Ergebnis ist, dass erstmals die CyberVorfälle (39 Prozent) das wichtigste Geschäftsrisiko für Unternehmen weltweit sind. Sie verdrängten damit das Risiko einer Betriebsunterbrechung (37 Prozent der Antworten) vom ersten Platz. Zum Vergleich: Betriebsunterbrechungen lagen seit 2013 stets auf Platz eins. Cyber-Risiken schätzten damals gerade einmal sechs Prozent als bedrohlich ein (Platz 15). Und die Schäden beziehungsweise Forderungen der Kriminellen werden immer höher. "Cyber-Vorfälle verursachen immer größere Schäden. Ransomware-Angriffe richten sich zunehmend gegen große Unternehmen und die Forderungen bei Erpressungen steigen. Vor fünf Jahren ging es um einige Zehntausend Euro, heute fordern Hacker immer öfter Millionenbeträge", berichtet Jens Krickhahn, Practice Leader Cyber, Allianz Global Corporate & Specialty (AGCS) Zentral- und Osteuropa.
Zurück zur Sophos-Untersuchung: Im Ländervergleich zeigt sich, dass Deutschland unter den zehn Ländern zu finden ist, in denen Firmen, Behörden und andere Organisationen besonders häufig angegriffen werden. Am stärksten betroffen ist aber Indien: 82 Prozent der befragten Firmen und Institutionen bestätigten hier entsprechende Attacken in den vergangenen zwölf Monaten. Die wenigsten Angriffe gibt es in Südafrika mit 24 Prozent. Die USA hingegen liegen mit 59 Prozent weltweit auf Platz sechs, noch vor Deutschland (Platz acht). Hierzulande bestätigten 57 Prozent der befragten Firmen einen entsprechenden Angriff.
Zu einer noch drastischeren Einschätzung kommen die Experten von Tenable, ein Unternehmen, das auf die Erkennung und Minimierung von Cyber-Risiken spezialisiert ist. Im August 2020 veröffentlichte Tenable eine weltweite Branchenstudie, aus der hervorgeht, dass 96 Prozent der deutschen Unternehmen in den vergangenen zwölf Monaten einen geschäftsschädigenden Cyber-Angriff erlitten haben. Die Daten stammen aus einer Auftragsstudie, an der mehr als 800 Führungskräfte weltweit teilnahmen. Hierzulande wurden 103 Personen von Forrester Consulting im Auftrag von Tenable befragt. 74 Prozent dieser Befragten stellten in den vergangenen zwei Jahren einen drastischen Anstieg bei der Anzahl geschäftsschädigender Cyber-Angriffe fest - mit zum Teil schwerwiegenden Auswirkungen: Unternehmen berichteten von Produktivitätsverlust (45 Prozent), Verlust von Kundendaten (37 Prozent) und Verlust durch Identitätsdiebstahl (36 Prozent).
Bösartige Links ebnen den bösen Buben den Weg
Schadware gelangt auf verschiedenen Wegen in die Unternehmen, wobei die Erpressungssoftware in den allermeisten Fällen über bösartige Links und File-Downloads heruntergeladen wurde, so die Sophos-Analyse. Während bei allen untersuchten 26 Ländern im Durchschnitt dieser Wert bei 29 Prozent lag, waren in Deutschland 41 Prozent aller Angriffe darauf zurückzuführen. Ein weiteres Einfallstor sind E-Mails: Hierzulande waren in 22 Prozent der Fälle schadhafte E-Mail-Anhänge der Grund für Ransomware-Angriffe - auch das ist leider ein Spitzenwert im internationalen Vergleich. Dafür steht Deutschland gut da, wenn es um Remote-Attacken auf Server geht: Nur 13 Prozent der heimischen Unternehmen wurden so zum Opfer, international lag dieser Wert bei 21 Prozent.
Die Sophos-Studie zeigt auch, wie wichtig eine effiziente Datensicherung ist. Immerhin mehr als 56 Prozent der befragten IT-Manager konnten ihre Daten aus Back-ups wiederherstellen - und zwar ohne die Zahlung eines Lösegelds. Umgekehrt schafften es insgesamt sechs Prozent der befragten Unternehmen nicht, ihre Daten wiederherzustellen. Bei Organisationen des öffentlichen Sektors, die allerdings mit 45 Prozent insgesamt nicht so häufig derartigen Angriffen ausgesetzt sind, lag dieser Wert sogar bei 13 Prozent.
Im Mai 2020 - also mitten im Corona-Lockdown - veröffentlichte die Firma VMware, ein Anbieter von Unternehmenssoftware, den "dritten jährlichen Modern Bank Heists-Report". Dieser Bericht beinhaltet unter anderem eine Bedrohungsdatenanalyse sowie die jährlichen Umfrageergebnisse mit den Auskünften von 25 Chief Information Security Officers führender Finanzinstitute. "Finanzinstitute sind seit Langem das Ziel organisierter Cyber-Kriminalität", betont Tom Kellermann, Head of Security Strategy der Security Business Unit von VMware, und ergänzt: "Die aktuellen Auswirkungen der Covid-19-Pandemie auf globaler Ebene lassen deutlich erkennen, dass die Angreifer unseren Analysen zufolge Finanzinstitute direkt ins Fadenkreuz nehmen."
Finanzsektor stark betroffen
Die Zahlen jedenfalls sind eindrucksvoll bis beängstigend: So haben von Anfang Februar bis Ende April 2020 die Angriffe auf den Finanzsektor laut diesem Bericht um 238 Prozent zugenommen. Auch die Lösegeldforderungen gegen Firmen aus dem Finanzsektor sind laut diesen Daten in diesem Zeitraum um das Neunfache angestiegen. "Beim Thema IT-Sicherheit herrscht in der Finanzbranche leider nach wie vor Nachholbedarf, obwohl das Thema bereits vor Jahren zur Chefsache erklärt wurde. Auch hohe IT-Budgets dürfen nicht darüber hinwegtäuschen, dass die IT-Security in vielen Banken immer noch eine Schwachstelle ist, die von kriminellen Hackern ausgenutzt werden kann", meint Thomas Herrguth, Director Financial Services bei VMware Deutschland. Er mahnt: "Doch um das Vertrauen der Kunden nicht zu verlieren, stehen gerade Versicherungshäuser und Banken in der Pflicht, der IT-Sicherheit höchste Priorität einzuräumen und mit entsprechenden Technologien zu untermauern."
Die Experten von Sophos haben fünf Anzeichen zusammengestellt, die darauf hindeuten, dass eine Ransomware-Attacke stattfindet. Sie empfehlen die Kontrolle, ob ein Netzwerkscanner wie AngryIP oder Advanced Port Scanner aktiv ist. Sollte dies der Fall sein und dieser Scanner offiziell nicht im Einsatz sein, muss eine weitere Untersuchung stattfinden. Die Angreifer versuchen außerdem, eine installierte Sicherheitssoftware zu deaktivieren. Hierbei nutzen sie oftmals spezielle Applikationen wie Process Hacker, Iobit Uninstaller, GMER oder PC Hunter.
Zwar ist der Einsatz derartiger kommerzieller Werkzeuge legitim, aber wenn sie von Kriminellen benutzt werden, wird es problematisch. Deshalb sollten Sicherheitsteams und Administratoren hellhörig werden, wenn diese Programme plötzlich in ihrem System auftauchen. Zudem sollte jeder Hinweis auf das Auftauchen des Tools Mimikatz untersucht werden. "Kann sich keiner der Administratoren für den Einsatz des Programms verbürgen, ist das eine tiefrote Warnflagge: Mimikatz ist eines der populärsten Hacking-Werkzeuge für den Diebstahl von Anmeldedaten", so die Experten von Sophos.
Erst der Testlauf, dann die richtige Attacke
Große Vorsicht ist ferner angesagt, wenn Systemeingriffe zur immer gleichen Zeit oder in einem sich wiederholenden Muster auftauchen, denn dies ist ein Hinweis, dass irgendwo etwas Ungewolltes passiert. Immer wieder führen Angreifer auch Testattacken auf ein paar Computer durch. Wird eine solche Attacke entdeckt und gestoppt, ändern die Angreifer oftmals ihre Taktik und versuchen es erneut. "Deshalb ist es nach erfolglosen Testattacken oft nur eine Frage von Stunden, bis ein weitaus größerer Angriff erfolgt", warnen die Experten. Zu guter Letzt: Ist eine Schadsoftware auf einem Computer aktiv, trennen Sie die Verbindung zum Internet und zum Netzwerk und schalten Sie das Gerät aus. Die Beseitigung der Schadsoftware ist eine Aufgabe für Spezialisten. Tools hierzu gibt es bei den bekannten Herstellern von Sicherheitssoftware oder auch unter "No More Ransom".
Kompakt.
Die Bedrohungen durch Ransomware nehmen zu und die geforderten Summen werden immer höher.
Wer das Lösegeld zahlt, hat keine Garantie, dass die Daten auch wiederhergestellt werden können.
Eine Datensicherung ist somit unabdingbar.
Keine Chance für Ransomware-Angriffe - fünf Tipps .
Die Website "No More Ransom" (www.nomoreransom.org) geht auf eine Initiative der National High Tech Crime Unit der niederländischen Polizei, dem europäischen Cybercrime Center von Europol sowie den Firmen Kaspersky und McAfee zurück. Ziel dieser Initiative ist es, Opfern von Ransomware bei der Entschlüsselung zu helfen, ohne dass Lösegeld bezahlt wird. Aber - und darauf weisen die Experten explizit hin - es ist einfacher, eine Ransomware-Infektion zu vermeiden, als sie zu bekämpfen.
Datensicherung: Die Experten empfehlen, zwei Back-ups zu erstellen und zwar eine Sicherung in einer Cloud und eine physikalische Sicherung, beispielsweise auf einer tragbaren Festplatte oder einem USB-Stick. Wichtig: Das Medium muss nach dem Sichern vom Computer getrennt werden.
Antivirensoftware: Diese kann das System vor Ransomware schützen, wobei die "heuristischen Funktionen" nicht deaktiviert werden sollen, da diese helfen, auch solche Ransomware-Samples zu entdecken, die noch nicht formell erkannt wurden.
Computer auf dem neuesten Stand: Das Betriebssystem und die Anwendungen sollten stets auf dem neuesten Stand sein, das heißt, Updates sollten installiert werden. Bei Programmen mit einer automatischen Aktualisierung, sollte diese genutzt werden.
Trauen Sie niemandem: Denn jedes Konto kann kompromittiert werden. Öffnen Sie daher keine Anhänge in E-Mails von jemandem, den Sie nicht kennen, und klicken Sie auch nicht auf hinterlegte Links.
Die Option "Dateierweiterungen anzeigen" sollte außerdem in den Windows-Einstellungen aktiv sein, denn dann ist es einfacher, potenziell schädliche Dateien zu erkennen (Dateierweiterungen .exe, .vbs und .scr). Denn Angreifer nutzen oftmals mehrere Erweiterungen hintereinander, um eine Schadsoftware als Video, Foto oder Dokument zu tarnen (beispielsweise hot-chics.avi.exe oder doc.scr).
Volker Zwick
ist freier Fachjournalist in Ziemetshausen bei Augsburg.