Wenige Gedanken über die IT-Sicherheit lassen Führungskräfte in Unternehmen wohl so wenig in Ruhe schlafen, wie die Überlegung, was bei einem erfolgreichen Ransomware-Angriff zu tun ist. Dabei gilt: Je besser eine Firma vorbereitet ist, desto besonnener können alle handeln.
Die durchschnittliche wöchentliche Anzahl von Ransomware-Angriffen in den letzten 12 Monaten stieg weltweit um 93 Prozent. Mittlerweile werden jede Woche über 1200 Organisationen das Opfer einer Attacke. Nach Daten von Cybersecurity Ventures wird der durch Ransomware verursachte Schaden in diesem Jahr etwa 20 Milliarden US-Dollar (rund 17 Milliarden Euro) erreichen, was einer 57-fachen Steigerung gegenüber dem Jahr 2015 entspricht. Bis 2031 könnten die Kosten von Ransomware-Zwischenfällen sogar die schier unglaubliche Zahl von 265 Milliarden US-Dollar (rund 222 Milliarden Euro) übersteigen.

Warum die Zahl der Ransomware-Angriffe so stark steigt? Das lässt sich einfach erklären: Die Hacker werden für ihren Erfolg bezahlt. Es handelt sich um einen Teufelskreis: Gehen die Unternehmen auf die Erpressung ein und zahlen das Lösegeld, freuen sich die Angreifer und sämtliche Trittbrettfahrer. Das ruft förmlich zu weiteren Versuchen auf und viele Unternehmen erfüllen die Forderungen der Kriminellen ohne langes Zögern, weil sie auf Cyber-Risiko-Versicherungen zurückgreifen, was Hacker wiederum wissen.

Ransomware zur Miete

Die Zunahme der Angriffe hängt auch mit der Verfügbarkeit von Malware zusammen. Viele Hacker-Gruppen bieten Ransomware-as-a-Service (RaaS) an: Jeder kann diese Art von Bedrohung in entsprechenden Foren und Läden im Dark Net mieten, einschließlich Infrastruktur, Kompetenz zur Verhandlung mit den Opfern und Erpresser-Websites, auf denen gestohlene Informationen veröffentlicht werden können, um im Rahmen einer Doppelten oder Dreifachen Erpressung den Druck zu erhöhen. Das Lösegeld wird danach zwischen den Vertragspartnern aufgeteilt.

Doch ein Ransomware-Angriff beginnt oft nicht mit Ransomware. Häufig startet der Überfall mit einer schlichten Phishing-E-Mail, die schädliche Anhänge enthält. Darüber hinaus arbeiten Hacker mit Betreibern von Bot-Netzen zusammen: Während der Ryuk-Ransomware-Angriffe wurde die Emotet-Malware als Türöffner und Lieferant der Ransomware verwendet. Sie infizierte das Netzwerk, schleuste danach Trickbot als weiteren multifunktionalen Trojaner ein, und dieser wiederrum öffnete das Tor für Ryuk, welche schließlich die Daten verschlüsselte.

Dem Einbruch besonnen begegnen

Cyber-Kriminelle haben keine Pausen. Sie verfeinern ständig ihre Technik, um die Entdeckung ihrer Malware zu erschweren und den Zahlungsdruck zu erhöhen. Ursprünglich verschlüsselte Ransomware lediglich Daten und forderte ein Lösegeld, um sie zu entsperren. Vor rund zwei Jahren fügten die Angreifer eine zweite Phase hinzu und stahlen vor der Verschlüsselung wertvolle Informationen. Sie drohten damit, diese bei einer ausbleibenden Zahlung des Lösegelds zu veröffentlichen – die Masche der Doppelten Erpressung war erfunden. Etwa 40 Prozent aller neuen Ransomware-Familien gehen nun so vor. Darüber hinaus wurde kürzlich eine dritte Phase beobachtet, in der auch die eigentlichen Opfer des Datendiebstahls, nämlich Geschäftspartner, Kunden, Patienten oder Journalisten kontaktiert werden, weil sensible Informationen über sie ebenfalls in den gestohlenen Datenpaketen enthalten waren – die Dreifache Erpressung. All das dient zur Steigerung des Lösegelds und der Wahrscheinlichkeit, dass irgendein Opfer bezahlen wird und damit weiter die Taschen der Verbrecher füllt.

Das Check Point Software Incident Response Team hat weltweit unzählige Ransomware-Fälle für Unternehmen bearbeitet. Es empfiehlt daher die Einhaltung der folgenden Schritte, wenn es zu einem Ransomware-Angriff kommt:

1) Einen kühlen Kopf bewahren

Im Fall einer geglückten Ransomware-Attacke ist es in erster Linie wichtig, nicht in Panik zu geraten. Die IT-Sicherheitsabteilung sollte umgehend verständigt werden. Eine Kopie der Lösegeldforderung ist hilfreich, denn sie wird für die Strafverfolgung und weitere Ermittlungen nützlich sein.

2) Computer isolieren

Infizierte Systeme müssen sofort vom Rest des Netzwerks getrennt werden, um weiteren Schaden zu verhindern und die willkürliche Bewegung durch das Netzwerk zu unterbinden. Gleichzeitig sollte die Quelle der Infektion identifiziert werden. Ein Ransomware-Angriff beginnt in der Regel durch eine andere Bedrohung. Die Hacker waren möglicherweise schon lange im System ansässig und haben nach und nach ihre Spuren verwischt, sodass die Erkennung des Auslösers für die meisten Unternehmen oft nicht ohne spezialisierte Hilfe zu bewältigen ist.

3) Backups im Blick behalten

Angreifer wissen, dass Unternehmen eine Wiederherstellung ihrer Daten aus Backups versuchen werden, um die Zahlung des Lösegelds zu vermeiden. Deshalb versuchen jene oft die Backups zu finden, um diese zu verschlüsseln oder zu löschen. Es sollten außerdem niemals externe Geräte und Wechseldatenträger, wie USB-Sticks, an infizierte Geräte angeschlossen werden, sonst werden diese zu verseuchten Überträgern. Vorsicht ist auch beim Wiederherstellen verschlüsselter Daten geboten, denn es kann beispielsweise durch einen fehlerhaften Schlüssel zu Beschädigungen der Ursprungsdaten kommen. Daher kann es sinnvoll sein, Kopien der verschlüsselten Daten zu erstellen. Außerdem werden nach und nach Entschlüsselungsprogramme entwickelt, die helfen können, bisher unbekannten Code zu knacken. Falls unverschlüsselte Backups vorliegen, sollte trotzdem vor einer vollständigen Wiederherstellung deren Integrität geprüft werden.

4) Auf Reboots und Systemwartung verzichten

Auf infizierten Systemen sollten automatische Updates und andere Wartungsaufgaben deaktiviert werden. Das Löschen temporärer Dateien oder andere Änderungen könnten Untersuchungen und Gegenmaßnahmen unnötig erschweren. Gleichzeitig sollten die Systeme nicht neu gestartet werden, da einige IT-Bedrohungen dann mit dem Löschen von Dateien beginnen.

5) Zusammenarbeiten mit den Polizeibehörden

Im Kampf gegen Cyber-Kriminalität und insbesondere gegen Ransomware ist die Zusammenarbeit mit den Strafverfolgungsbehörden der Schlüssel zum Erfolg. Unternehmenn sollten sich also frühzeitig mit der Polizei und dem nationalen Cyber-Abwehrzentrum in Verbindung setzen – Kritis-Betreiber sind ohnehin bei Strafe verpflichtet, dies umgehend und vollumfänglich zu tun. Zudem sollte auch das spezielle Incident-Response-Team einer vertrauenswürdigen IT-Sicherheitsfirma kontaktiert und die Mitarbeiter informiert werden. Eine Schulung der Angestellten, woran sie Ransomware und sonstige IT-Gefahren erkennen können, hilft außerdem sehr dabei, künftige Attacken abzuwehren.

6) Die Art des Ransomware-Angriffs identifizieren

Wenn die Nachricht der Angreifer nicht beschreibt, um welche Art von Ransomware es sich handelt, dann kann ein kostenloses Programm zur Identifikation benutzt werden. Auf der Website des Projekts No More Ransom [1] findet sich häufig sogar ein Entschlüsselungsprogramm gegen die Ransomware.

7) Infektionskette durchspielen und Sicherheitslücken schließen

Unabhängig davon, ob es menschliche Faktoren waren oder die Technologie, die versagt haben, Unternehmen sollten alle Prozesse noch einmal durchgehen und ihre gesamte IT-Strategie überdenken. So stellen sie sicher, dass ein ähnlicher Vorfall nie wieder passiert – sonst kann der Ransomware-Angriff zu einer Wiederholungstat führen. Außerdem: Wenn eine Datenwiederherstellung stattgefunden hat, sollte man keineswegs den Vorfall einfach als gelöst betrachten, denn die Sicherheitslücke wurde nicht beseitig.

Best practices um Attacken zu vermeiden

Es ist gut, wenn man weiß, welche Maßnahmen ergriffen werden müssen, um mit einer erfolgreich verlaufenen Ransomware-Attacke am besten umzugehen, doch noch besser ist es, wenn alles Mögliche getan wurde, um den Angriff zu verhindern:

1. An Wochenenden und Feiertagen besonders aufmerksam sein. Die meisten Ransomware-Angriffe im vergangenen Jahr 2020 fanden an Wochenenden oder Feiertagen statt. An diesen Tagen reagieren Unternehmen langsamer auf eine Bedrohung, weil nur eine Notbesetzung die Absicherung übernimmt.
2. Updates und Patches regelmäßig installieren. WannaCry traf im Mai 2017 Organisationen auf der ganzen Welt schwer und infizierte über 200 000 Computer in drei Tagen. Ein Patch für die ausgenutzte EternalBlue-Schwachstelle war jedoch bereits einen Monat vor dem Angriff verfügbar.
3. Anti-Ransomware-Sicherheitslösung installieren. Ein Anti-Ransomware-Schutz beobachtet ungewöhnliche Aktivitäten, beispielsweise das Öffnen und Verschlüsseln einer großen Anzahl von Dateien. Wenn Anti-Ransomware-Schutz ein verdächtiges Verhalten feststellt, kann sofort reagiert werden, um grobe Schäden zu verhindern.
4. Essentielle Schulungen implementieren. Viele Attacken beginnen mit einer gezielten Phishing-E-Mail, die keine Malware enthält, sondern mithilfe von Social Engineering versucht, den Benutzer zum Klicken auf einen manipulierten Link zu verleiten. Die Aufklärung der Benutzer ist daher einer der wichtigsten Bestandteile des Schutzes gegen Ransomware-Angriffe.
5. Ransomware-Angriffe beginnen nicht mit Ransomware, daher sollte Schadsoftware im Allgemeinen im Blick behalten werden. Bot-Netze wie Trickbot und Dridex (und ehemals Emotet als größter Vertreter) infiltrieren Organisationen und schaffen die Voraussetzungen für einen anschließenden Ransomware-Angriff.
6. Backups und Archivieren von Daten sind unerlässlich. Wenn etwas schief geht, sollten Daten einfach und schnell wiederherstellbar sein. Es ist wichtig, konsequent Backups zu erstellen, auch auf den Geräten der Mitarbeiter. Führungskräfte müssen sich dabei entweder darauf verlassen können, dass die Angestellten selbst daran denken, das Backup einzuschalten, oder sollten es automatisiert laufen lassen.
7. Zugriff nur auf notwendige Informationen und Segmente des Netzwerks beschränken. Wenn die Auswirkung eines erfolgreichen Angriffs minimiert werden soll, dann ist es wichtig, dass Benutzer nur auf die Dateien, Programme und Bereiche des Netzwerks zugreifen können, die sie unbedingt für ihre Arbeit benötigen, während alles andere unsichtbar bleibt – dies ist das Konzept von Zero Trust, also „Kein Vertrauen“. Zusätzlich senkt eine Mikro-Segmentierung des Netzwerks das Risiko einer unkontrollierten Verbreitung von Ransomware im Netzwerk, weil letzteres in kleine Teile getrennt wird, an deren Grenzen der Datenverkehr scharf bewacht wird.

Jede Zahlung motiviert die Hacker

Sollen Führungskräfte die Lösegeldforderung nun bezahlen? Die Antwort ist nicht so einfach, wie oft dargestellt. Zwar liegen die Beträge manchmal im Bereich von Hunderttausenden oder Millionen von Euro, doch können Kosten durch Ausfälle kritischer Systeme diese Beträge schnell übersteigen. Es ist jedoch zu bedenken, dass sogar eine Zahlung nicht zwangsweise bedeutet, dass die Daten oder auch nur ein Teil davon entschlüsselt werden – man begibt sich in die Hand der Erpresser. Es sind Fälle bekannt, wobei Angreifer Fehler in die Kodierung geschmuggelt haben, sodass sie selbst die Daten nicht wiederherstellen konnten – geschweige denn die Unternehmer.

Freilich müssen die Führungskräfte an die Arbeitsplätze und die Produktion denken, doch andererseits motiviert jede Zahlung die Hacker zu weiteren Attacken und lockt Trittbrettfahrer an, was wiederum die Ransomware-Welle anwachsen lässt. Diese Zwickmühle lässt sich am besten vermeiden, wenn ein Unternehmen sich auf die Abwehr der Ransomware, sowie den Umgang mit einem erfolgten Angriff, bestmöglich vorbereitet.

Quellen und Referenzen:

[1] https://www.nomoreransom.org/de/index.html