Ransomware: Nach der Welle ist vor der Welle
Allen Anschein nach ebbt die Ransomware-Welle allmählich ab. Während immer noch eine Fülle von Erpresser-Software durch das Web wuchert, ist ihre Zahl im Vergleich zum Vorjahr gesunken. Dieser Rückgang ist nicht zuletzt dem gestiegenen Einsatz von Security-Lösungen zu verdanken, die Erpressungsversuche per Software eindämmen. Aber Zeit, sich auf dem erreichten Sicherheitslevel auszuruhen, bleibt nicht, denn die nächste Welle an Lösegeldforderungen läuft bereits wieder auf.
Für Cyberkriminelle war 2016, nicht zuletzt durch Ransomware, besonders erfolgreich. Die Erpressung von Firmen über Schadprogramme hat sich in diesem Zeitraum zu den Top-3 Bedrohungsszenarien für die mittelständische Wirtschaft gemausert[1]. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind im vergangenen Jahr mehr als ein Drittel aller Unternehmen hierzulande in wenig erfreuliche Kontakte mit einem der gut 200 Locky-Ableger gekommen[2]. Die Angreifer dieser ersten Welle gingen allesamt nach dem gleichen Schema vor: Ransomware infiziert ein IT-System, verschlüsselt Nutzerdaten und nimmt sie als Geisel. Gegen Lösegeld erhält das Unternehmen einen Freischalt-Code. Mittlerweile gibt es Lösungen, um den Schlüssel selbst zu generieren, ohne zu bezahlen. Deren Entschlüsselungsverfahren haben jedoch zwei generelle Nachteile: Der Vorgang ist ebenso langwierig wie die Anzahl der möglichen Kombinationen. Zudem hat sich gezeigt, dass die Lebenserwartung von Ransomware proportional zur Komplexität ihres Verschlüsselungscodes ist.
Ermittlungserfolge schwächt die Szene
Allerdings trifft die Erpresserszene auch auf wesentlich professionellere Polizeibehörden. So konnte eine Ermittlungseinheit des FBI im Dezember 2016 das Malware-Netz 'The Avalanches' ausheben, was zu einer Reduzierung der im Web zirkulierenden Ransomware führte. Solche Erfolge dürfen allerdings nicht davon ablenken, dass die zentralen Schutzmaßnahmen von Unternehmensseite selbst geleistet werden müssen.
Nicht zuletzt aus diesem Grund fordert das US-CERT und andere Sicherheitsbehörden Unternehmen auf, einen Minimalschutz zu implementieren. Darin enthalten sind Maßnahmen wie:
- Inventarisierung von autorisierten und nicht-autorisierten Endgeräten und Software
- Sichere Konfigurationen
- Kontrolle von Administrationsrechten
- Patchen und ständige Analyse von Schwachstellen
Doch die Realität sieht anders aus. „Die Sicherheitspraxis in vielen Firmen ist, trotz der Negativerfahrungen mit Ransomware, heute alles andere als optimal“, weiß Bernhard Steiner, Director PreSales EMEA Central von Ivanti. „Unternehmen kümmern sich noch zu wenig um ein aussagekräftiges Asset Management. Das heißt, es fehlt im Ernstfall die ‚single source of truth’. Änderungen der IT-Landschaft werden selten auditiert und die Reaktion der IT bei Angriffen oder Vorfällen ist zu träge.“ Insgesamt, so die Einschätzung des Sicherheitsexperten, haben Security-Aspekte im laufenden IT-Betrieb eine zu geringe Priorität. „Eine der zentralen Schwachstellen in deutschen Unternehmen ist die bewusste Trennung von IT-Sicherheit und IT-Betrieb. Erst eine Einbettung von Sicherheitsaspekten in den laufenden Betrieb ermöglicht agile Antworten im Angriffsfall. Hier müssen Teams auf beiden Seiten lernen, sich zu verzahnen und kontinuierlich auszutauschen.“
Entdecken, beantworten, verstehen, schützen
Die Komplexität aktueller Angriffsszenarien erfordert von IT und Security vor allem Zusammenarbeit. Ein Sicherheitskonzept, dass kontinuierlich helfen soll, Angriffe zu entdecken, zu beantworten, zu verstehen und sich vor ihnen zu schützen hat den Charakter eines Schichtenmodells. In diesem ist Sicherheit immer integraler Teil jedes Einzelprozesses: Angefangen vom Patchen, über die Geräteverwaltung, Rechtevergabe, Anwendungskontrolle bis hin zum Endpoint-, Service- und Asset-Management. Unterstützende Maßnahmen umfassen beispielsweise den Aufbau einer soliden Datenbasis zu IT-Beständen und sichere Standard-Images, die im Ernstfall aufgespielt werden können. Zugleich ist eine Beteiligung des Security-Teams bereits in der Planung neuer IT-Systeme unbedingt erforderlich.
Dieses Vorgehen ist selten einfach aber häufig aufwändig. Allerdings lohnt es sich mit Blick auf die nächsten Bedrohungen: Heute treten neue Formen von Malware auf den Plan – deutlich aggressiver und ausgefeilter. Aktuell verbreitet sich mit Leakware und Doxware eine neue Generation von Erpresser-Software. Diese bezieht den Inhalt von Dokumenten in die Lösegeldforderung mit ein. Der Ansatz besteht darin, sensible Dokumente zu stehlen und zu drohen, die Informationen an Kunden oder Konkurrenten weiterzuleiten, sollte kein Lösegeld bezahlt werden. Diese Variante von Ransomware macht Unternehmen deutlich erpressbarer und erschwert zugleich die Arbeit der Ermittlungsbehörden.
Die erste Ransomware-Welle mag vielleicht abgeebbt sein – die Aufarbeitung in deutschen IT-Abteilungen wird allerdings noch Zeit beanspruchen. Zeit, die in diesem Fall kostbar ist, denn die nächste Welle rollt schon heran!
5 Tipps von Ivanti, bevor Software Sie erpresst:
- Bringen Sie Ihre Security- und IT-Operations-Teams zusammen. Durch die Integration von Sicherheit in den laufenden IT-Betrieb verringern Sie die Zahl der Angriffspunkte.
- Betten Sie Ihre Endpoint-Security in den laufenden Betrieb ein. Denn nur ein gut gemanagter Nutzer ist auch ein sicherer Nutzer.
- Lösen Sie sich von der Vorstellung, dass punktuelle Security-Lösungen ausreichen. Erst eine verzahnte Sicherheitslandschaft auf allen Ebenen schirmt ein Unternehmen ausreichend ab.
- Berücksichtigen Sie Security im Rahmen von Service und Asset Management und stellen Sie Sicherheit somit auf eine valide Datenbasis.
- Kümmern Sie sich als Firma frühzeitig um die automatisierte Installation von Software-Updates, Kontrolle von Anwendungen und vermeiden Sie, Admin-Rechte zu vergeben. Damit lässt sich ein Großteil der Angriffe wirksam abwehren.
[1] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/IT_Security_Risks_Report_Cryptomalware_Cost.pdf
[2] https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html