05.04.2017 Cyber-Kriminelle fordern Lösegeld

Erpressung im Web: So schützt man sich vor Ransomware

Von: Brian W. Levine

Nur ein Klick und alle Daten auf dem PC sind verschlüsselt. Die Freigabe erfolgt nur gegen die Zahlung eines Lösegelds. Das ist sogenannte Ransomware. Cyber-Kriminelle nutzen zunehmend Ransomware, um Unternehmen zu erpressen. Was kann man dagegen tun?

Cyber-Krimineller

Im heutigen Technologiezeitalter sind Cyber-Kriminelle eine traurige Realität.

Die Kosten, die durch diese Art von Angriffen verursacht werden, werden für 2016 auf insgesamt über 1 Mrd. US-Dollar geschätzt – und Marktforscher warnen davor, dass das Problem noch größer werden wird. Die Hacker werden nicht nur immer raffinierter, sondern auch immer frecher. Daher werden die heimtückischsten Computerverbrechen heute nicht mehr mithilfe von Viren oder durch den Diebstahl von Kreditkartennummern verübt, sondern in Form von Ransomware. Diese Schadprogramme können die Daten einer gesamten Organisation mit unlösbarer Verschlüsselung in Geiselhaft nehmen, während die Cyber-Kriminellen ein Lösegeld verlangen.

Allein in den vergangenen Monaten ist neue, leistungsfähigere Ransomware aufgetaucht, mit der die Kriminellen auf sensible Einrichtungen wie staatliche Krankenhäuser und öffentliche Verwaltungen abzielen. Tatsächlich haben fast 30 öffentlich-rechtliche Gesundheitsdienste in Großbritannien angegeben, dass sie in den vergangenen zwölf Monaten das Opfer von Ransomware geworden sind. Außerdem wurden 2015 30 Prozent der öffentlichen Verwaltungen in Großbritannien die Opfer von Ransomware.

Erfolg von Ransomware


Für den Erfolg von Ransomware gibt es zwei Gründe: Der erste Grund sind einfache wirtschaftliche Überlegungen. Kreditkartendaten stehlen und diese auf dem Schwarzmarkt verkaufen kann eine zeitraubende Angelegenheit sein und bringt vielleicht weniger als einen Dollar pro Karte ein. Also verwenden die Cyber-Kriminellen lieber Ransomware, mit der sie darauf warten können, dass ihre Opfer bezahlen. Dies bedeutet weniger Arbeit und mehr Gewinn.
Zweitens lässt sich Ransomware nur sehr schwer vermeiden. Ein einziger Klick in einer E-Mail oder auf einer Website genügt, damit ein ahnungsloser Mitarbeiter den Code aktiviert, der ein komplettes System verschlüsselt und eine Lösegeldforderung auslöst.

Doch stehen den Unternehmen heute sehr wirkungsvolle Werkzeuge zur Verfügung, um den Schaden zu minimieren und die normalen Betriebsabläufe innerhalb von Minuten oder Stunden wiederherzustellen – vorausgesetzt, es wurden geeignete Vorkehrungen getroffen. Das wichtigste Element für die Wiederherstellung ist der Echtzeitschutz der Daten, d.h. Sicherungskopien aller Dateien und Daten, die getrennt von den lokalen Servern aufbewahrt werden. Damit dies funktioniert, muss der Vorgang automatisch ablaufen. Mit solchen Backups kann ein Unternehmen den Zustand vor einer Ransomware-Attacke wiederherstellen und alle seine Dateien retten – auch wenn sich die Ransomware über das lokale Netzwerk und Server ausgebreitet hat. Hierzu müssen die zur Datensicherung eingesetzten Programme oder Services in der Lage sein, alle Verschlüsselungsdateien auszuschließen, die bekanntermaßen mit Ransomware in Verbindung stehen.

Nicht zuletzt müssen die Unternehmen eine effektive Aufbewahrungspolitik betreiben, die festlegt, ob gelöschte Dateien dauerhaft oder für eine bestimmte Zeitdauer aufbewahrt werden sollen. Mit einer festgelegten Aufbewahrungspolitik können die Unternehmen die Originaldateien nach dem Ransomware-Angriff wieder abrufen. Dies ist ein fester Bestandteil jedes Wiederherstellungsplans, denn hiermit lassen sich kostspielige Datenrettungsverfahren vermeiden und die Unterbrechungen der Betriebsabläufe minimieren.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Im heutigen Technologiezeitalter sind Cyber-Kriminelle eine traurige Realität. Unternehmen sollten sich daher nicht nur fragen, ob sie angegriffen werden, sondern wann dies geschehen wird, und alle notwendigen Vorkehrungen treffen. Durch Wachsamkeit und die richtige Backup-Strategie können Unternehmen den Schaden durch solche Angriffe minimieren und die Spielregeln für diese neueste Generation von Cyber-Attacken zu ihren Gunsten verändern.


Schutz vor Ransomware


Spezielle Strategien und Taktiken für IT-Leiter und Administratoren:

Die Verantwortlichen sollten das Risiko quantifizieren und relevante Personen über ihren Plan zur Behandlung des Risikos informieren.

  •     Wie wirkt sich das Risiko aus? Was passiert, wenn alle laufenden Kundenverträge in der letzten Woche des Quartals verschlüsselt und nicht mehr zugänglich wären? Welches Ausmaß und welche Auswirkungen hätte der potentielle Umsatzausfall?
  •     Man stelle sich ein Krankenhaus vor, das geplante Operationen und Pflegemaßnahmen nicht durchführen kann, weil alle elektronischen Patientenakten gesperrt sind.
  •     Nachdem das Risiko quantifiziert und ein Plan aufgestellt worden ist, hat der IT-Leiter eine starke Position, um seine Empfehlung auszusprechen und die nötige Förderung zu erhalten.

Der Vorsorgeplan sollte die folgenden Maßnahmen umfassen:

  •     Sicherstellung automatischer Datensicherungen für wichtige Geschäftsdokumente
    – Im Gegensatz zu anderen Arten von Computerviren, die einen Server oder Rechner komplett lahmlegen können, ist Krypto-Ransomware so ausgelegt, dass sie speziell wichtige Geschäftsdokumente angreift und den Rest des Systems unbehelligt lässt.
    – Bei herkömmlichen Backup-Tools besteht die Gefahr, dass sie wichtige Updates und Dateien außer Acht lassen, da sie normalerweise nur zu bestimmten Zeiten ausgeführt werden. File-Sync- und Share-Systeme wie Syncplicity sichern automatisch jede Bearbeitung in jedem Dokument in Echtzeit. Wenn Dokumente bearbeitet werden, wird eine neue Ver­sion gesichert und an einem dezentralen Standort synchronisiert, sodass die Benutzer jederzeit über eine automatische Datensicherung ihrer aktuellsten Änderungen verfügen.
  •     Nutzung eines Systems, das die Produktivität der Endbenutzer nicht einschränkt, sodass die Benutzer ohne weitere Maßnahmen wie gewohnt weiterarbeiten können.
    – Ein File-Sync-Tool kann jeden Ordner und jede Datei an jedem Ort verwalten und es besteht keine Notwendigkeit für die Benutzer, wichtige Dokumente in einen speziellen Ordner zu legen.
    – Administratoren sollten das System so konfigurieren, dass das System Dateien an den am häufigsten abgefragten Orten automatisch synchronisiert.
  •     Sicherung von Dateien an einem anderen Ort.
    – Unternehmen in regulierten Branchen können daran gehindert werden, sensible Daten in einem „öffentlichen“ Cloud-File-Sync-Service aufzubewahren.
    – Entsprechende Tools ermöglichen Administratoren die Festlegung sicherer dezentraler Repositories in privaten Clouds oder Rechenzentren vor Ort.
  •     Festlegen geeigneter Datenaufbewahrungsverfahren im Unternehmen
    – Natürlich haben Datensicherungen keinen Sinn, wenn die wiederherzustellenden wichtigen Inhalte gelöscht wurden. Mit einer detaillierten Aufbewahrungspolitik kann man festlegen, wie lange gelöschte Dateien und längere Zeit nicht verwendete Dateien aufbewahrt werden sollen.
    – Die meisten Krypto-Viren löschen den unverschlüsselten Content und ersetzen ihn durch eine neue, verschlüsselte Datei mit einem anderen Dateinamen. Daher fällt der höchste Zeitaufwand für die Wiederherstellung gelöschter Dateien an.  
  •     Blacklisting bekannter schädlicher Dateitype-Erweiterungen wie „.crypt“, „.zepto“, usw.
    – Um eine erneute Infektion des wiederhergestellten Benutzer-Accounts nach der Wiederherstellung zu vermeiden, muss durch Blacklisting dieser Dateitypen sichergestellt werden, dass sie nicht in die Datensicherung aufgenommen oder über das Netzwerk weitergegeben werden.
  •     Schulung des Sicherheitsbewusstseins
    – Dies ist eine wichtige Komponente jedes Sicherheits-Management-Programms und die Verantwortlichen sollten sicherstellen, dass ihre Schulung relevante Beispiele für die geschäftlichen Funktionen behandelt. Welche Arten von Phishing-Angriffen werden bei ihren Benutzern im Finanzwesen, in der Personalabteilung und im Management auftreten?
    – Die Schulung muss durch Erinnerungen und Stichproben während des gesamten Jahres ergänzt werden.
  •     Zusätzliche Kontrollen der Informationssicherheit müssen ebenfalls Teil des Planes sein, z. B. um sicherzustellen, dass alle Systeme durch häufige Patches auf den neuesten Stand gebracht werden, dass der Administratorzugriff auf Endbenutzergeräte blockiert wird und dass laufend Virenschutz-Software und Software zur Abwehr von Eindringlingen ausgeführt wird.

Quelle: Syncplicity


Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH