11.05.2017 Nach der Welle ist vor der Welle

Ransomware: Nächste Welle läuft an

Von: Matthias Thews

Allem Anschein nach ebbt die Ransomware-Welle allmählich ab. Obwohl noch immer eine Fülle von Erpresser-Software durch das Web wuchert, ist ihre Zahl im Vergleich zum Vorjahr gesunken. Dieser Rückgang ist dem gestiegenen Einsatz von Lösungen zu verdanken, die Erpressungsversuche per Software eindämmen. Aber Zeit, sich auf dem erreichten Sicherheitsniveau auszuruhen, bleibt nicht, denn die nächste Welle an Lösegeldforderungen läuft bereits wieder an.

Nach der Welle ist vor der Welle

Nach der Welle ist vor der Welle

Für Cyber-Kriminelle war 2016, nicht zuletzt durch Ransomware, besonders erfolgreich. Die Erpressung von Firmen über Schadprogramme hat sich in diesem Zeitraum zu den Top-3 Bedrohungsszenarien für die mittelständische Wirtschaft gemausert. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind im vergangenen Jahr mehr als ein Drittel aller Unternehmen hierzulande in wenig erfreuliche Kontakte mit einem der gut 200 Locky-Ableger gekommen.

Die Angreifer dieser ersten Welle gingen allesamt nach dem gleichen Schema vor: Ransomware infiziert ein IT-System, verschlüsselt Nutzerdaten und nimmt sie als Geisel. Gegen Lösegeld erhält das Unternehmen einen Freischalt-Code. Mittlerweile gibt es Lösungen, um den Schlüssel selbst zu generieren, ohne zu bezahlen. Deren Entschlüsselungsverfahren haben jedoch zwei generelle Nachteile: Der Vorgang ist ebenso langwierig wie die Anzahl der möglichen Kombinationen. Zudem hat sich gezeigt, dass die Lebenserwartung von Ransomware proportional zur Komplexität ihres Verschlüsselungscodes ist.

Ermittlungserfolge schwächen die Szene

Allerdings trifft die Erpresserszene auch auf wesentlich professionellere Polizeibehörden. So konnte eine Ermittlungseinheit des FBI im Dezember 2016 das Malware-Netz „The Avalanches“ ausheben, was zu einer Reduzierung der im Web zirkulierenden Ransomware führte. Solche Erfolge dürfen allerdings nicht davon ablenken, dass die zentralen Schutzmaßnahmen von Unternehmensseite selbst geleistet werden müssen.

Nicht zuletzt aus diesem Grund fordert das US-Cert und andere Sicherheitsbehörden Unternehmen auf, einen Minimalschutz zu implementieren. Darin enthalten sind Maßnahmen wie:

  • Inventarisierung von autorisierten und nicht-autorisierten Endgeräten und Software
  • Sichere Konfigurationen
  • Kontrolle von Administrationsrechten
  • Patchen und ständige Analyse von Schwachstellen


Doch die Realität sieht anders aus. „Die Sicherheitspraxis in vielen Firmen ist, trotz der Negativerfahrungen mit Ransomware, heute alles andere als optimal“, weiß Bernhard Steiner, Director Presales EMEA Central von Ivanti. „Unternehmen kümmern sich noch zu wenig um ein aussagekräftiges Asset-Management. Das heißt, es fehlt im Ernstfall die ‚Single source of truth’. Änderungen der IT-Landschaft werden selten auditiert und die Reaktion der IT bei Angriffen oder Vorfällen ist zu träge.“

Insgesamt, so die Einschätzung des Experten, haben Security-Aspekte im laufenden IT-Betrieb eine zu geringe Priorität. „Eine der zentralen Schwachstellen in deutschen Unternehmen ist die bewusste Trennung von IT-Sicherheit und IT-Betrieb. Erst eine Einbettung von Sicherheitsaspekten in den laufenden Betrieb ermöglicht agile Antworten im Angriffsfall. Hier müssen Teams auf beiden Seiten lernen, sich zu verzahnen und kontinuierlich auszutauschen.“

Entdecken, beantworten, verstehen, schützen

Die Komplexität aktueller Angriffsszenarien erfordert von IT und den Sicherheitsverantwortlichen vor allem Zusammenarbeit. Ein Konzept, das kontinuierlich helfen soll, Angriffe zu entdecken, zu beantworten, zu verstehen und sich vor ihnen zu schützen hat den Charakter eines Schichtenmodells. In diesem ist Sicherheit immer integraler Teil jedes Einzelprozesses: Angefangen vom Patchen, über die Geräteverwaltung, Rechtevergabe, Anwendungskontrolle bis hin zum Endpoint-, Service- und Asset-Management. Unterstützende Maßnahmen umfassen beispielsweise den Aufbau einer soliden Datenbasis zu IT-Beständen und sichere Standard-Images, die im Ernstfall aufgespielt werden können. Zugleich ist eine Beteiligung des Sicherheitsteams bereits in der Planung neuer IT-Systeme unbedingt erforderlich.

Dieses Vorgehen ist selten einfach aber häufig aufwendig. Allerdings lohnt es sich mit Blick auf die nächsten Bedrohungen: Heute treten neue Formen von Malware auf den Plan – deutlich aggressiver und ausgefeilter. Aktuell verbreitet sich mit Leakware und Doxware eine neue Generation von Erpresser-Software. Diese bezieht den Inhalt von Dokumenten in die Lösegeldforderung mit ein. Der Ansatz besteht darin, sensible Dokumente zu stehlen und zu drohen, die Informationen an Kunden oder Konkurrenten weiterzuleiten, sollte kein Lösegeld bezahlt werden. Diese Variante von Ransomware macht Unternehmen deutlich erpressbarer und erschwert zugleich die Arbeit der Ermittlungsbehörden.

Bildquelle:

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH