Patches schließen Sicherheitslücken

Ransomware: Bloße Panikmache?

Wolfgang Kandek, CTO beim Netzwerksicherheitsanbieter Qualys, berichtet über gezielte Panikmache hinsichtlich der Ransomware-Angriffe und erläutert, wie sich Mittelständler mit regelmäßigen Patches und Updates ihrer Betriebssysteme absichern können.

  • Vor Ransomware schützen

    Generell wird Ransomware durch das Ausnutzen von Schwachstellen installiert.

  • Wolfgang Kandek, Qualys

    Wolfgang Kandek, CTO bei Qualys

ITM: Herr Kandek, wie häufig treffen Ransomware-Angriffe insbesondere mittelständische Firmen?
Wolfgang Kandek:
Deutschland ist seit Anfang des Jahres besonders stark von Ransomware-Attacken betroffen, wobei sowohl Unternehmen als auch Privatanwender gleichermaßen davon betroffen sind. Dabei liegen jedoch keine dezidierten Zahlen für mittelständische Unternehmen vor. Allerdings warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem aktuellen Bericht vor Spekulationen und Panikmache. Hier heißt es, dass Häufungen von Vorfällen in bestimmten Branchen von den Medien bereitwillig aufgegriffen, kommentiert und diskutiert werden, wobei die öffentlich verfügbare bzw. gesicherte Faktenlage in der Regel so dünn ist, dass bei der Berichterstattung oft spekuliert wird.

Im gleichen Bericht stellt das BSI aber auch einen extremen Anstieg der Angriffe fest. Gegenüber Oktober 2015 wurde im Februar 2016 Ransomware mehr als zehnmal so häufig durch Virenschutzprogramme in Deutschland detektiert. Weltweit erkennt man für denselben Zeitraum einen sechsfachen Anstieg. Organisationen in Deutschland sind damit besonders bedroht. Dies gilt natürlich auf für den Mittelstand als Rückgrat der deutschen Wirtschaft.

ITM: Über welche Einfallstore oder Sicherheitslücken infizieren sich die Nutzer in der Regel mit Erpresser-Software?
Kandek:
Normalerweise wird Ransomware über die sogenannten Exploit Kits installiert. Sie machen es Angreifern einfach, Schwachstellen auf Desktops und Laptops der Mitarbeiter auszunutzen. Typischerweise werden Schwachstellen im Internet Explorer und im Plugin Adobe Flash ausgenutzt. Die meisten der Schwachstellen sind bekannt, aber in den letzten zwölf Monaten haben wir zwei Angriffe über sogenannte Zero-Day-Schwachstellen gesehen. Solche Schwachstellen können zum Zeitpunkt des Angriffs überhaupt nicht geschlossen werden, da zum Beispiel noch kein Patch vorhanden ist.

ITM: Wie sollten Nutzer bzw. Firmenverantwortliche reagieren, wenn sie Opfer von Erpresser-Software werden?
Kandek:
Firmenverantwortliche müssen für ihr Unternehmen einstehen und genau abwägen. Wie wichtig sind die Daten, die verschlüsselt wurden, für das tägliche Geschäft? Kann die Maschine einfach neu aufgesetzt werden und von einem Backup wiederhergestellt werden? Wurden Netzwerklaufwerke verschlüsselt? Unter Umständen ist es am einfachsten, das Lösegeld zu bezahlen, obwohl das sicher auch einige technische Probleme stellt: Kennt man sich mit Bitcoin aus, wenn nicht, wie lange dauert es, bis man Bitcoin kaufen kann?

ITM: Für Privatnutzer stellen sich die gleichen Fragen: Was sind einem die Daten wert, wie schnell braucht man wieder Zugriff.
Kandek:
Man sollte hierbei erwähnen, dass sich Polizei und BSI immer gegen eine Zahlung aussprechen, da dies die Angreifer in ihren kriminellen Handel unterstütze. Allerdings hat der Bürgermeister einer Kommune in Unterfranken nach einem erfolgreichen Angriff genau diesen Hinweis bewusst ignoriert, um den Betrieb der Bürgerdienste wiederherzustellen. Eine Abwägung ist oft schwierig.

ITM: Welche Höhe betragen die Lösegelder in der Regel?
Kandek:
Typischerweise ein Bitcoin, dass heißt ca. 350 Euro pro infizierte Maschine.

ITM: Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
Kandek:
In der Regel wird der Schlüssel für die Dateien zugeschickt und die Ransomware entschlüsselt die Daten dann wieder. Sobald der Prozess fertig ist, sollten die Daten dann extern gesichert werden und die Maschine neu aufgesetzt werden. Man weiß ja nicht, welche Malware weiterhin auf dem jeweiligen Rechner installiert bleibt.

ITM: Wenn nicht?
Kandek:
Die Daten bleiben verschlüsselt und damit unzugänglich. Neuere Versionen von Ransomware fangen mittlerweile auch an, Daten zu löschen, wenn gewisse Zeitspannen erreicht werden z.B. nach sieben Tagen. Dies soll dem Nutzer zeigen, dass man es ernst meint. Manchmal gibt Ransomware auch positive Hilfen, beispielsweise kann man sich eine Datei entschlüsseln lassen, um zum Prozess und zur Ransomware mehr Vertrauen zu fassen.

Wir sind aber noch am Anfang in der Ransomware-Welle. Das heißt, wir werden noch viele Fälle mit neuen "Marketing"-Methoden sehen, sowohl negativ als auch positiv.

ITM: Inwieweit sollten Strafverfolgungsbehörden eingeschaltet werden?
Kandek:
Grundsätzlich besteht die Möglichkeit, Anzeige zu erstatten. Es ist aber fraglich, ob die Behörden helfen können, unter Umständen kann sich die Wiederherstellung sogar erheblich verzögern.

ITM: Wie können sich Firmen vor Angriffen durch Erpresser-Software schützen?
Kandek:
Generell wird Ransomware durch das Ausnutzen von Schwachstellen installiert, daher ist die einfachste Vorkehrungsmaßnahme, alle Systeme immer auf dem letzten Stand zu halten. Bei Microsoft-Betriebssystemen heißt das die Nutzung von Windows 7, 8.1 oder 10, Internet Explorer 11 oder Edge. Zusätzlich sollte man dem monatlichen „Patch Tuesday“ folgen, möglichst mit maximal einer Woche Verzögerung. Die Software Adobe Flash sollte man wenn möglich von allen Rechnern entfernen, ansonsten genauso wie Windows behandeln, d.h. Updates schnellstmöglich einspielen.

Mac-OS-X-Nutzer sind relativ sicher, es gibt kaum Ransomware die sich auf dieses System spezialisiert hat. Neuere, reine Cloud-Architekturen, bei denen keine relevanten Daten lokal gespeichert werden, haben überdies den Vorteil, dass selbst bei einer Infektion nichts Wichtiges verschlüsselt wird und dass man leicht auf ein anderes Endgerät umschalten kann.

ITM: Wie aufwendig ist die Installation solcher Schutzmaßnahmen? Mit welchen Kosten ist dies verbunden?
Kandek:
Schnelles Patchen hat einen Anfangsaufwand, um auf die neusten Versionen von Software umzustellen, aber dann ist es relativ einfach, das aktuellste Niveau einzuhalten. Es gibt viele Firmen, die aussagen, dass sie weniger Support brauchen, nachdem sie die Umstellung durchgeführt haben. Besonders für Mittelständler ist eine einheitliche Strategie wichtig, wenn man diese einmal gefunden und implementiert hat, halten sich die weiteren Aufwände in Grenzen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok