Ransomware: Bedrohung auf neuem Niveau

Autor: Kai Grunwitz, Senior VicePresident EMEA bei NTT Security
Quelle: Professional Computing 3/2017

Mit den jüngsten Ransomware-Angriffen haben die Bedrohungen aus dem Netz eine neue Qualität erreicht: Die Angreifer verfügen nun über ein funktionierendes Geschäftsmodell. Umso wichtiger ist es, die Sicherheitsstrategien zu überarbeiten und zukunftsfähige Lösungen für die Sicherung aller Endgeräte zu implementieren.

Ransomware, eine Malware, die Unternehmen beispielsweise mit der Verschlüsselung ihrer Daten bedroht, tritt in letzter Zeit immer häufiger auf. Sie unterscheidet sich von den Computerviren und Trojanern der Vergangenheit in einem wesentlichen Punkt: Wenn es Cyber-Kriminellen früher gelungen ist, ihren Schadcode auf die Rechner oder in die Netze eines Unternehmens zu bringen, so war es für sie im Anschluss nicht einfach, daraus auch einen entsprechenden finanziellen Vorteil zu ziehen. Die Computerviren richteten Schaden an, aber ohne den Verursachern einen entsprechenden Nutzen zu bescheren – das Ziel war primär Sabotage, und damit blieb der Kreis entsprechend motivierter Angreifer immer begrenzt.

Natürlich haben Kriminelle auch in der Vergangenheit immer wieder versucht, auch finanzielle Vorteile aus ihrem Treiben zu ziehen, beispielsweise indem man mit Viren Botnetze aufbaut, umindirekt über den Versand von Spam-Mails Geld zu verdienen. Doch so «gut» die Technik gewesen sein mag, das Geschäftsmodell dieser Leute stand auf vergleichsweise schwachen Füssen.

Genau das hat sich mit Ransomware nun verändert: Jetzt gibt es ein regelrechtes Geschäftsmodell, und das macht die Sache so gefährlich. Ransomware bietet den Cyber-Angreifern dieMöglichkeit, mit relativ geringem Risiko an das Geld der Betroffenen zu kommen. Dies wurde nicht zuletzt durch anonymisierte Zahlungsmethoden wie Bitcoin ermöglicht. Da Geld bekanntlicheine starke Motivation darstellt, ist der Kreis potenzieller Angreifer hier erheblich grösser als etwa bei der Sabotage.

Ransomware-Attacken sind häufig auch deshalb so erfolgreich, weil Erpresser nicht nur grosse Unternehmen angreifen, die in der Lage sind, entsprechend grosse Summen zu zahlen. Mittlerweilehat sich hier die Logik, nach der Kleinvieh auch Mist macht, ausgebreitet. Die Erpresser verlangen von kleinen Unternehmen verhältnismässig «bescheidene» Zahlungen, so dass die Betroffenenbeispielsweise die Zahlung eines dreistelligen Betrags für das kleinere Übel halten.

Ob man sich durch diese Zahlung den Erpresser tatsächlich vom Hals schaffen kann, ob dieser also den Zugriff auf die Rechner wirklich wieder freigibt, ist allerdings fraglich. Zumeist ist das Geld weg und die verlorenen Daten bleiben verloren. Auf das Prinzip des «ehrlichen» Gangsters sollte man sich hier besser nicht verlassen. NTT Security empfiehlt daher, auf die Forderungen solcher Erpresser nicht einzugehen, auch um diesem Geschäftsmodell die Grundlage zu entziehen.

Was tun?

Angesichts der Bedrohungslage muss sich jedes Unternehmen mit Ransomware auseinandersetzen – rechtzeitig, und das heisst vor einem Angriff, konkret also: heute. Die Erfahrungen, die Sicherheitsexperten immer wieder machen müssen, zeigen, dass die technischen Massnahmen, mit denen man sich gegen Schadcode wie Ransomware schützen kann, bei Unternehmen und Behördennicht flächendeckend eingesetzt werden. Denn klassische Schutzmassnahmen wie Firewalls, Spam- und Virenschutz können fortschrittliche Schadprogramme auch gar nicht erkennen undunschädlich machen.

Bei der Implementierung geeigneter Sicherheitsmassnahmen müssen insbesondere die einzelnen Endgeräte der Mitarbeiter in das Sicherheitskonzept eingebunden werden. Da sich die herkömmlichesignaturbasierte Malware-Abwehr auf Client-Ebene als unzureichend erwiesen hat, sollten zusätzliche Massnahmen für die End-Punkt-Sicherheit ergriffen werden. Hier bieten sich folgendeMöglichkeiten an:

  • Sandboxing erlaubt es, Dateien, die man beispielsweise per E-Mail oder USB-Stick erhalten hat, in einer gekapselten Umgebung auszuführen und zu analysieren; erst nach dieser Analysewerden die Dateien zum eigentlichen Endgerät weitergeleitet.
  • Code-Analyse-Verfahren erkennen unbekannte Schadprogramme, die Bedrohungen auf CPU-Ebene identifizieren können.
  • Micro-Virtualisierung stellt einen proaktiven Malware-Schutz dar; damit lassen sich potenziell gefährliche Anwenderaktivitäten zuverlässig isolieren.
  • Einen vergleichsweise neuen Ansatz stellt das «Maschinelle Lernen» zur Verfügung; hier werden Malware-Strukturen unabhängig von Signaturen modellmässig identifiziert.

Es gibt also durchaus Verfahren, mit denen sich auch fortschrittliche Ransomware-Attacken wirksam bekämpfen lassen. Unternehmen sind keineswegs wehrlos, vorausgesetzt sie werden rechtzeitig aktiv.

Die Konzeption und Realisierung einer Sicherheitsstrategie sollte aber nicht nur technisch verstanden werden. Die Sensibilisierung der Mitarbeiter sollte immer eine hohe Priorität erhalten.Sicherheit kann nur funktionieren, wenn die Mitarbeiter wissen, worum es geht und welchen Beitrag sie dafür leisten können beziehungsweise müssen; sie müssen daher auf akute Bedrohungenhingewiesen und generell zu einem verantwortungsbewussten Umgang mit Daten angehalten werden. Da Social Engineering für viele Angriffe den Ansatzpunkt bildet – auf Basis ausgespähterindividueller Informationen von Mitarbeitern lassen sich Angriffe sehr genau vorbereiten – müssen die Mitarbeiter gerade dafür sensibilisiert werden. Auch eine solche Sensibilisierung lässt sich natürlich nicht über Nacht erreichen; daher gilt auch hier: Unternehmen müssen rechtzeitig aktiv werden. Wer erst aktiv wird, wenn die Erpressung schon ins Haus flattert, hat den entscheidenden Zeitpunkt verpasst.

Fachartikel herunterladen >