(Keine) Angst vor Ransomware?

Definition und Überblick

Ransomware ist eine Schadsoftware mit dem Ziel, das Opfer zu erpressen (ransom = Erpressung, Lösegeld). Der Angreifer verschlüsselt dabei beispielsweise wichtige Dateien oder verhindert den Zugriff auf Systeme. Diese sind nur nach der Zahlung eines teilweise recht hohen Betrages wieder im Zugriff.

Das BSI schätzt die Bedrohungslage bezüglich Ransomware im Lagebericht aus dem Jahr 2022 als sehr hoch ein. Es gibt eine Vielzahl von Ransomware-Gruppen, diese sind teilweise sehr professionell organisiert. Im Jahr 2022 wurden interne Informationen der Gruppe „Conti“ veröffentlicht, die nahelegen das diese Gruppe wie ein Start-Up mit verschiedenen Rollen wie beispielsweise Hauptverantwortlichen, Technikern oder Personalverantwortlichen aufgebaut ist. Die „Mitarbeiter“ wurden dabei auf verschiedene Art bezahlt: Personalverantwortliche bekamen ein Fix-„Gehalt“, während Techniker abhängig vom Erfolg einer Kampagne bezahlt wurden. Einige Ransomware-Gruppen bieten ihre Möglichkeiten auch als „Dienstleistung“ an, man spricht hier von einem „Cybercrime-as-a-Service“-Modell.

Formen von Ransomware

Es gibt verschiedene Ausprägungen von Ransomware. So kopieren sich Angreifer teilweise Dateien, bevor sie sie verschlüsseln. Damit können sie die Wichtigkeit der Daten oder die Finanzkraft eines Unternehmens analysieren und das Lösegeld davon abhängig machen. Zudem erfolgt in diesem Fall häufig eine zweite Erpressung, indem nach der Zahlung seitens des Opfers und der Entschlüsselung der Daten damit gedroht wird, die vorher gesammelten Daten zu veröffentlichen („Double Extortion“). Möglicherweise werden zudem Dritte identifiziert, die ebenfalls von den Daten oder dem Zugriff darauf abhängig sind. Hier kann in der Folge eine zusätzliche Erpressung stattfinden („Multiple Extortion“).

Angriffspunkte für Attacken

Es gibt eine Vielzahl von Angriffsvektoren und Einstiegspunkten für Ransomware-Gruppen. Die wohl verbreitetsten sind das Versenden von bösartigen Mails (Phishing) sowie die massenhafte Suche nach Schwachstellen auf öffentlich erreichbaren Systemen. Beim Phishing wird eine E-Mail versendet, die den Empfänger dazu verleiten soll, eine Aktion durchzuführen welche einen Schaden verursacht. Dies kann unter anderem das Öffnen eines bösartigen Anhangs oder das Folgen eines Links sein. Folgt der Empfänger dem Link, wird er auf eine Website geleitet, auf der die Anmeldeinformationen eingegeben werden sollen. Die Website imitiert dabei vertrauenswürdige Webseiten wie die Microsoft 365-Login-Seite. Hat ein Angreifer auf diese Art Kenntnis über Anmeldeinformationen erlangt, kann er diese möglicherweise nutzen, um sich selbst auf öffentlich erreichbaren Systemen anzumelden und diesen Zugriff als Einstiegspunkt nutzen.

Nach der Veröffentlichung von kritischen Schwachstellen ist bei öffentlich erreichbaren Systemen häufig eine willkürliche Suche nach diesen zu erkennen. Wird ein System gefunden, bei dem die Schwachstelle nicht geschlossen wurde, kann der Angreifer verschiedene Aktionen wie beispielsweise das Hinterlassen einer Backdoor als Einstiegspunkt oder das direkte Platzieren einer Ransomware durchführen. Die möglichen Aktionen sind dabei abhängig von der Schwachstelle.

Bekannte Fälle

Es ist eine Vielzahl von Unternehmen und öffentlichen Einrichtungen betroffen. Aktuelle Beispiele aus dem Jahr 2023 sind:

• Der Kassensystemhersteller NCR
• Die IT-Dienstleister Materna und Bitmarck - Hier sind teilweise auch Kunden des Dienstleisters betroffen. Beispielsweise musste in der Folge das Onlineportal von Vodafone Callya abgeschaltet werden
• Die Zeitungsverlagsgruppe Neue Zürcher Zeitung mit allen angeschlossenen Verlagshäusern
• Die Krankenkasse BIG direkt
• Der Hardware-Hersteller MSI
• Ein Partnerunternehmen von SpaceX mit Zugang zu streng vertraulichen Konstruktionsplänen

Dies sind nur einige prominente aktuelle Fälle. Es gibt viele weitere veröffentlichte Fälle und auch weiterhin einige Fälle, die aus verschiedenen Gründen nicht publik werden.

Auswirkungen

Die Auswirkungen für Unternehmen können im Allgemeinen sehr vielfältig und teilweise existenzbedrohend sein. So musste der Fahrrad-Hersteller Prophete in Folge eines Ransomware-Angriffs Insolvenz anmelden. Grund für die enormen Auswirkungen auf das Business ist, dass durch einen erfolgreichen Angriff möglicherweise die gesamte IT gestört ist. So kann es beispielsweise einen Stillstand der Produktion geben und ERP-Systeme sind ebenfalls nicht betreibbar.

In einigen Fällen lassen sich Kernsysteme durch ein Backup schnell wiederherstellen. Wenn sich ein Angreifer jedoch lange genug in der Umgebung befunden hat, sind diese Backups möglicherweise ebenfalls kompromittiert oder verschlüsselt. Es reicht auch bereits aus, wenn ein System weiterhin kompromittiert ist, da ein Angriff von diesem System erneut durchgeführt werden kann. Daher muss die IT-Umgebung in den meisten Fällen komplett neu aufgebaut werden, um sicherzustellen das kein Angreifer Zugang zur Umgebung hat.

Solche Auswirkungen auf ein Unternehmen können eine deutliche Beeinflussung des Kerngeschäfts bedeuten, beispielsweise durch eine Unterbrechung der Produktion. Während kurzfristige Unterbrechungen häufig kompensiert werden können, sind längere Unterbrechungen je nach tatsächlicher Dauer teilweise existenzbedrohend.

Ebenso kann der Abfluss der Daten zu vielfältigen Problemen führen. Hier einige Beispiele:

• Werden Verträge mit Lieferanten oder Kunden veröffentlicht, könnte ein Vertragsbruch vorliegen. Vertrauliche Konditionen und Abgabemengen werden öffentlich bekannt.
• Sind Personalinformationen betroffen, ist der Datenschutz betroffen. Je nach Umfang und Art der Informationen kann dies zu empfindlichen Strafen führen. Zudem kann eine Veröffentlichung der Informationen dazu führen, dass jede einzelne betroffene Person weitere negative Auswirkungen zu spüren bekommt (z.B. durch Veröffentlichung der privaten Kontoinformationen).
• Werden vertrauliche oder streng vertrauliche Informationen (z.B. Konstruktionspläne, Rezepturen) veröffentlicht, ermöglicht dies Mitbewerbern, diese Informationen zu nutzen. Ein Wettbewerbsvorteil wäre verloren, es drohen langfristige Auswirkungen auf das gesamte Unternehmen.

Nicht zu vernachlässigen ist ein auch möglicher Reputationsverlust. So könnte ein Vertrauensverlust sowohl auf Seite der Kunden (z.B. durch nicht erfolgte oder unzuverlässige Lieferungen) als auch auf Seite der Lieferanten (z.B. durch Offenlegung von Konditionen oder personenbezogener Daten des Lieferanten) stattfinden. Eine solcher Vertrauensverlust wird mit großer Wahrscheinlichkeit ebenfalls zu langfristigen Auswirkungen auf das Unternehmen führen und ist nur mit großen Aufwänden abfangbar, beispielsweise durch gezielte Marketing- oder Rabattaktionen oder finanzielle Zugeständnisse für Lieferanten.

Vorbereitungen auf Ransomware-Angriffe

Ein Ransomware-Angriff kann auch durch die besten Maßnahmen nicht ausgeschlossen werden. Dennoch gibt es verschiedene Möglichkeiten, das Risiko eines solchen Angriffs zu minimieren und zusätzlich Vorbereitungen zu treffen, um die Auswirkungen eines Angriffs zu mindern.

Die Hauptaufgabe hierzu hat die IT. Es sollte ein mehrstufiger Plan zum Schutz vor Ransomware ausgearbeitet werden, der auch die verschiedenen bereits getroffenen Maßnahmen berücksichtigt. Hierzu kann es notwendig sein, zuerst alle Systeme und Daten zu identifizieren die für das Unternehmen und deren Kernaufgaben kritisch sind. Es hat sich dabei bewährt, jeden Unternehmenswert auf Basis der bekannten Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit nach einem einfachen Punktesystem zu bewerten. Je höher die Punkte eines Wertes sind, desto wichtiger ist dieser für das Unternehmen. Dabei kommt es häufig vor, dass nur ein Schutzziel z.B. eines Systems als kritisch bewertet wurde – ein solches System gilt in diesem Fall dennoch als kritisch.

Im nächsten Schritt können verschiedene technische und organisatorische Maßnahmen zum Schutz getroffen werden. Hierbei wird ein Basisschutz („Baseline“) definiert, der immer gilt. Beispiele hierfür sind:

• die Einführung einer Mehr-Faktor-Authentifizierung für Accounts,
• das Blockieren von potenziell bösartigen E-Mail-Anhängen,
• der Schutz des Netzwerkes durch Segmentierung und Einsatz von Firewalls mit striktem Regelwerk für jedes Segment,
• der Einsatz einer Anti-Virus-Lösung auf Systemebene sowie einer unabhängigen AV-Lösung auf Netzwerkebene,
• die Etablierung oder Anpassung von Freigabeprozessen, so dass niemals sicherheitsrelevante Freigaben nur durch eine Person gegeben werden können (Vier-Augen-Prinzip mit unabhängigen Teams),
• Backups mit zu definierender Vorhaltzeit und halbjährliche Wiederherstellungstests,
• die Einführung von Schwachstellen-Scans und Penetration Tests,
• die Definition von Zielzeiten für das Patching, z.B. bei einer kritischen Schwachstelle maximal 24 Stunden nach Veröffentlichung eines Patches,
• die Systemhärtung von Assets, z.B. mit CIS Benchmarks oder
• eine Protokollierung, Auswertung und Korrelierung von sicherheitsrelevanten Ereignissen (SIEM).

Für kritische Systeme kann ergänzend ein erweiterter Schutz definiert werden. Mögliche Maßnahmen hierfür sind beispielsweise:

• die Verschärfung der AV-Policy (gegebenenfalls zu Lasten der System-Performance),
•  eine weitere Segmentierung von kritischen Systemen, möglicherweise Microsegmentierung oder der Aufbau eines Zero Trust-Netzwerkes,
• der Aufbau einer P-A-P Struktur für für Zugriffe auf Netzbereiche, die kritische Systeme beinhalten,
• längere Vorhaltzeiten für Backups und das Auslagern von Backup-Medien (Offline-Backups),
• die Einführung eines sehr restriktiven Berechtigungsmanagements, möglicherweise mit dedizierten Accounts, welche ausschließlich für den direkten Zugriff auf kritische Systeme genutzt werden oder
• die Durchführung von IOC-Scans (Indicators of compromise).

Diese Aufzählung ist nur ein kleiner Teil möglicher Maßnahmen. Denkbar ist möglicherweise auch eine Angriffssimulation zum Testen der existierenden Maßnahmen. Das Unternehmen sollte jedoch verschiedene mögliche Maßnahmen im Detail prüfen ausarbeiten und diese in einem Security-Konzept mit Roadmap darstellen. Dabei sollte berücksichtigt werden, ob die Kosten jeder Einzelmaßnahme sowie des Gesamtpakets sinnvoll sind oder einen möglicherweise entstehenden Schaden übertreffen. Ebenso sollte geprüft werden, ob ausreichend Personal und entsprechendes Fachwissen vorhanden ist.

Da wie eingangs erwähnt das Phishing eines der größten Risiken im Allgemeinen und vor allem bei Ransomware ist, müssen zudem alle Mitarbeiter einbezogen werden. Hier gilt es, das Bewusstsein für Sicherheitsrisiken zu erhöhen. Am besten kann dies gelingen, indem ein Security Awareness Programm etabliert wird, in dem ausgewählte Personen aus den verschiedenen Fachbereichen mitwirken. Neben IT-Security-Spezialisten sollten zudem ein Mitglied der Geschäftsführung als Executive Sponsor, das Marketing sowie Personen aus der Personalabteilung teilnehmen. Das Ziel dieses Teams ist die kontinuierliche Weiterentwicklung von Awareness-Maßnahmen wie Schulungen beispielsweise im Umgang mit E-Mails, der Umsetzung von Flyer- oder Plakat-Aktionen und Szenario-Trainings. Durch die Involvierung der Fachbereiche kann zudem der individuelle Bedarf dieser definiert und geschult werden.

Um die Auswirkungen eines Angriffs zu mindern, sollten zudem Notfall- und Wiederanlaufpläne erstellt werden. Hier sollten ebenfalls die verschiedenen Fachbereiche involviert und diese Pläne gemeinsam entwickelt werden. So sollte mit dem Marketing und der Presseabteilung eine externe Kommunikation vorbereitet werden, um schnell reagieren zu können. Kommunikationspläne beinhalten zusätzlich die interne Notfallkommunikation bei einem Angriff (wer ist wann durch wen wie zu kontaktieren?) sowie auch die Kommunikation zu den Mitarbeitern. Die Wiederherstellung der Umgebung ist zudem an Prioritäten und Abhängigkeiten gebunden, hier kann allgemein die Liste der kritischen Werte und spezifisch das Feedback der einzelnen Fachbereiche helfen.

Die Notfall- und Wiederanlaufpläne sollten regelmäßig überprüft und auch getestet werden. Denkbar sind hier verschiedene Strategien, angefangen bei einen „Read-Through Test“ (d.h. die rein theoretische schrittweise Durchsprache der Pläne) bis hin zu einem „Full-Interruption Test“.