Laut verschiedener Medienberichte ist ein großes deutsches Verlagshaus Opfer eines Cyber-Angriffs geworden. Demnach soll es sich um einen erfolgreichen Ransomware-Angriff gehandelt haben. Bundesweit sollen zahlreiche Systeme des Unternehmens betroffen sein. Die Angreifer sollen ein Lösegeld fordern, damit die verschlüsselten Daten wieder freigegeben werden. Die ESET Sicherheitsexperten geben Tipps, wie betroffene Unternehmen reagieren sollten.
Ransomware-Angriffe nehmen zu
„Es gibt in Deutschland kein Unternehmen, das nicht bereits von Onlinekriminellen angegriffen wurde. Viele dieser Attacken bleiben dabei vollkommen unentdeckt. Anders sieht es aus, wenn Verschlüsselungstrojaner, sogenannte Ransomware, zum Einsatz kommen. Dann geht es darum, viel Geld von den betroffenen Unternehmen für die Freigabe der Daten und IT-Infrastruktur zu erpressen. Die Höhe der Lösegeldforderungen richtet sich dabei nach der Unternehmensgröße und kann schnell in die Millionen gehen“, so Thorsten Urbanski, IT-Sicherheitsexperte von ESET. „In den vergangenen Jahren hat sich das Geschäftsmodell leider deutlich professionalisiert. Die Zahl der Ransomware-Angriffe auf Unternehmen und auch Krankenhäuser hat stark zugenommen. Wir sprechen hier von einem äußerst lukrativen Geschäft für die professionell und weltweit agierenden Täter, das mehrere Milliarden Euro umfasst. Wir können nur davon abraten, auf die Lösegeldforderung einzugehen. Dadurch wird der Cybercrime-Markt weiter angeheizt. Für die Beseitigung des oft mehrstufig aufgebauten Angriffs und des eingesetzten Schadcodes ist zwingend erforderlich, das gesamte Netzwerk von Incident Response Teams reinigen zu lassen.“
Was ist Ransomware?
Bei Ransomware, auch Erpressungs- oder Verschlüsselungstrojaner genannt, handelt es sich um Schadsoftware, die den Zugriff auf Geräte sperrt oder darauf enthaltene Daten verschlüsselt und anschließend vom Opfer ein Lösegeld für die Wiederherstellung verlangt. Diese Schädlinge können mit einem Zeitschalter ausgestattet sein, um den Nutzer zusätzlich unter Druck zu setzen. Nach Ablauf der vorgegebenen Zeit kann so das zu zahlende Lösegeld erneut erhöht oder der Zugriff auf die Daten unwiderruflich gesperrt werden. ESET-Analysen zufolge wird Ransomware unter Cyberkriminellen immer populärer und in den letzten Jahren für Angriffe gegen Unternehmen und Privatanwender vermehrt eingesetzt.
Eine Lösegeldzahlung schafft keine Sicherheit
Sollen mit Ransomware attackierte Unternehmen Lösegeld bezahlen? ESET rät Unternehmen und Privatanwendern gleichermaßen, auf die Losegeldforderungen nicht einzugehen. Bei den Erpressern handelt es sich um Kriminelle. Es gibt hierbei keine Garantie, dass das grundsätzliche Problem, nämlich das Einfallstor der Angreifer, nicht weiterhin offenbleibt. Zudem besteht auch keine Sicherheit darüber, ob die Daten von den Kriminellen wieder entschlüsselt werden. In der Vergangenheit ist es nach ESET Analysen bereits mehrfach vorgekommen, dass die Ransomware fehlerhaft war und die verschlüsselten Daten nicht wiederhergestellt werden konnten. Hinzu kommt, dass durch die Zahlung eines Lösegeldes die Erpresser in ihrem Tun bestärkt und ihre kriminellen Aktivitäten weiterführen werden.
Wie funktioniert ein Angriff mit Ransomware?
Ein Angriff mit Ransomware wird in einer Vielzahl der Fälle über E-Mail-Anhang durchgeführt. Dieser enthält eine ausführbare Datei, ein Archiv oder ein Bild. Sobald dieser geöffnet wird, gelangt die Malware in das System.
Für den Benutzer ist die Infektion nicht sofort ersichtlich. Die Malware arbeitet still im Hintergrund, bis das System bzw. die Daten verschlüsselt wurden. Meist erscheint danach eine Dialogbox, die dem Betroffenen mitteilt, dass seine Daten gesperrt sind und ein Lösegeld notwendig ist, um sie wieder freizugeben. Häufig setzen die Angreifer ihre Opfer auch mit einem Ultimatum unter Druck und drohen mit der Löschung oder der Veröffentlichung von sensiblen Daten.
Was sollte ein Unternehmen jetzt tun?
Wenn ein System befallen ist, isolieren Sie das Gerät umgehend! Führen Sie oder einer Ihrer Mitarbeiter eine verdächtige Datei aus und lassen sich daraufhin einige Ihrer gespeicherten Dateien nicht mehr öffnen, trennen Sie das Gerät umgehend vom Internet, vom Firmennetzwerk und falls möglich von der Stromversorgung. Dadurch kann die Verbreitung im Netzwerk möglicherweise unterbunden werden. Auch wenn es sich dabei um keine sichere Methode handelt, besteht zumindest die Chance, dass einzelne wertvolle Dateien vor der kompletten Verschlüsselung bewahrt werden.
Sind Daten bereits verschlüsselt, können Sicherungsmaßnahmen nicht mehr viel ausrichten. Wurden regelmäßig Backups erstellt, können diese Datensicherungen möglicherweise die schlimmsten Schäden minimieren, wenn sie nicht ebenfalls von der Schadsoftware befallen sind. Daher sollten IT-Experten hinzugezogen werden. Auch das Einspielen von Datensicherungen schließt das Problem nicht. Für ein Unternehmen ist es unerlässlich, den Grund des erfolgreichen Cyberangriffs herauszubekommen. Nur so kann ein effektiver Schutz auch in der Zukunft sichergestellt werden.
Tipps zur Prävention eines Ransomware-Angriffs:
- Mitarbeiter regelmäßig schulen: Regelmäßigen Awareness-Schulungen für Mitarbeiter sind enorm wichtig. So bleiben sie über Best Practices für Cybersicherheit auf dem Laufenden. Dies kann erheblich dazu beitragen, dass beispielsweise Phishing-E-Mails, ein Hauptangriffsvektor, erkannt und potenziell gefährliche Links nicht angeklickt werden.
- Immer aktuell bleiben: Betriebssysteme und andere Software in Ihrer Unternehmensumgebung sollte immer auf dem neuesten Stand sein und Patches sofort nach Veröffentlichung eingespielt werden.
- IT-Notfallplan ausarbeiten: Planen Sie immer für das Schlimmste und hoffen Sie auf das Beste. Halten Sie einen Business Continuity-Plan für den Fall bereit, dass eine Katastrophe eintritt. Diese sollte ein Daten-Backup und vielleicht auch Ersatzsysteme für den Fall enthalten, dass sie gesperrte Systeme wiederherstellen müssen.
- Datensicherung durchführen: Backups sind für jeden wichtig, egal ob Einzelpersonen oder großes Unternehmen. Sichern Sie daher regelmäßig geschäftskritischen Daten und testen Sie auch, ob eine Wiederherstellung daraus im Ernstfall funktioniert. Zumindest die wertvollsten Daten sollten auch offline, also getrennt von ihren Produktivsystemen, gespeichert und gelagert werden.
- Angriffsfläche geringhalten: Software und Dienste, die nicht mehr benötigt werden oder nicht mehr vom Hersteller aktualisiert werden, sollten deaktiviert bzw. ersetzt werden.
- Mehrschichtige Sicherheitslösung einsetzen: Neben den Mitarbeitern bildet eine moderne Sicherheitslösung die erste Verteidigungslinie bei einem Cyber-Angriff.
Weiterführende Artikel
KMUs im Fadenkreuz von Ransomware: Gründe und Gegenmaßnahmen
Darum ist Ransomware für Unternehmen so gefährlich (Whitepaper)
Neueste Trends bei Ransomware: Lösegeld zahlen oder sensible, erbeutete Daten werden veröffentlicht