ADMIN
2021
01
2021-01-01T12:00:00
Infrastruktur- und Assetmanagement
PRAXIS
060
Sicherheit
Security-Tipp
Ransomware
Ransomware: Auf den Ernstfall vorbereiten
Geld oder Daten
von Matthias Wübbeling
Veröffentlicht in Ausgabe 01/2021 - PRAXIS
Ransomware war im Jahr 2020 regelmäßig verantwortlich für den Ausfall großer und kritischer Infrastrukturen. Der Security-Tipp in diesem Monat diskutiert, warum im neuen Jahr der Schutz vor Erpressungstrojanern wieder beziehungsweise immer noch im Fokus der IT-Sicherheit stehen muss. Leider gibt es bisher kein Allheilmittel, aber immer wieder Security-Ansätze, die es zu testen lohnt.
Im Jahr 2020 gab es eine steigende Anzahl öffentlich bekannter Angriffe mit Ransomware. Dabei handelt es sich hauptsächlich um sogenannte Verschlüsselungstrojaner. Während in der Wahrnehmung vor allem öffentliche Einrichtungen betroffen waren, etwa die Universitäten Gießen oder Bochum, stieg auch die Zahl der betroffenen Privatunternehmen deutlich an. Der traurige Höhepunkt war der Tod einer Notfallpatientin im September, die aufgrund eines Angriffs gegen das Universitätsklinikum Düsseldorf dort nicht aufgenommen und erst eine Stunde später in einem entfernten Krankenhaus behandelt werden konnte.
Die Firma Blackfog [1] hat die öffentlich bekannten Ransomware-Vorfälle auf unterschiedliche Sektoren zusammengetragen. Am meisten betroffen: Produktion, Dienstleistungen und Verwaltung. Die Zahlen stammen aus dem ersten bis dritten Quartal des Jahres 2020. Die USA verzeichnen dabei mehr als die Hälfte aller Fälle. Insgesamt ist von einer deutlich größeren Dunkelziffer auszugehen.
Das große finanzielle Risiko, das von Ransomware für Unternehmen ausgeht, erkennen Sie an dem für 2021 geschätzten Schaden in Höhe von mehr als 20 Milliarden US Dollar. Im Einzelfall legt ein erfolgreicher Ransomware-Angriff ein ganzes Unternehmen dauerhaft lahm bis hin zum Ruin. Daher gilt es, einen aktiven Ransomware-Befall möglichst zeitnah zu erkennen.
Im Jahr 2020 gab es eine steigende Anzahl öffentlich bekannter Angriffe mit Ransomware. Dabei handelt es sich hauptsächlich um sogenannte Verschlüsselungstrojaner. Während in der Wahrnehmung vor allem öffentliche Einrichtungen betroffen waren, etwa die Universitäten Gießen oder Bochum, stieg auch die Zahl der betroffenen Privatunternehmen deutlich an. Der traurige Höhepunkt war der Tod einer Notfallpatientin im September, die aufgrund eines Angriffs gegen das Universitätsklinikum Düsseldorf dort nicht aufgenommen und erst eine Stunde später in einem entfernten Krankenhaus behandelt werden konnte.
Die Firma Blackfog [1] hat die öffentlich bekannten Ransomware-Vorfälle auf unterschiedliche Sektoren zusammengetragen. Am meisten betroffen: Produktion, Dienstleistungen und Verwaltung. Die Zahlen stammen aus dem ersten bis dritten Quartal des Jahres 2020. Die USA verzeichnen dabei mehr als die Hälfte aller Fälle. Insgesamt ist von einer deutlich größeren Dunkelziffer auszugehen.
Das große finanzielle Risiko, das von Ransomware für Unternehmen ausgeht, erkennen Sie an dem für 2021 geschätzten Schaden in Höhe von mehr als 20 Milliarden US Dollar. Im Einzelfall legt ein erfolgreicher Ransomware-Angriff ein ganzes Unternehmen dauerhaft lahm bis hin zum Ruin. Daher gilt es, einen aktiven Ransomware-Befall möglichst zeitnah zu erkennen.
Heimtückische Erpresser im Firmennetz
Der deutsche Begriff Erpressungstrojaner wird zumeist mit dem sogenannten BKA-Trojaner assoziiert. Eine Anzeige verhindert dabei unter einem Vorwand die Benutzung des Rechners und fordert zur Freigabe des Computers ein Lösegeld. Die modernen Varianten eines Erpressungstrojaners lassen sich im Deutschen eher unter dem Begriff Verschlüsselungstrojaner zusammenfassen.
Die Schadsoftware kann dabei über unterschiedliche Wege in Ihre Infrastruktur gelangen: Schadhafte Anhänge empfangener E-Mails, manipulierte Downloads, aber auch über USB-Sticks, die Ihre Mitarbeiter ins Unternehmen bringen. Einmal erfolgreich auf einem System eingenistet, wird Ransomware oft nicht direkt aktiv. Vielmehr untersucht sie zunächst übliche IT-Vorgänge, vorhandene Netzlaufwerke und temporär eingehängte Backupmedien.
Im richtigen Moment, bestenfalls bei eingehängtem Netzlaufwerk, aktiver Verbindung zum Backupmedium und voraussichtlich längerer Abwesenheit des angemeldeten Benutzers, beginnt die Ransomware mit der Verschlüsselung der Benutzerdateien. Nach der Verschlüsselung werden die Originaldaten vernichtet. Bei großen Dateien chiffrieren einige Varianten der Schadsoftware nur die ersten paar (hundert) MBytes.
Oft reicht das aus, um die Dateien unbrauchbar zu machen. Gelegentlich ermöglicht dies aber auch, zumindest Fragmente wiederherzustellen. Während bei ersten Ransomware-Varianten noch klassische Passwörter zur Verschlüsselung zum Einsatz kamen, basieren aktuelle Versionen auf Public-Key-Kryptografie. Der private Schlüssel ist dabei in der Hand des Angreifers, die Wiederherstellung der Daten ohne diesen so gut wie unmöglich.
Und seit Neuestem gehen die Angreifer noch einen Schritt weiter. Denn da viele Organisationen scheinbar doch in der Lage sind, verschlüsselte Daten durch Backups wieder zurückzuspielen, stehlen Kriminelle diese nun mittels ihrer Ransomware. Zahlt ein Opfer dann nicht, bleiben die Files nicht nur verschlüsselt, sondern landen für jeden Kaufwilligen erhältlich im Darknet. Befinden sich vertrauliche oder geheime Dokumente darunter, steckt das betroffene Unternehmen trotz verfügbarer Datenbackups in der Klemme.
Infektion verhindern
Einen vollständigen Schutz vor Ransomware-Angriffen gibt es nicht. Präventiv sollten Ihre Mitarbeiter keine Anhänge unbekannter Absender öffnen. Dazu gehört auch, die angegebene Absenderinformation zu überprüfen und im Zweifel beim Absender persönlich nachzufragen, ob die Datei legitim ist.
Ein ganz wesentliches Einfallstor für Malware stellen derzeit Makros dar. Dieser aktive Inhalt in Office-Dokumenten dient als initialer Downloader, der die eigentliche Schadsoftware herunterlädt und startet. Deaktivieren Sie wo immer möglich Makros in Ihrem Unternehmen und weisen Sie Mitarbeiter regelmäßig auf die Gefahren hin.
Darüber hinaus verhindern Sie etwa über Gruppenrichtlinien die Installation unsignierter Software auf Arbeitsplätzen und Servern und sperren USB-Speichermedien aus. Bestenfalls versiegeln Sie auch die USB-Ports an den Computern selbst, so verhindern Sie den Anschluss manipulierter USB-Geräte. Was mit solchen USB-Geräten möglich ist, können Sie einmal selbst ausprobieren: Der von dem Unternehmen Hak5 angebotene "Rubber Ducky" [2] sieht aus wie ein USB-Stick, ist aber auch eine Tastatur und lässt sich verwenden, um nahezu beliebigen Code auszuführen.
Ist das Kind bereits in den sprichwörtlichen Brunnen gefallen, haben Sie aber noch immer die Chance, zu reagieren und größere Schäden zu verhindern. Eine Möglichkeit ist der Betrieb sogenannter Honeypots. Dafür betreiben Sie einen vorgeblichen Dateiserver, den Sie auf jedem Ihrer Systeme einbinden oder der in regelmäßigen Abständen automatisch eingebunden wird.
Die Dateien dort sollten durchaus übliche Dateien aus Ihrem Unternehmen sein, ohne dass jedoch Anwender damit arbeiten. Beobachten Sie Veränderungen und reagieren Sie schnell, wenn sich die Dateien in diesem Honeypot verändern. Den Verursacher nehmen Sie möglichst schnell vom Netz, bestenfalls automatisiert. Je nach eingesetzter Netzwerkhardware haben Sie hier leichtes Spiel, indem Sie in Ihrem Monitoring entsprechende Aktionen auslösen.
Eine weitere Alternative bietet das Auditieren von Dateiveränderungen. Hier können Sie auf Windows-Bordmittel zurückgreifen oder etwa eine kostenpflichtige Software wie FileAudit [3] verwenden. Mit ihr definieren Sie mithilfe von Skripten unmittelbare Reaktionen auf unerwünschte Zugriffsversuche. Beispiele dafür finden Sie direkt in einem Blogbeitrag der Entwickler [4].
Backups kontrollieren
Können Ihre Mitarbeiter nicht verhindern, dass ein Angreifer sich auf Ihrem System einnistet und wichtige Dateien verschlüsselt, hilft Ihnen schlussendlich nur noch eine ausgeklügelte Backupstrategie. Dabei ist wichtig, dass die Schadsoftware selbst keinen Zugriff auf das Backup erhält. Das bedeutet, das Backupsystem hat Zugriff auf die einzelnen Arbeitsplatzrechner und Server, nicht aber umgekehrt.
Vor allem müssen Sie verhindern, dass Benutzer die eigenen Backups verändern oder löschen. So empfiehlt unter anderem das US-amerikanische CERT das 3-2-1-Backupprinzip. Das Konzept steht für drei Kopien der Daten, einmal produktiv und zwei Backups, aufgeteilt auf zwei unterschiedlichen Medien, also etwa Festplatte und Magnetband, wovon eins an einem anderen Ort gelagert wird.
Von diesem Konzept existieren unterschiedliche Abwandlungen: Das 3-1-2-Konzept sagt, dass die beiden Backups an unterschiedlichen, entfernten Orten, aber durchaus auf demselben Medium erfolgen können. 3-2-3 verlangt zwei unterschiedliche Medien zur Speicherung an drei unterschiedlichen Orten.
Welche Strategie Sie auch immer wählen, auf keinen Fall darf die Schadsoftware die Möglichkeit haben, Backups zu löschen, noch sollten die verschlüsselten Daten mittelfristig alle lesbaren Daten überschreiben. Achten Sie also insbesondere zur Ferienzeit oder zwischen Weihnachten und Neujahr auf die Unversehrtheit Ihrer Backups. Auch das können Sie durch eine regelmäßige Prüfung definierter Dateien automatisieren und in Ihr Monitoring integrieren.
Um den parallelen Datenabfluss durch die Ransomware zu verhindern oder zumindest zu erschweren, muss der Zugang zu vertraulichen oder geheimen Daten im Unternehmen so stark wie möglich limitiert sein. Dies gilt auch unabhängig von der Bedrohung durch Ransomware.
Zudem sollten die Daten nur verschlüsselt lagern und erst bei ihrer unmittelbaren Nutzung durch einen berechtigten User vorübergehend entschlüsselt werden. Nicht zuletzt müssen Sie beziehungsweise die Geschäftsleitung aber auch für den Fall eines Datenlecks entsprechende Vorgehensweisen implementieren und sich auf den Tag X vorbereiten.
Fazit
Wer als Unternehmen ohne große Schäden aus einem Ransomware-Angriff davonkommt, der hat entweder sehr gut vorgesorgt oder sehr großes Glück gehabt. Fehler passieren in Unternehmen immer wieder und Unternehmen sollten eine lebendige Fehlerkultur pflegen. Diese Fehler in den ersten Verteidigungslinien sind auf Dauer unvermeidbar und können glimpflich ablaufen.
Unser Security-Tipp in diesem Monat zeigt aber, dass genau eine Person hier keinen Fehler machen darf: der Backup-Administrator. Denn dieser ist verantwortlich für das Netz und den doppelten Boden. Schauen Sie also lieber mit vier Augen auf Ihr Backup-Konzept und integrieren Sie Ihre Backups in das existierende Monitoring.
(dr)