Kommt der Alarmismus-Uhle? Nein, Leute, es scheint wirklich so zu sein, dass Ransomware-Angriffe in den letzten Wochen und Monaten deutlich zugenommen haben. Da werden einfach mal Unternehmen um ihren Datenbestand gebracht, weil die Daten verschlüsselt werden. Nun soll bezahlt werden, sonst kommen die Daten nicht frei. Ob das dann tatsächlich passiert, ist dann ja auch noch so ein Glücksspiel. Aber grundsätzlich wäre das dann so die Erpressung.
Ransomware-Angriffe: Es sind doch nur Daten
Das englische Wort „ransom“ steht für Lösegeld. Wenn also Ransomware-Angriffe stattfinden, dann wird immer so eine Art Lösegeld gefordert. Und zwar werden die Daten in irgendeiner Art und Weise vorgehalten. Mal werden sie verschlüsselt, mal verschoben, mal sonstwas veranstaltet. In den seltensten Fällen sollen sie wirklich weg sein, sagt man. Ich habe durch meine Arbeit auch immer wieder mit solchen Vorfällen zu tun. Leute, das ist nicht lustig.
Solche Vorfälle können eigentlich in allen Branchen auftauchen, wenn man sich mal nur die Angriffe auf Unternehmen anschaut. Ob es Medizintechnik, Infrastruktur-Dienstleistungen, was auch immer ist. Wer weiß, vielleicht steckt da die Konkurrenz dahinter, vielleicht ehemalige Mitarbeiter oder so. Soweit ich das mitbekommen habe, lässt sich im Nachhinein nur schwer feststellen, woher diese Angriffe initiiert wurden. Auch Angriffe, die durch Regierungen angezettelt wurden, kommen vor.
Jetzt könnte man sagen: Come on, es sind doch nur Daten. Aber es ist eben nicht so einfach. Ich habe es mitbekommen, wie ganze Infrastrukturen in Unternehmen beschädigt wurden. Solche Ransomware-Angriffe sind eben nicht einfach so easy. Zum Teil mussten Datenbanken, Warenwirtschaftssysteme, ganze Domains oder sonstwas neu gebaut werden. Und selbst dann weiß man ja immernoch nicht, welche Wirkungen das Alles auf Partner-Organisationen oder Kunden hat.
„Es sind doch nur Daten“ greift dann also erheblich zu kurz. Es soll auch zu Firmenschließungen durch Ransomware-Angriffe gekommen sein. Mir ist da etwa dieses Beispiel bekannt. Letztlich ist es aber tatsächlich so, dass angegriffene Organisation und IT Service genug zu tun haben, um das Geschäft allmählich wieder in Gang zu bringen. Das ist alles kein Spaß und ebenso wenig ein Kavaliersdelikt.
Es sind keine „Script-Kiddies“
Sie nennen sich Ryuk/Conti, Sodin/REvil, CLOP, DoppelPaymer, DarkSide und Avaddon. Hunderte Unternehmen wurden und werden weltweit angegriffen. Zig Millionen Dollar wurden so schon erpresst. Und so witzig es ist, so gefährlich ist es: Man kann eine Dienstleistung namens „Ransomware-as-a-Service“ buchen. Nee, Leute, das sind keine gelangweilten Script-Kiddies, die nichts sinnvolles mit ihrer Zeit anfangen können. Das ist organisierte Kriminalität.
Besonders anfällig ist immer wieder der Domänen-Verwaltungsdienst Active Directory. Ich habe es selbst mitbekommen, dass Ransomware-Angriffe gern auf diese Achillesfersen in Windows-Umgebungen abzielen. Dabei habe ich auch gelesen, dass das Ganze eigentlich fast immer mit nicht aktuell gepatchten Systemen zusammenhängt. Die Angreifer dringen in die Netzwerke ein und suchen nach diesen Schwachstellen. Und dann fangen sie mit ihren Verschlüsselungen an.
So muss das auch vonstatten gegangen sein, als mit Colonial Pipeline eine der wichtigsten Pipelines der Welt lahmgelegt wurde. Ich meine, was war das denn für ein Dreck? Das hat meines Wissens die Sprit- und Rohölpreise weltweit beeinflusst. Wenn hier Script-Kiddies dahinter stecken sollen, dann weiß ich auch nicht.
Was kann man denn tun?
Also klar ist erstmal: Es gibt keine absolute Sicherheit. Dennoch spielt es schon eine Rolle, ob ich meine Systeme aktuell gehalten habe oder nicht. Außerdem ist in Zeiten von Home Office / Remote Work – oder wie wir das auch immer nennen – die Problematik mit der Schatten-IT gegeben. Und letztlich ist es eben auch eine gewisse Sorglosigkeit. Alles Dinge, die man beeinflussen kann. Wir müssen jetzt nicht paranoid werden und alles mögliche infrage stellen.
Es ist stattdessen ganz besonders wichtig, sorgfältig zu sein. Das gilt für IT-Verwaltung, aber auch für die Anwender. Notfalls müssen die Anwender wieder und wieder auf die Gefahren aufmerksam gemacht werden. Damit kann man zwar diese ganzen Ransomware-Angriffe nicht komplett ausschließen, die Gefahr kann aber reduziert werden. Außerdem gibt es für Windows 10 und Windows Server 2019 einen Ransomware-Schutz. Andernfalls hat man in jedem Fall das Nachsehen.