Es gibt immer wieder Berichte über Angriffe mit Ransomware, also Software, die die Opfer erpressen. Diese Angriffe werden immer ausgefeilter und hinterhältiger. Gerade jetzt in Zeiten, in denen viele Unternehmen ihre Mitarbeiter von Zuhause aus arbeiten lassen, greifen solche Attacken immer wieder um sich. Es betrifft Unternehmen aus praktisch allen Branchen der Wirtschaft. Und das wird zum echten Problem. Denn stellen wir uns Medizintechnik-Unternehmen vor. Wie sollen diese bei der Bekämpfung von COVID19 mithelfen, wenn sie lahmgelegt wurden?
Das Dauer-Problem Ransomware
In der Vergangenheit schrieb ich hier im Blog immer mal über dieses Dauerthema, unter anderem hier in diesem Artikel. Beim englischen Verb „to ransom“ handelt es sich darum, dass jemand gegen die Zahlung von Lösegeld freigelassen wird. Zum Teil gibt es aber gar keine Lösegeldforderung. Sondern die Angreifer legen „einfach nur“ das System oder die Infrastruktur lahm. Ist es dann noch Ransomware? Wie ist das bei Unternehmen, die auf so eine Art angegriffen werden und tagelang nicht arbeitsfähig sind?
Klar, Anbieter wie Microsoft sind immer wieder erfolgreich darin, gegen solche Angriffe vorzugehen. Das machen sie, indem sie Daten analysieren, die mutmaßlich für die Angriffe zuständig sind. Das kann alles mögliche sein. Und wenn selbst Fachpersonal überrumpelt werden kann, ist das schon eine ziemliche Leistung. Dagegen gehen eigentlich alle Anbieter entschieden vor. Aber eben erst, wenn die Attacken vorbei sind und der Schaden zu erkennen ist.
Wie sollen sie das auch anders machen? Natürlich hat Microsoft eine Technologie wie Sentinel im Einsatz. Aber wenn eine Schadsoftware speziell für eine bestimmte Organisation erstellt wurde, können sie auch nur reagieren. Die Wettbewerber auf dem Markt übrigens auch. Und so bleiben Ransomware-Angriffe ein Dauerthema. Eigentlich kann man nur hoffen, dass es nicht so schlimm kommt, wenn so eine Angriffswelle einmal tobt.
Echte Gefahren
Wir wissen von derartigen Angriffen auf Unternehmen, auf kleine Landratsämter, auf gemeinnützige Organisationen, auf alles mögliche. Die Zeiten, dass ein Privat-PC verschlüsselt wird, sind offenbar vorbei. Nehmen wir ein Unternehmen, das sich an der Bekämpfung des Coronavirus beteiligt. Konkurrenten auch. Was wäre denn, wenn mit solchen Mitteln Wettbewerber ausgeschaltet werden sollen? Ist das gänzlich abwegig?
Die Gefahr, dass Unternehmen mit Ransomware gezielt angegriffen werden, ist in der letzten Zeit gewaltig gestiegen. Und es sind ja nicht nur die Kosten für Begleichung von Forderungen. Wobei ich oben schrieb, dass die nicht unbedingt eintreffen müssen. Es sind die Kosten für die Wiederherstellung des Betriebs und zum Teil große Summen wegen entgangener Gewinne. Und da haben wir noch gar nicht darüber geredet, was im schlimmsten Fall noch drohen könnte.
Es gibt sogar ganze Kampagnen. Das fällt dann unter den Begriff „Malware-as-a-Service“ – also Schadsoftware als Dienstleistung. Das ist ein lukratives Geschäftsmodell. In den letzten Jahren wurde der Fernzugriff „Remote Desktop Protocol“ kompromittiert. Und insgesamt haben sich die Angriffszahlen in den letzten drei Jahren verneunfacht. Das ist schon ein enormer Zuwachs. Und man kann immernoch nicht mit Sicherheit sagen, wo denn die Nester der Angreifer liegen. Nester deshalb, weil ich diese Entwicklung als Krieg ansehe.
Wie kann man sich denn wehren?
Die derzeit populärste Version von Ransomware ist die Familie „SNAKE“, auch „Uroburos“ und „Epic Turla“ genannt. Dabei stellt man am angegriffenen Computer nicht mal ohne weiteres eine Veränderung fest. Aber hinterrücks erfolgt die Kompromittierung und Verschlüsselung. Das ist bei diesem Hersteller mal skizziert worden. Und da stellt sich dann doch die Frage, wie man sich gegen Ransomware schützen kann und solche Angriffe abgewehrt werden können. Und dazu gehören:
- Die Betriebssysteme müssen aktuell gehalten werden.
- Der eingebaute Virenschutz in den Systemen muss aktuell und aktiv sein.
- Nicht jeder verheißungsvolle Link muss geöffnet werden.
- Nicht jeder Anhang muss verwendet werden.
- Fertigt Backups außerhalb des Computers / Smartphones an.
- Nutzt – wo es möglich ist – die Multi-Faktor-Authentifizierung.
- Wenn es passiert ist, meldet den Vorfall und nehmt euch Hilfe.
- Und vor allem: Seid skeptisch.
Angriffe mit Ransomware werden weiterhin passieren. So, wie auch sonst weiterhin Virus-Epidemien passieren werden. Wichtig ist dann aber, vorbereitet zu sein. Außerdem ist es wichtig, im Vorfeld Vorkehrungen getroffen zu haben. Solche Kampagnen können die Gesellschaft und die Wirtschaft nachhaltig schädigen. Wir dürfen nicht zulassen, dass dies möglich ist. Wenn jeder seinen Teil dazu beiträgt, können diese Kampagnen eingedämmt werden. Vermeiden werden wir sie allerdings nicht können.