Digitalisierung & Transformation

Digitalisierung und IT-Sicherheit IV

Mögliche Reaktionen auf Ransomware-Attacken

Daniel Heinrichs 26.05.2021
Auch wenn es keinen einhundertprozentigen Schutz gegen Ransomware gibt, ist es dennoch hilfreich, wenn sich Unternehmen mit einem Notfallplan für den Ernstfall rüsten. Der Beitrag beschreibt, wie Ransomware in das Unternehmen gelangen kann, welche Folgen sie haben kann und wie Unternehmen darauf reagieren können.
PDF Kaufen

Im Jahr 2021 wird alle elf Sekunden ein Un­ternehmen von Ransomware befallen. Durchschnittlich wird der Schaden eines solchen Angriffs etwa 150 000 Euro betragen und das betroffene Unternehmen 16,2 Tage stilllegen – zusätzlich zum Reputationsschaden. Dennoch haben nur 50 Prozent der von KL Discovery On­track befragten Unternehmen einen Notfallplan für den Ernstfall. Es gibt einige Schritte, wie sich Unternehmen gegen Ransomware schützen können, vollkommen ausschliessen kann auch die beste IT-Sicherheit einen Angriff jedoch nicht. Was tun also, wenn das Unternehmen Opfer einer Ransomware-Attacke wird? 

Was Ransomware ist

Ransomware ist eine Form von Malware – «bösartige» Software also, die programmiert wird, um Schäden an Daten und Systemen zu verursachen. Sie ist zu­sätzlich darauf ausgelegt, «Lösegeldzahlungen» für die Entschlüsselung der Daten zu erzwingen. Bei Privatpersonen verlangen die Erpresser häufig Beträge im dreistelligen Bereich, bei grösseren oder öffentlichen Unternehmen können die Forderungen und assoziierten Kosten eines Ransomware-Befalls gut mehrere Millionen Euro betragen. Ein lukratives Geschäftsfeld also für Internet-Kriminelle, welches sich immer weiter aus­breitet und professionalisiert. So werden Angriffe auf Unternehmen oft von langer Hand sorgfältig geplant und werden von cyberkriminellen Organisationen über einen längeren Zeitraum in mehreren Stufen ausgeführt. 

Das Spektrum von Ransomware ist also äusserst facettenreich: Von Open Source Ransomware, die jeder herunterladen und einsetzen kann, bis zu «Ransomware as a Service», bei dem die Ransomware verkauft wird, um von Dritten eingesetzt zu werden, etablieren sich immer mehr neue und kreative Geschäftsfelder mit immer ausgeklügelterer Schadsoftware. 

Arten von Ransomware 

Grob unterscheidet man zwischen zwei Formen von Ransomware, wobei sich diese kontinuierlich weiterentwickeln und zusehends raffinierter werden. Die erste ist ein sogenannter Locker. Hier­bei handelt es sich um vergleichsweise simple Software, die auch relativ leicht zu umgehen ist und lediglich den Zu­gang zum System versperrt. Weitaus kom­plexer und bedrohlicher ist Ransomware, bei der die Daten und/oder Systeme des befallenen Unternehmens verschlüsselt werden und für die anschlies­sende Entschlüsselung ein Lösegeld ge­fordert wird. Einige Formen von Ransomware kopieren zusätzlich Dateien aus dem Unternehmen heraus. Dann werden weitere Lösegeldforderungen gestellt, um die Veröffentlichung der Daten zu verhindern. 

Wie Ransomware ins Unternehmen kommt 

Ransomware kommt, ähnlich wie die meisten Viren und Malware, über Aktionen oder Unterlassungen der Mitarbeiter in das System eines Unternehmens. So werden beispielsweise Sicherheitsrichtlinien für sichere Passwörter nicht befolgt oder Mitarbeiter begehen durch falsches Verhalten Fehler, wie etwa durch Öffnen eines E-Mail-Anhangs mit schädlichem Inhalt. Häufig wird Ransomware per E-Mail als harmloser Anhang getarnt verschickt und breitet sich von dort im Unternehmen aus. 

Mittlerweile gibt es immer ausgefeilte­re Methoden, Nutzer aufs Glatteis zu führen. Die Angreifer versuchen, sie auf schädliche Websites zu locken, oder nutzen Social Engineering – eine Methode, bei der durch den Aufbau zwischenmenschlicher Beziehungen versucht wird, dem Mit­arbeiter vertrauliche Informationen zu entlocken. In manchen Fällen wurden Mitarbeiter sogar dazu gebracht, USB-Sticks mit Schadsoftware an den firmeneigenen Rechner anzuschliessen. (Der erste bekannte Fall von Ransomware fand bereits 1989 statt – Dr. Joseph Popp versandte 20 000 infizierte Disketten an Kollegen auf der gesamten Welt unter der Prämisse, die Software auf den Disketten würde dazu beitragen, die HIV-Gefahr einer Person feststellen zu können.)

Folgen und Kosten

Die Folgen eines Befalls durch Ransomware sind bestenfalls die Unbenutzbarkeit eines Gerätes, etwa eines Laptops oder Mobilgerätes. Problematischer wird die Situation, wenn sich die Ransomware innerhalb des Unternehmens ausbreiten kann und kritische Systeme verschlüsselt. Nicht selten sind auch Backup- oder Archivsysteme mit betroffen.

Schlimmstenfalls kann das gesamte Unternehmen nicht mehr arbeiten. Sämt­liche Kommunikation, CRM, Finanzsysteme, SAP, Personal- und Kundendaten können in manchen Fällen nicht mehr aufgerufen werden und jeder weitere Versuch, an die Daten zu kommen, führt dazu, dass die Ransomware sich noch weiter im Unternehmen ausbreitet. 

Immer beliebter werden Angriffe, die nicht nur Daten verschlüsseln, sondern diese auch auf die Server der Angreifer kopieren. Die Erpresser drohen dann zudem mit der Veröffentlichung sensibler Firmendaten – oder sie warten, bis das Lösegeld für die Entschlüsselung bezahlt wurde, und verlangen dann eine weitere Zahlung für die Löschung der gestohlenen Kopien. Hierbei gibt es wiederum keinerlei Garantie, dass einige Monate später nicht erneut Lösegeld gefordert wird.

Nicht selten ist der Imageverlust des Unternehmens der grösste Schaden, ins­besondere, wenn im grossen Umfang Kundendaten verloren gehen oder sogar öffentlich gemacht werden. Teilweise verpflichten die Datenschutzbehörden betroffene Unternehmen zusätzlich zu  Strafzahlungen, nachdem diese sich von dem Angriff erholt haben. 

Häufig wird Zahlung über Bitcoin oder eine andere Kryptowährung gefordert, welche es für die Strafverfolgungsbe­hörden sehr schwierig macht, die Täter zu fassen –so wird die Wahrscheinlichkeit verringert, dass Unternehmen ihr Geld 
je zurückbekommen.

Mögliche Reaktionen 

Bezahlen 

Die erste Möglichkeit als Antwort auf einen Ransomware-Angriff ist relativ einleuchtend: der Forderung nachkommen und das Lösegeld bezahlen. Eventuell ist die Zahlung sogar über eine Cyber-Ver­sicherung abgedeckt. Doch hier ist zur Vorsicht geraten. Man sollte bedenken, dass man es hier mit Kriminellen zu tun hat. Es gibt also keine Garantie, dass man den Entschlüsselungscode wirklich erhält. Oder dass dieser – nach Erhalt – auch funktioniert und wirklich alle Daten wieder entschlüsselt werden können. Eine Umfrage von KL Discovery Ontrack ergab etwa, dass in nur 51 Prozent aller Fälle, in denen Unternehmen das Lösegeld bezahlt hatten, die Daten auch tatsächlich wieder erfolgreich entschlüsselt wurden. 

Gleichzeitig wird das bezahlende Unternehmen in Insiderkreisen als leichtes Ziel bekannt und fördert so ein kriminelles Geschäftsmodell. Zum Glück gibt es Methoden, ein Unternehmen schnell wieder zum Laufen zu bringen und Lösegeldzahlung und Reputationsschaden zu verhindern. 

Datenrettung

Wird ein Ransomware-Angriff im Unternehmen bekannt, sollte sofort reagiert und sollten die betroffenen Rechner vom Netz genommen werden. Wenn unklar ist, ob sich die Schadsoftware bereits weiter im Unternehmen verbreitet hat, empfiehlt es sich, alle Systeme herunterzufahren. Diese zunächst drastisch erscheinende Massnahme führt zwar zu einem kurz­zeitigen Erliegen des Geschäftsbetriebes, hilft aber dem Unternehmen auf lange Sicht, den Schaden einzudämmen und weiteren Ausfällen vorzubeugen. Es empfiehlt sich, einen Experten heranzuziehen. Dies können interne oder externe Berater sein, die sich mit derartigen Si­tuationen auskennen.

Entschlüsselung: In einigen Fällen lassen sich Daten «leicht» entschlüsseln. Das Ziel von Ransomware ist es, so schnell wie möglich so viele Daten wie möglich zu verschlüsseln. In einigen Fällen verändert die Schadsoftware nur jedes einzelne Dokument nur minimal. Das kann mit der richtigen Expertise schnell wieder rückgängig gemacht werden. 

Für etwa 130 verschiedene Ransomware-Arten wurde bereits der Verschlüsselungscode öffentlich gemacht und kann so vergleichsweise einfach angewandt werden. Das Entschlüsseln der Daten selbst sollte niemals am aktiven System vorgenommen werden. Nach der Entschlüsselung muss zudem sichergestellt werden, dass die Daten vollständig entschlüsselt wurden und die Ransomware vom System getilgt wurde. Nur so kann vermieden werden, dass die Ransomware weiteren Schaden anrichtet.

Systemwiederherstellung: Die zuverlässigste Verteidigung gegen Ransomware ist eine regelmässige Sicherung der Unternehmensdaten über Backups. Hier sollte die 3-2-1-Regel angewandt werden – mindestens drei Kopien der Daten an mindestens zwei verschiedenen Orten mit mindestens einem Backup an einem Ort ausserhalb des Unternehmens, ohne direkte Verbindung zum Rest der Unternehmenssysteme.

Sollte das Unternehmen nun also infiziert werden, kann man die verschlüsselten Daten auf den Stand des letzten Backups zurücksetzen – sollte aber hier dringend sicherstellen, dass dieses Backup nicht auch von der Ransomware befallen ist, was weitere Infektion bedeuten würde. Denn auch das ist eine weit verwendete Strategie der Angreifer: Sie warten nach der Infektion einige Monate, bis die Ransomware schliesslich «aktiv» wird. 

Reparatur/Wiederherstellung: Ist das Backup nicht ausreichend oder ist es ebenfalls infiziert, kann man versuchen, die befallenen Dateien und/oder Systeme zu reparieren. Jeder Befall von Ransomware kann anders ausfallen – von unterschiedlicher Ransomware zum Ausbreitungsmuster und den befallenen Systemen. Es gibt also keine «Standard-Software» die für solche Fälle zum Einsatz kommt. Hier wird daher auf jeden Fall ein Spezialist benötigt, der mit Datenrettung nach Ransomware-Angriffen vertraut ist.

Prävention

Informationssicherheit sollte bei allen Unternehmen, egal welcher Branche, von äusserster Bedeutung sein. Es existiert zwar kein hundertprozentiger Schutz gegen einen Ransomware-Angriff. Aber es gibt einige einfache Massnahmen, die Unternehmen zu einem schwierigeren Ziel und somit unattraktiv für einen Angriff machen: 

  • Regelmässige Backups und Sicherheits­updates für alle Geräte und Systeme
  • Sämtliche Geräte mit komplexen Passwörtern schützen
  • Kritische Systeme mit 22FA-(Zwei-­Faktor-)Identifikation schützen
  • Regelmässige Sicherheitsschulungen aller Mitarbeiter

Fazit

Es ist wichtig, gut vorbereitet zu sein und einen Plan für den Ernstfall zu haben. Ein regelmässiges, weitreichendes Backup aller Unternehmensdaten sowie dessen regelmässige Kontrolle sind unerlässlich. Zusätzlich ist es sinnvoll, einen Plan für den Ernstfall zu haben – wichtige Informationen, wie beispielsweise Kontakt­daten von Mitarbeitern und externen Spezialisten, in einer zentralen Liste zu speichern.

Weiter sollten genaue Anweisungen erfasst sein, wie das Unternehmenssystem heruntergefahren, wie die Ausbreitung von einem System zum nächsten verhindert und wie das Unternehmen schnellstmöglich wieder hochgefahren werden kann. Zudem sollte ein Unternehmen überlegen, beizeiten einen externen Dienstleister als festgelegten Berater zu etablieren. Dieser kann im Ernstfall sofort reagieren und dem betroffenen Unternehmen helfen, den Schaden auf ein Minimum zu beschränken.

Porträt

Daniel Heinrichs (Autor)

Business Development Manager Unternehmen und Kanzleien, KL Discovery

Die KL Discovery Ontrack GmbH in Böblingen bei Stuttgart hilft Unternehmen seit über 30 Jahren bei komplexen Datenproblemen und dem Management der Unternehmensdaten, zum Beispiel bei Daten­­ver­lust, internen Untersuchungen und Compliance-Audits, Auskunftsersuchen nach DSGVO oder anderen Anfragen der Behörden. Die hauseigene Ent­wicklungs­abteilung ermöglicht Lösungen zum Beispiel bei Datenwieder­herstellung von Altdaten auf Bändern oder nach Verschlüsselung der Unter­nehmensdaten durch Ransomware.

Kontakt

daniel.heinrichs(at)kldiscovery.com www.kldiscovery.de