Ransom-wer?
Sie haben Post – und das kurz vor Feierabend! Fabian Fahrlässig, Verwaltungsmitarbeiter in einem mittelständischen Unternehmen, hatte einen stressigen Tag und will möglichst bald nach Hause. Unbedacht öffnet er noch schnell die E-Mail und klickt auf die angehängte Rechnung. Schließlich kommt sie von einem ihm bekannten und seit Jahren zuverlässigen Zulieferer. Alles ok, so scheint es ihm. Nichts ist ok, erklärt ihm der IT-Leiter am nächsten Morgen. Unabsichtlich hat Fabian mit einem einzigen Klick Cyberkriminellen Tür und Tor in die Firmennetzwerke geöffnet.
Fabian ist auf Ransomware hereingefallen. Dabei versuchen Cyberkriminelle, ihre Schadsoftware in Rechnernetze einzuschleusen. Gelingt das, verhindert sie deren weitere Nutzung. Die Angreifer gehen dabei auf zwei Arten vor: Entweder sperren sie den Bildschirm, weswegen diese Form von Ransomware Screenlocker genannt wird. Oder sie verschlüsseln die Daten auf den Rechnern. In beiden Fällen stehen die wertvollen Daten erst dann wieder zur Verfügung, wenn die Unternehmen Lösegeld zahlen – so wird es zumindest angekündigt.
Das ist auch bei Fabian der Fall. Auf seinem Bildschirm erscheint eine Meldung, in der Lösegeld für die Entschlüsselung verlangt wird. Der IT-Leiter erklärt ihm, dass diese Methode immer häufiger eingesetzt wird. So hat ein Ransomware-Angriff beispielsweise Ende 2020 einen Großteil der Funke Mediengruppe lahmgelegt. „Es war, technisch gesehen, nichts mehr da, das Firmennetz existierte nicht mehr, es war alles kompromittiert. Als liege eine ganze Stadt in Trümmern“, zitierte die FAZ den CIO Heiko Weigelt.
Und „die dunkle Seite“ hat weiter aufgerüstet. Ransomware-as-a-Service wird von Cyberkriminellen mittlerweile ähnlich vermarktet wie reguläre Software, berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Sämtliche damit zusammenhängenden „Dienstleistungen“ werden gegen Entgelt zur Verfügung gestellt. Das ermögliche „auch wenig IT-affinen Angreifern technisch anspruchsvolle Cyberangriffe“.
Welche Tricks Cyberkriminelle nutzen
Jetzt will es Fabian Fahrlässig genauer wissen. In einem aktuellen Mimecast-Report liest er, dass Endnutzer wie er nach wie vor als schwächstes Glied in der Sicherheitskette gelten. Sie sind in der Regel keine IT-Experten und werden nur selten für die Gefahren und Einfallstore von Ransomware sensibilisiert. Er ist also nicht alleine, fühlt sich aber ein wenig alleingelassen.
Sein IT-Leiter erklärt ihm, worauf er bei Mails achten sollte. Phishing – das hat er schon einmal gehört. Es beschreibt Methoden, mit denen Kriminelle persönliche Daten abgreifen wollen. Das geschieht häufig durch Fake-Websites oder gefälschte E-Mails wie die, auf die er hereingefallen ist. Mit ein wenig mehr Ruhe und Achtsamkeit hätte ihm auffallen können, dass die Absenderadresse nicht invoice@standardlieferant.de lautete, sondern invoice@standardlìeferant.de. Auch unauffällige Buchstabendreher werden häufig genutzt, um die Empfänger in die Irre zu führen.
Daneben gibt es weitere Möglichkeiten, zu prüfen, ob eine E-Mail und ihr Inhalt plausibel sind. Erwartet man sie? Klingt die Betreffzeile realistisch? Entspricht der Absendername auch der Absenderadresse? Ist ein Link angegeben, dann gilt besondere Achtsamkeit. Viele Mailprogramme zeigen beim Überfahren des Links mit dem Mauszeiger das Linkziel an. Wenn Zweifel bestehen: Finger weg. Und niemals persönliche Daten angeben. Kreditinstitute beispielsweise verschicken unter keinen Umständen E-Mails mit einer solchen Aufforderung.
Wie man im Falle eines Angriffs handeln sollte
Am Abend telefoniert Fabian Fahrlässig mit seiner guten Freundin Susi Sorglos. Auch ihr ist etwas ähnliches schon einmal passiert. Sie hatte ihm bislang nichts davon erzählt, weil es ihr peinlich war. Mittlerweile ist das anders, sagt sie: „Je mehr darüber Bescheid wissen, desto besser!“ Wenn das Kind in den Brunnen gefallen ist, stellt sich für Unternehmen immer die Gretchenfrage, ob sie auf die Lösegeldforderung eingehen sollen oder nicht. Susi erzählt, dass es seinerzeit keine Backup-Strategie in ihrem Unternehmen gab und 30.000 Euro geflossen sind. Der Mimecast-Report zeigt, dass mehr als ein Drittel der Betroffenen sich dafür entscheidet, zu zahlen. Dabei ist Susis Unternehmen finanziell noch glimpflich davongekommen. Der durchschnittliche Lösegeldbetrag in Deutschland liegt dem Mimecast-Report zufolge bei 171.203 Euro. Und die Daten? Waren trotzdem verloren.
Mittlerweile müsse im Fall eines Ransomware-Angriffs grundsätzlich davon ausgegangen werden, dass die Daten dauerhaft kompromittiert sind, selbst wenn Lösegeld gezahlt worden ist, schreibt das BSI. Das ist ein Grund, warum in den vergangenen Monaten vielerorts diskutiert wird, ob solche Zahlungen verboten werden sollten. Schließlich bestätigt man die Kriminellen damit in ihrem Treiben und provoziert nur noch mehr Angriffe. In der EU müssen Ransomware-Angriffe zumindest gemeldet werden, wenn sie personenbezogene Daten betreffen. Das schreibt die Europäische Datenschutz-Grundverordnung (DSGVO) vor. Wer das versäumt, riskiert hohe Bußgelder.
Wie Tools die Sicherheit erhöhen können
Wesentlich günstiger und sinnvoller ist es, in effektive Sicherheitsmaßnahmen zu investieren. Ein Backup-Plan regelt beispielsweise, wie, wo und wann die Daten des Firmennetzes dupliziert und gesichert werden. Recovery-Strategien greifen, wenn Daten, aus welchen Gründen auch immer, verlorengegangen sind. Dann gilt es, sie mittels der Backups so schnell und vollständig wie möglich wiederherzustellen. Im Grunde sollte das eine Selbstverständlichkeit sein, denkt sich Fabian. Im Mimecast-Report hat er jedoch gelesen, dass in einer Umfrage nur 45 Prozent von 742 befragten Cybersecurity-Experten geantwortet haben, dass ihr Unternehmen in File-Backups investiert hat.
Eine weitere Möglichkeit ist, die E-Mail-Nutzung so sicher wie möglich zu machen. Mimecast bietet hier eine umfangreiche Lösung an. Sie schützt vor schädlichen Anhängen ebenso wie vor Identitätsmissbrauch, bei dem Benutzer durch gefälschte Absender oder Domains zu Handlungen gedrängt werden sollen. Darüber hinaus können Nutzer durch eine Browser-Isolierung sicher auf in Mails eingebettete Links klicken.
Sein IT-Leiter erklärt Fabian: „Die wichtigste Abwehr bist aber immer noch – Du.“ Der weiß nun, was zu tun ist. Er will sich bei seinem Chef für regelmäßige Schulungen der Belegschaft einsetzen, damit sich ein Fehler wie seiner nicht wiederholt. Und sollten seinem Chef die Kosten dafür zu hoch sein, wird er parieren: „Es kostet mehr, wenn wir es nicht machen.“ Fabian war seine Unachtsamkeit zum Verhängnis geworden. Hätte er vorher das Mimecast Cybersecurity Awareness Training durchlaufen, wäre ihm das sicher nicht passiert.
Warum Schutzmaßnahmen gegen Ransomware Pflicht sind
Die Zahl von Ransomware-Angriffen ist in den vergangenen Jahren stark gestiegen und es deutet nichts darauf hin, dass sich das in absehbarer Zeit ändert. Sie sind alles andere als ein Kavaliersdelikt: Zusammengenommen können die Schäden eines solchen Angriffs für eine betroffene Organisation existenzbedrohend sein, stellt das BSI unmissverständlich klar.
Um sich gegen solche Attacken zu schützen, empfiehlt sich ein zweigeteilter Ansatz. Das beste Mittel ist und bleibt die Sensibilisierung der Mitarbeiter, etwa durch Schulungen. Sie sollten regelmäßig wiederholt werden, um das Wissen aktuell zu halten und auch über die neusten Maschen und Tricks informieren zu können. Daneben sind technische Vorkehrungen nötig, die gezielt auf die individuellen Gegebenheiten des Unternehmens abgestimmt sind. Bei beidem kann Mimecast Sie mit Software und umfangreichem Know-how unterstützen – Sie, Fabian, Susi und alle anderen.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!