Im vergangenen Jahr gab es einen starken Anstieg von groß angelegten Ransomware-Attacken auf globaler Ebene. Ein aktueller Bericht von Druva schätzt, dass jeden Tag 4.000 Ransomware-Angriffe stattfinden und ein Bericht von Verizon stuft Ransomware als die Nummer eins der von Cyberkriminellen im Jahr 2017 verwendeten Crimeware ein.
Auch das britische National Cyber Security Centre hat Ransomware als die häufigste Cyber-Erpressungsmethode identifiziert, die von Cyberkriminellen eingesetzt wird, um Unternehmen anzugreifen.
Ransomware ist eine Art von Malware, die den Zugriff auf einen Computer oder seine Daten einschränkt und im Austausch für die Rückgabe der Daten Geld verlangt. Die Schadprogramme werden dabei mittels Phishing-E-Mails, Spam-Kampagnen, Drive-Bys oder anderen Programmen verbreitet, die von einem unvorsichtigen Benutzer, der eine infizierte Website besucht, auf seinen Computer heruntergeladen werden.
Im Mai 2017 löste WannaCry, eine der bekanntesten Ransomware-Varianten der Welt, globale Panik aus, als sie den National Health Service (NHS) in Großbritannien traf und Krankenhäuser in der Folge nicht mehr in der Lage waren, auf Patientendaten zuzugreifen.
In über 150 Ländern wurden Unternehmen und Institutionen verschiedenster Branchen angegriffen, darunter Bahnhöfe, Universitäten und sogar ein nationales Telekommunikationsunternehmen. Die publikumswirksamen WannaCry-Angriffe machten deutlich, wie abhängig Organisationen von ihren Daten sind und welche Folgen es hat, wenn der Zugang zu ihnen eingeschränkt wird. Wenn Organisationen nicht auf ihre Daten zugreifen können, können sie in einigen Fällen stark beeinträchtigt oder gar handlungsunfähig werden.
Woher kommt die Bedrohung durch Ransomware, ist sie ein neues Phänomen, wie entwickelt sie sich und vor allem, wie können sich Unternehmen und Organisationen dagegen schützen?
Die Geschichte der Ransomware
Ransomware ist nicht neu, es gibt sie bereits seit 1989. Der erste dokumentierte Fall ist der AIDS-Trojaner (oder PC-Cyborg-Ransomware) von Joseph Popp, der 20.000 infizierte Diskettenlaufwerke an die Teilnehmer der AIDS-Konferenz der Weltgesundheitsorganisationen verteilt hatte. Seitdem ist Ransomware immer häufiger aufgetaucht, da mit dieser Technik viel Geld verdient werden kann.
Im Jahr 2017, schätzt der Bericht von Druva, hat sich die Ransomware-Industrie vervierfacht und schätzungsweise den Umfang von einer Milliarde Dollar erreicht. Aufgrund der enormen finanziellen Rendite von Ransomware entwickeln Cyberkriminelle ständig neue Varianten, um mehr Opfer zu erreichen und Sicherheitsvorkehrungen zu umgehen.
Die neuesten Ransomware-Varianten haben ausgefeilte Strategien für die Verbreitung der Malware entwickelt. Während die meisten Lösegeldforderungs-Programme in der Regel irgend eine Art der Benutzerinteraktion erfordern, haben neuere Untersuchungen gezeigt, dass Hacker Systeme mit WannaCry infiziert haben, indem sie eine RCE-Schwachstelle (Remote Code Execution) ausnutzten, die es ihnen ermöglichte, nicht gepatchte Systeme ohne Benutzerinteraktion zu infizieren. Dies ist eine Vorgehensweise, die bisher eher mit einem Wurm als mit Ransomware in Verbindung gebracht wurde.
Bezahlen oder nicht bezahlen
Das große Dilemma, vor dem eine Organisation steht, sobald sie mit Ransomware infiziert ist, ist die Frage, ob sie die Forderung zahlen soll oder nicht. Dies gilt insbesondere für Unternehmen, die nicht über eine umfassende Backup-Strategie verfügen und Gefahr laufen, den Zugriff auf ihre Dateien vollständig zu verlieren, wenn sie nicht zahlen.
Während viele Strafverfolgungsbehörden und Sicherheitsfachleute oft davon abraten, Lösegelder für diese kriminelle Aktivität zu zahlen, deuten Berichte darauf hin, dass schwere Störungen von Diensten und das Fehlen von Backups durchaus dazu führen, dass Organisationen doch nachgeben und Kriminelle für die Freigabe ihrer Daten bezahlen. Wie sich jedoch bei vielen der jüngsten Angriffe gezeigt hat, gibt es keine Garantie dafür, dass die Unternehmen ihre Dateien zurückerhalten, selbst wenn sie der Forderung nachkommen. In einigen Fällen, in denen sich eine Organisation für die Zahlung des Lösegeldes entschieden hatte, erhielt sie dann nur bloß einen Teil ihrer Daten zurück.
Einige Unternehmen glauben auch, dass die Zahlung der Geldbuße Sinn macht, weil ihre Daten mehr wert seien als das Lösegeld. Die Gefahr des Bezahlens besteht jedoch darin, dass sie im Wesentlichen die Ransomware-Industrie finanzieren, was sie letztendlich für Cyberkriminelle profitabler macht und zu mehr Angriffen führen wird.
Was sind also sind die besten Möglichkeiten, einem Angriff mit Ransomware zu begegnen, ohne zu bezahlen?
Schutz vor Ransomware
Um sich gegen die Welle von Ransomware-Angriffen zu schützen, müssen Unternehmen ihre Software-Patching-Prozesse verbessern. Viele Organisationen, wie zum Beispiel die britische NHS, wurden überrascht, weil sie ihre Systeme nicht rechtzeitig mit den entsprechenden Patches aktualisiert hatten. Eine weitere Lektion, die aus diesen Ereignissen gezogen werden sollte, ist, dass die Praktiken zur Offenlegung von Schwachstellen verbessert werden müssen, da sich keine einzelne Organisation alleine gegen diese Bedrohungen wehren kann.
Diese Ansicht wird auch vom britischen National Cyber Security Centre vertreten, das betont, dass Cyber-Angriffe weiter zunehmen werden und es im Interesse sowohl des öffentlichen als auch des privaten Sektors liegen müsse, zusammenzuarbeiten, um Bedrohungen zu verringern. Ein proaktiver Ansatz wie die Implementierung einer mehrschichtigen Sicherheitsarchitektur (Verteidigung in der Tiefe) kann Netzwerke und Systeme segmentieren, um die Risiken und Störungen zu minimieren, die diese Aktivitäten verursachen können. Benutzer sollten auch darauf hingewiesen werden, dass sie keine E-Mails von unbekannten Absendern öffnen oder auf Links in E-Mails klicken sollten.
Ein aktuelles Backup aller Daten und anderer Verteidigungstechniken (wie automatisches Sandboxen von E-Mails), kann ebenfalls helfen. Unternehmen sollten ihren Mitarbeitern auch Schulungen anbieten, um sie für Ransomware und die verschiedenen Angriffsmethoden zu sensibilisieren, die von Akteuren verwendet werden.
Für jede Organisation, die einem Angriff mit Ransomware zum Opfer fällt, ist es sehr wichtig, eine Analyse des Ereignisses durchzuführen. Auf diese Weise kann untersucht werden, wie es zustande kam und welche Änderungen die Reaktion auf einen etwaigen zukünftigen Angriff verbessern könnten.
Michael Gerhards, Head of CyberSecurity Deutschland, Airbus CyberSecurity