Ransomware und Erpresserviren sind für Unternehmen ein allgegenwärtiges Problem. Laut BSI hat sich die Zahl der Cyberangriffe versechsfacht und es betrifft auch große und namhafte Firmen. Die richtige Backup-Strategie sorgt für vollen Schutz gegen Verschlüsselungstrojaner. Unitrends nennt fünf Maßnahmen gegen Ransomware.
Eva Heptner, Unitrends
Geschlossene Krankenhäuser in Großbritannien, von der Arbeit abgeschnittene Mitarbeiter im russischen Innenministerium, blockierte Anzeigetafeln im deutschen Bahnverkehr, Ausfälle bei Telefónica in Spanien – all dies sind nur einige der jüngst spektakulären Schäden, die durch Ransomware angerichtet wurden. Mit dieser Form von Cyberangriffen wurden bis heute weltweit zahlreiche Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt. IT-Security-Spezialisten sprechen alleine im Fall von »Wanna Cry« von mehr als 45.000 Angriffen in 74 Ländern. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) stieg die Zahl der Ransomware-Attacken im letzten Jahr um das Sechsfache – die Online-Kriminellen nehmen also die Bundesrepublik besonders ins Visier.
Beispiel Krankenhäuser: Wert der Daten wird unterschätzt
Die Vorfälle demonstrieren, wie sich die Bedrohungslandschaft immer weiter verändert. Vor allem Unternehmen im Gesundheitssektor werden zum Ziel von Cyber-Kriminellen. Während moderne Gesundheitseinrichtungen bei Themen wie Internet-of-Things (IoT) oder Bring-Your-Own-Device (BYOD) zum Vorreiter avancierten, wurde der Wert der hochsensiblen Daten aus Anlagen für Magnetresonanztomographie, Narkose und anderen netzwerkfähigen medizinischen Anlagen oft vergessen oder spielte eine untergeordnete Rolle. Angesichts des hohen Werts der Daten und des vergleichsweise niedrigen Schutzniveaus, sind Einrichtungen im Gesundheitssektor zum beliebten Ziel für Ransomware geworden. Die Situation wird sich aber branchenübergreifend verschärfen, wenn Unternehmen keine geeigneten Maßnahmen für den Schutz ihrer Daten ergreifen.
Geringer Aufwand – hohe Rendite
Für Kriminelle ist Ransomware ein einträgliches Geschäft. Der Aufwand hält sich in Grenzen und es ist einfach, neue Varianten zu erzeugen. Anti-Viren-Lösungen können meist nur reagieren. Es gibt neue, »nicht ausführbare« Versionen von Ransomware, die mit einer Kombination aus verschiedenen Skriptsprachen arbeiten, um die Dateien auf einem Rechner oder Server zu verschlüsseln. Die Verschlüsselung, die Lösegeldforderung und der Aufruf eines Befehls- und Steuerungsservers erfolgen ohne eine ausführbare Datei. Diese Ransomware-Familien werden von herkömmlichen Sicherheitsanbietern nicht erkannt, da sie sich zulässige Prozesse des Systems zu Nutze machen. All ihre Aktionen werde als »legitim« registriert.
Dabei gab es schon 1989 die ersten Versuche, mit verschickten Disketten Computer zu sperren und Lösegeld zu erpressen. Zwar wurde der Urheber gestellt, er lieferte aber dennoch die Vorlage für ein fast perfektes Verbrechen. Denn nie war es für Cyber-Kriminelle einfacher, mit geringen Kenntnissen hohe Renditen zu »erwirtschaften«. Malware-Dienste wie RaaS (Ransomware as a Service) sind nur die Spitze des Eisbergs. Die Software lässt sich über gut gestaltete Phishing-E-Mails und Webseiten schnell, einfach und billig verbreiten. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schad-Software auf den Computer. Der Bitcoin ist dazu die perfekte Währung, um anonym abzukassieren. Fazit: Ransomware wird Unternehmen wie Privatanwender also noch eine Weile beschäftigen.
Die meisten Unternehmen bezahlen das Lösegeld
Eine im Dezember veröffentlichte IBM-Sicherheitsstudie ergab, dass 70 Prozent der Unternehmen, die von Ransomware betroffen waren, ein Lösegeld gezahlt haben, um wieder auf ihre Daten zugreifen zu können. Die Hälfte der erfolgreich erpressten Unternehmen zahlte mehr als 10.000 US-Dollar, 20 Prozent sogar über 40.000 US-Dollar für den Wiedererhalt ihrer Daten. Krankenhäuser, die behördliche Auflagen zum Schutz von Informationen erfüllen müssen oder Unternehmen, deren Datenbanken Kreditkarteninformationen oder Sozialversicherungsinformationen enthalten, sind besonders gefährdet. Sie müssen einfach zahlen, um einen rechtlichen und finanziellen Albtraum zu vermeiden.
Big-Money-Hacks – Das Erfolgsgeschäft Ransomware
- Das Hotel Romantik Seehotel Jägerwirt in den Österreichischen Alpen konnte in den 24 Stunden, die das Reservierungssystem des Hotels außer Betrieb war, keine neuen Schlüsselkarten an Gäste ausgeben, die in diesem Zeitraum eintrafen. Das Hotel war gezwungen, das Lösegeld in Höhe von 1.600 US-Dollar zu zahlen.
- 2016 bezahlte das Hollywood Presbyterian Medical Center 17.000 US-Dollar nach einem Ransomware-Angriff. Die Malware hatte nicht nur Dateien verschlüsselt, sondern den Betrieb für über zehn Tage erheblich beeinträchtigt, sodass die Mitarbeiter wieder mit Papieraufzeichnungen und Faxgeräten arbeiten mussten. Das Krankenhaus hatte zwar Backups, sie konnten die Daten damit jedoch nicht wiederherstellen.
- Der US-Pharmakonzern Merck musste nach der Attacke mit dem Trojaner NotPetya Umsatzeinbußen von fast zwei Prozent hinnehmen. Die Cyber-Attacke zog Produktionsausfälle nach sich, aufgrund derer die Nachfrage nach dem Impfstoff Gardasil nicht mehr gedeckt werden konnte. Zukäufe von einer US-Behörde wurden notwendig.
Für Backup gibt es keine Alternative
Die beschriebenen »Money Hacks« wären für sich bereits spektakuläre Fälle. Sie zeigen aber zusätzlich, dass auch große Konzerne trotz Vorbereitung betroffen sein können. Selbst bei Nichtzahlung der Lösegelder sind stillstehende Produktivsysteme das noch größere finanzielle Risiko. Unternehmen kommen daher um eine funktionierende Disaster-Recovery-Strategie nicht herum. Als zweiter Schutzwall hinter der bestehenden Anti-Malware-Lösung gewährleistet ein funktionierendes Backup im Notfall eine kurze Wiederanlaufzeit der betroffenen Systeme.
Gefahrenherd Windows-Systeme und Cloud-Dienste
Die ständige Weiterentwicklung von Ransomware und ihre einfache Verbreitung bedeuten, dass sich Unternehmen jetzt mit den Gefahren auseinandersetzen müssen. Backups bleiben weiterhin alternativlos, wenngleich nicht alle Sicherungen zuverlässig sind. Anbieter von Windows-basierten Backup-Lösungen sind anfälliger für Ransomware. Da die Malware im Regelfall für Windows konzipiert wird, stellen unter Windows gesicherte Dateien ebenfalls ein strategisches Ziel dar. Auch Unternehmen, die ihre Daten in die Cloud sichern, sind nicht hinreichend geschützt. Cyber-Kriminelle haben mittlerweile Ransomware-Abwandlungen entwickelt, wie beispielsweise eine Variante von Virlock, die sich die Desktop-Synchronisierung beliebter Cloud-Dienste zunutze machen um Dateien zu verschlüsseln. Findet eine automatisierte Synchronisierung statt, sind die Online gesicherten Daten ebenfalls betroffen. Fazit: Eine reine Datensicherung in die Cloud stellt noch kein ausreichendes Backup dar.
Ein Industriestandard, der für die meisten Ausfallszenarios anwendbar ist, ist die 3-2-1-Regel der Datensicherung. Hier legen IT-Verantwortliche fest, wie viele Backup-Dateien erstellt und wo diese aufbewahrt werden sollten. Es sollten mindestens drei Kopien der Daten auf zwei unterschiedlichen Medien vorhanden sein. Eine Backup-Kopie ist zudem an einem externen Speicherort aufzubewahren. Um die vielschichtigen Bedrohungsmuster durch Ransomware zu adressieren, erlauben die Unitrends-Lösungen einen End-to-End-Schutz und die sofortige Wiederherstellung aller physischen und virtuellen Daten und Systeme.
2. Sichern
Der Wechsel von für Malware anfälliger Windows-Backup-Software zu einer speziell entwickelten Linux-Lösung stellt ein erhebliches Hindernis für Angriffe durch Hacker dar. Backup-Anwendungen wie die Unitrends Recovery-Series werden auf einer gehärteten Linux-Plattform ausgeführt und sind so widerstandsfähig gegenüber Malware- und Ransomware-Angriffen. Es gibt über 100 Millionen bekannte Viren für Windows. Linux ist hingegen immer noch sehr vielfältig und durch den hierarchischen Aufbau ist es sehr schwer in das System einzudringen.
3. Testen
Eine Schlüsselkomponente bei der professionellen Disaster-Recovery-Planung ist das automatisierte DR-Testing. Unitrends Recovery Assurance. Es bietet automatische Wiederherstellungstests für Backups – sowohl lokal als auch in der Cloud und gewährleistet die Wiederherstellbarkeit unternehmenskritischer Anwendungen. Durch die automatisierten Wiederherstellungstests weiß das Unternehmen nicht nur, dass wiederhergestellt werden kann, sondern auch wie schnell. So können je nach Anforderung definierte RPOs (Recovery-Point-Objectives) und RTOs (Recovery-Time-Objectives) einfach belegt werden.
4. Erkennen
Unitrends verwendet adaptive und prädiktive Analysen der Backup-Daten zur Suche von Ransomware-Attacken. Algorithmen setzen maschinelles Lernen ein, um Ransomware-Angriffe zu prognostizieren. Zudem werden proaktive Warnmeldungen gesendet, wenn Ransomware-Befall erkannt wurde.
5. Wiederherstellen
Mit Unitrends Instant Recovery können beschädigte virtuelle Maschinen, physikalische Windows-Server sowie sämtliche Daten und Anwendungen innerhalb von Minuten wiederhergestellt werden. Der Zugriff auf produktive Daten wird sichergestellt, die Ausfälle werden zugunsten der Produktivität auf ein Minimum reduziert.
Bayerwaldstraße 9
81737 München
Tel. 089/21 54 82 20
Recovery Series Backup Appliance