2019 hat sich nach Informationen des BSI die Bedrohungslage durch Ransomware deutlich verschärft. Dem BSI sind eine Vielzahl an Fällen in Deutschland bekannt, bei denen es zu einer Infektion mit einer Ransomware kam. Betroffen sind nicht nur Unternehmen, sondern auch Gesundheitseinrichtungen oder öffentliche Verwaltungen. In Einzelfällen gehen die entstandenen Schäden nach ersten Einschätzungen in die Millionen Euro. Das BSI hat deshalb vor kurzem ein Themenpapier veröffentlicht, das sich an professionelle Anwender sowie IT-Verantwortliche wendet.
Einfache Ransomware-Varianten verhindern über einen Sperrbildschirm, dass Anwender ihr System nutzen können, und versprechen eine Entsperrung nach Zahlung einer bestimmten Geldsumme. Komplexere Varianten verschlüsseln die Daten, wobei zunehmend nicht nur die Daten des infizierten Clients, sondern auch Daten auf zugänglichen Netzlaufwerken oder eingebundenen Cloud-Diensten betroffen sein können. Die Opfer können über anonyme Zahlungsmittel wie Bitcoin oder anonyme Guthaben- und Bezahlkarten die Lösegeldsumme entrichten. In vielen Fällen wird das geforderte Lösegeld gezahlt.
„Ransom-as-a-Service“
Zur erfolgreichsten Ransomware zählt seit 2017 WannaCry, die eine Schwachstelle im Windows-Betriebssystem ausnutzt. Ransomware gibt es mindestens seit 1998, als die erste Erpressungssoftware namens „AIDS-Trojaner“ oder „PC Cyborg“ auf tausenden Disketten verschickt wurde. Seit 2010 wird sie zunehmend für Cyberangriffe eingesetzt, wobei Varianten zum Einsatz kommen, die Daten mit sicheren Algorithmen verschlüsseln. Seit 2016 bieten die Entwickler ihren Kunden maßgeschneiderte Angriffswerkzeuge an, die unter dem Begriff „Ransom-as-a-Service“ bekannt sind. Die Täter konzentrieren sich damit auf Unternehmen, wobei sie Zugangsdaten ausspähen und wertvolle Daten im Intranet abgreifen.
Zu den in Deutschland bekannt gewordenen Fällen zählt eine Attacke im Frühjahr 2019 auf das Staatstheater Baden-Württemberg über eine IT-Firma, die über die Fernwartungszugänge auf dessen Systeme verfügte. E-Mail und der Online-Ticketverkauf funktionierten fünf Tage lang nicht mehr. Bei der Messe Stuttgart waren Teile der Kommunikationsnetze gestört. 2016 musste nach einem Angriff auf die Stadtverwaltung von Dettelbach das Bürgerbüro zeitweise schließen. Obwohl Lösegeld bezahlt wurde, konnten nicht alle Daten wieder entschlüsselt werden. Die Folgekosten zur Behebung des Schadens erreichten einen sechsstelligen Betrag. In den USA sind bereits sehr viele Stadtverwaltungen Opfer einer Ransomware-Attacke geworden.
Ransomware Emotet ist die gefährlichste Schadsoftware
Als gefährlichste Ransomware-Variante gilt die Schadsoftware Emotet. Sie sammelt Mail-Adressen und Kommunikationsprofile der Opfer. In befallenen Unternehmen kundschaftet das Schadprogramm aktiv die Netzwerkumgebung aus und führt automatisierte Brute-Force-Methoden durch, um Zugangsdaten oder Access-Tokens der angemeldeten Nutzer zu erhalten. Damit kann sich Emotet im Netzwerk ausbreiten und bewegen.
2019 wurden über 30.000 Emotet-Varianten gezählt. Zu den bekannten Opfern zählen das Kammergericht Berlin, die Universität Gießen, das Klinikum Fürth sowie die Städte Frankfurt und Bad Homburg. Niedersachsens Finanzbehörden blockieren inzwischen Mails mit Linkadressen oder Office-Anhängen, um Attacken im Vorfeld zu verhindern.
Ransomware greift auch Cloud-Dienste an
Das Arbeiten in der Cloud ist mit Blick auf die Ransomware-Angriffe aus Sicht des BSI mit Vor- und Nachteilen verbunden. Zu den Vorteilen zählt das BSI, dass die Wartung und das Patch-Management von einem professionellen Anbieter übernommen werden. Backupdienste können außerdem bei der Wiederherstellung betroffener Daten unterstützen. Die Versionierung darf allerdings nicht über das Dateisystem zugänglich sein.
Von Nachteil ist laut BSI, dass Unternehmen manche Cloud-Dienste nur außerhalb des eigenen Netzes erreichen können. Diese Schnittstellen seien aber den Angriffen aus dem Internet ausgesetzt und müssten entsprechend abgesichert werden. Es warnt mit Blick auf bisherige Vorfälle davor, dass Fehlkonfigurationen die Angriffe ermöglichen können. Ein professionelles Management der Cloud-Dienste ist daher unabdingbar. Tipps, wie Sie Ihre Daten darüber hinaus besser schützen können, gibt’s hier.
