Ransomware: Eine Gefahr für Unternehmen – vor allem in Krisenzeiten?

Gerade in Zeiten der Corona-Krise existieren für Unternehmen Sicherheitsrisiken, die ganze Unternehmensexistenzen bedrohen können. Diese Cyber-Attacken haben mittlerweile eine massive Tragweite erreicht. So stufen 1.000 börsenorientierte Unternehmen in den USA diese Angriffe als ernstzunehmendes Risiko ein. Die Rede ist von sogenannter Ransomware. Einer Software, die unlängst sogar Sicherheitsexperten von Microsoft dazu veranlasste, einige Ratschläge zu geben, um das Risiko durch derartige Attacken zu minimieren. 

Was ist Ransomware? 

Bei der Ransomware – aus dem englischen Wort ransom für Lösegeld – handelt es sich um Schadprogramme, die es Eindringlingen erlauben, den Zugriff des Computerinhabers auf Daten oder das ganze Computersystem, zu verhindern. Die verschlüsselten Daten werden dabei von den Ransomware-Erpressern erst dann wieder freigegeben, wenn ein gefordertes Lösegeld gezahlt wurde. Die Ziele der Erpresser reichen von Privatpersonen bis hin zu großen Konzernen. Zu den bevorzugten Opfern gehören mittlerweile sogar Krankenhäuser oder andere existenzielle Branchen, da diese gar keine andere Wahl haben, als das Lösegeld schnell zu überweisen.  

Wie gelangt Ransomware auf den Rechner?  

Ransomware wird in der Regel von Betrügern erstellt, die ein ausgeprägtes Know-how im Bereich der Computer-Programmierung haben. Sie kann auf den gleichen Wegen, wie ein anderes Virus auf einen Computer gelangen, beispielsweise über E-Mail-Anhänge, Sicherheitslücken in Webbrowsern oder Datendienste wie Dropbox. 
Sollte ein Gerät mit Ransomware infiziert sein, macht sich dies relativ schnell bemerkbar, da man in den meisten Fällen gar nicht mehr auf den Computer zugreifen kann und ein Hinweisfenster mit einem Erpresserbrief erscheint. Manche Varianten haben jedoch auch eine Inkubationszeit. Die schädliche Wirkung tritt dabei erst dann ein, wenn der User keine Möglichkeit mehr hat, sich daran zu erinnern, wie, wann und wo er sich mit dem Erpressungstrojaner infiziert hat.  

Wie hat sich die Gefahr durch Ransomware in den letzten Jahren entwickelt? 

Gerade in Bezug auf Unternehmen sind Ransomware-Attacken in den letzten Jahren enorm angestiegen. Diese Entwicklung lässt sich vor allem in den USA belegen. So wurden allein in den letzten 12 Monaten bei der US-Börsenaufsichtsbehörde United States Securities and Exchange Commission (SEC) mehr als 1.000 Dokumente eingereicht, die Ransomware als Risikofaktor erwähnen. Lösegeldforderungen werden dabei regelmäßig erwähnt. 
Diese Entwicklung hängt vor allem damit zusammen, dass sich Lösegeldforderungen zum Trendthema entwickelt haben. Galt früher noch das Hauptaugenmerk den Privatanwendern, zielen Cyber-Erpresser mittlerweile vor allem auf große Unternehmensnetzwerke ab. 
Ransomware-Hacker gehen äußerst aggressiv vor, indem sie spezialisierte Tools verwenden, um in Netzwerke einzubrechen und den Schaden zu maximieren. Oftmals werden dabei Unternehmensinformationen im Dark-Web veröffentlicht oder durch gezielte Indiskretion negative Nachrichten forciert. 
Eine weitere Entwicklung, die sich in Verbindung mit Ransomware in den letzten Jahren abzeichnet, ist der rasante Anstieg der Schadenssummen. Beliefen sich – wie ZDNEet berichtet – die Schadenssummen bei der Entschlüsselung von Dateien früher noch im Schnitt auf 500 Dollar, so liegen sie nach einer Studie von Coveware momentan bei durchschnittlich 110.000 Dollar.  

Die Lösegeldforderungen für börsenorientierte Unternehmen übersteigen den Durchschnitt bei Weitem. So wurde im Januar 2020 von der Firma Travelex – mit 2,3 Millionen Dollar – die bisher höchste Lösegeldforderung gezahlt. 
Doch die Verluste aufgrund der Lösegeldzahlung sind meist nur ein Bruchteil der unsichtbaren Kosten durch entgangene Umsätze. Auch wenn die Lösegeldforderung erfüllt wurde, dauert es meist Tage, die gesperrten Daten zu entschlüsseln. Bis die Daten wiederhergestellt sind, können weitere Tage oder gar Wochen vergehen. Eine Ransomware-Attacke kann folglich ein Unternehmen über Wochen oder Monate stellenweise lahmlegen. Wenn zu solch einer Erpressung noch schwierige Zeiten, wie die jetzige COVID-19-Krise, hinzukommen, kann dies schnell zum Ruin eines Unternehmens führen.  

Was kann gegen Ransomware unternommen werden?  

Grundsätzlich gelten ähnliche Vorgehensweise wie beim Schutz vor allen anderen Viren. Mit regelmäßigen Backups wird sichergestellt, dass auch im Falle einer tatsächlichen Ransomware-Infektion, das System einfach wiederhergestellt werden kann und keine Daten verloren gehen. Ein gut funktionierendes Backup-Management ist daher unverzichtbar.
Außerdem ist ein regelmäßiges Aktualisieren des Betriebssystems, des Browsers und jeder anderen auf dem System installierten Software zu empfehlen. Darüber hinaus kann ein aktueller und vollumfänglicher Browser- und E-Mail-Schutz helfen einer Infektion mit Ransomware vorzubeugen.  

Wir von der Pusch-Data GmbH bieten im Rahmen unserer Managed Services vollumfängliche Leistungen im Bereich Security und Backup-Management an. Für eine genaue Beratung zur Verbesserung Ihrer Security und dem Schutz vor möglichen Ransomware-Attacken können Sie uns jederzeit kontaktieren.  

Wie geht Microsoft aktuell gegen Ransomware vor? 

Aufgrund der rasant steigenden Anzahl von Ransomware-Angriffen gegenüber Unternehmen, ist auch Microsoft in den letzten Monaten aktiv geworden. So hat das Microsoft Threat Protection Intelligence Team gerade in den ersten beiden Aprilwochen 2020 einen leichten Anstieg von Ransomware-Attacken durch organisierte Gruppen festgestellt und betont, dass es sich dabei nicht um maschinelle Attacken, sondern um Angriffe von echten Menschen handelt. Die organisierten Verbrecher verschaffen sich oft nur einen Zugang, um dann monatelang abzuwarten und erst dann zuzuschlagen, wenn sich finanziell die größten Vorteile ergeben. Microsoft rät daher zur Reduktion von Angriffsflächen, da ältere Systeme mit schwächeren Passwörtern besonders gefährdet sind.
So gehören, nach der Business-Technologie-News-Website ZDNet, RDP- und Virtual Desktop-Endpunkte ohne Multi-Faktor-Authentifizierung (MFA), nicht mehr unterstützte Plattformen wie Windows Server 2003 und 2008, falsch konfigurierte Webserver einschließlich IIS, Software für elektronische Patientenakten (EHR), Backup-Server oder Systemverwaltungsserver, anfällige Citrix (Netscaler) ADC-Systeme und Pulse Secure VPNs zu den besonders angegriffenen Systemen. 
Außerdem rät Microsoft dazu, Netzwerke auf bösartige PowerShell-, Cobalt Strike- und andere Penetrationstest-Tools zu durchleuchten. Dabei sollten RDP- oder Virtual Desktop-Endpunkte ohne MFA, Citrix ADC-Systeme, Pulse Secure VPN-Systeme, Microsoft SharePoint-Server, Microsoft Exchange-Server, sowie Zoho ManageEngine-Systeme überprüft werden.