Es passierte am 20. Oktober 2022, eine Woche vor Beginn der Herbstferien. Viele bayerische Schulen hatten keinen Zugriff mehr auf ihre Schülerdaten. Stattdessen erhielten sie die Aufforderung, Lösegeld in Millionenhöhe zu zahlen. Dahinter steckte ein Ransomware Angriff. Es war eine von unzähligen Attacken, die den Betrieb staatlicher Einrichtungen, öffentlicher Institutionen und privatwirtschaftlicher Unternehmen immer öfter lahmlegen.
In diesem Beitrag
Was genau ist passiert, welche Fakten sind bekannt? Der Ransomware Angriff auf einen Blick:
- Am 20. Oktober 2022 meldeten Medienberichten zufolge 75 Schulen in Bayern einen Ransomware Angriff.
- Betroffen waren Schulen in den Landkreisen München und Berchtesgadener Land.
- Das Perfide: Die Attacke fand wohl genau zu dem Zeitpunkt statt, als sich die lokalen Speichermedien zur Datensicherung mit dem zentralen Server verbanden.
- Die Folgen: Datensätze für tausende Schüler*innen waren verschlüsselt worden und daher nicht mehr zugänglich, darunter sensible personenbezogene Daten wie Namen, Adressen und Stundenpläne.
- Der Zeitpunkt des Angriffs war so gewählt, dass sowohl die lokalen als auch die zentral gespeicherten Datensätze betroffen waren. Ein Wiederherstellen der Daten war daher nicht möglich.
- Die Angreifer verlangen für den Code zum Entschlüsseln der Daten offenbar ein Lösegeld in Höhe von 75 Mio. Euro.
- Die Schulen und der bayerische Staat wollen auf die Lösegeldforderungen nicht eingehen.
Was ist Ransomware und wie macht sie sich bemerkbar?
Wir alle hören und lesen inzwischen fast täglich von Cybercrime, Computerviren und Malware-Attacken. Ransomware ist da für viele nur ein weiterer bedrohlich klingender Begriff in diesem Universum. Doch was genau ist damit gemeint, wie funktioniert ein Ransomware Angriff und wie macht er sich bemerkbar?
Der Reihe nach: Bei einem Ransomware Angriff schleusen Kriminelle heute zumeist mithilfe von Phishing-Mails oder Nachrichten in Messenger-Diensten Schadprogramme in ein System ein. Das Hinterhältige an Phishing-Mails: sie tun oft so, als kämen sie von einem Absender, dem der Empfänger vertraut.
Zu den Klassikern gehören E-Mails, die vermeintlich von der Hausbank kommen. Diese Nachrichten enthalten dann Anhänge zum Download oder Links, die der Empfänger anklicken soll – gerne mit Hinweisen wie: „Bitte klicken Sie auf folgenden Link, um Ihre Kontaktdaten zu bestätigen. Andernfalls sind wir gezwungen, Ihr Konto zu deaktivieren“.
Wer diese oft täuschend echt gestalteten Nachrichten nicht als Ransomware erkennt und den Anweisungen folgt, lädt gefährliche Programme herunter – und das Übel nimmt seinen Lauf. Allerdings oft mit nicht sofort spürbaren Folgen, denn Ransomware-Programme haben in der Regel nicht das Endgerät im Visier, auf das sie heruntergeladen wurden, sondern die verbundene IT-Infrastruktur.
Die Schadcodes warten, bis sie tief ins System gelangt sind. Bis es so weit ist, vergehen Schätzungen zufolge im Schnitt 180 Tage. Erst dann beginnen die Verschlüsselungsalgorithmen mit ihrer Arbeit – so wie im geschilderten Fall der bayerischen Schul-Infrastruktur.
Schlagen die Programme zu, haben Ransomware-Opfer von jetzt auf gleich keinen Zugriff mehr auf wesentliche Daten oder sogar die gesamte IT-Infrastruktur. Anders als etwa bei herkömmlichen Computer-Viren, die einzelne Daten und Festplatten unbrauchbar machen, oder einem Banking-Trojaner, der Zugangsdaten abgreift, mit denen gegen Cybercrime versicherte Konten geplündert werden können, legt ein erfolgreicher Ransomware-Angriff ganze Institutionen und Geschäftsmodelle lahm. Die Daten der Opfer werden gezielt verschlüsselt und damit quasi in Geiselhaft genommen. Das Passwort zum Entschlüsseln gibt es nur im Tausch gegen Lösegeld. Das ist das Prinzip.
Kurze Geschichte der digitalen Lösegelderpressung
Daher kommt auch der Name Ransomware, das englische Wort „ransom“ beutet übersetzt „Lösegeld“. Die Ransomware-Ära begann im Jahr 1989 mit dem sogenannten AIDS-Trojaner. Die gleichnamige, damals noch wenig bekannte Immunschwäche-Krankheit beschäftigte Ende der 1980er-Jahre die Mediziner und Pharmakologen weltweit. Genau dies machte sich ein später vom FBI verhafteter Einzeltäter zunutze, er verschickte über 20.000 Datenträger – damals noch sogenannte Floppy-Disks – an Forschungseinrichtungen in aller Welt. Die
Disketten trugen die Aufschrift „AIDS Information – Introductory Diskettes“. Wer die Datenträger in ein Laufwerk schob und startete, lud sich einen Verschlüsselungstrojaner aufs System und hatte ein Ransomware-Problem. Die betroffenen Rechner ließen sich nicht mehr regulär starten, alle Programme und Daten waren unzugänglich. Die Opfer sahen auf den Bildschirmen nur eine Aufforderung zur Lösegeldzahlung. Diese fiel mit 189 US-Dollar allerdings noch vergleichsweise niedrig aus. Die Summe sollte in bar per Brief an ein Postfach in Panama geschickt werden.
Dynamisch fortschreitend: die Professionalisierung der Ransomware
Seitdem hat sich die Ransomware-Welt stark professionalisiert. Aus den Floppy-Disks wurden irgendwann USB-Sticks, bis auch die kaum mehr eine Rolle spielten und von den heute üblichen Phishing-Mails verdrängt wurden. Auch die Schadprogramme selbst wurden immer ausgefeilter und im Hinblick auf das Schadenpotenzial auch gefährlicher. War der AIDS-Trojaner noch ein simpel programmierter Code, so haben wir es heute zum Teil mit Ransomware-Entwicklungen zu tun, die sich selbst verbreiten und kaum mehr zu stoppen sind.
Ein Beispiel dafür ist die Ransomware WannaCry:
WannaCry ist seit 2017 bekannt und ein sogenannter Wurm. Das Schadprogramm nutzte eine lange offene Schwachstelle in Windows-Betriebssystemen und verschlüsselte dort Daten, die nach Zahlung eines Lösegelds wieder entschlüsselt werden konnten.
Anders als mit dem Gros der Ransomware konnte man sich mit WannaCry auch ohne eigenes Zutun infizieren, da sich das Schadprogramm als Wurm von Rechner zu Rechner ausbreitete. Auch für die Übergabe der geforderten Lösegelder gibt es inzwischen eine technisch sehr viel ausgereiftere und aus Sicht der Cyber-Kriminellen ungefährliche Lösung: Kryptowährungen.
Überweisungen von Bitcoin und Co. werden über kryptografische Adressen abgewickelt. Diese sind zwar eindeutig und damit nicht anonym, aber sie sind nicht mit realen Identitäten verknüpft, sodass alle Transaktionen pseudoanonym bleiben. Die Identitäten von Sender und Empfänger einer Kryptotransaktion ließen sich daher lange Zeit nicht oder nur mit sehr großem Aufwand ermitteln.
Inzwischen haben die Aufsichtsbehörden jedoch reagiert und die Anbieter von Kryptodienstleistungen im Sommer 2022 dazu verpflichtet, die Rückverfolgbarkeit von Kryptowerttransfergeschäften ab einer gewissen Summe zu gewährleisten. Zwar wird im Darknet schon wieder eifrig und auch mit ersten Erfolgen an einer Umgehung dieser Neuregelung gearbeitet, dennoch ist und bleibt die Lösegeldübergabe der Flaschenhals im kriminellen Ransomware Business.
Die Gefahren sind heute größer denn je
Entwarnung kann deshalb jedoch nicht gegeben werden. Zumal inzwischen Ransomware Fälle bekannt sind, bei denen es den Angreifern nicht in erster Linie um das Lösegeld geht, sondern vielmehr um blanke Sabotage. Der bisher spektakulärste Fall dieser Art ereignete sich im Sommer 2017.
Opfer war die dänische Container-Reederei Maersk. Über eine infizierte Buchhaltungssoftware war die Ransomware NoPetya in die IT-Systeme des Konzerns eingedrungen. Daraufhin stand die gesamte Logistk von Maersk zehn Tage lang still. Medienberichten zufolge mussten weltweit mehr als 45.000 Client-Rechner und rund 4.000 Server komplett neu aufgesetzt werden. Der Gesamtschaden dieses Angriffs beläuft sich Schätzungen zufolge auf rund 300 Millionen Euro!
Auf weitaus mehr summieren sich allerdings die jährlich erpressten Lösegeldzahlungen. Schätzungen gehen von weltweit einigen hundert Milliarden Euro aus. Ransomware hat sich damit längst zu einem lukrativen Unterwelt-Geschäft entwickelt, das mehr und mehr kommerzialisiert wird. So verzeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell täglich mehr als 550.000 neue Ransomware-Varianten allein für Deutschland!
Hinter dieser eindrucksvollen Programmierleistung steht längst eine ganze Industrie, die ihre Leistungen über das Darknet anbietet. Ransomware as a Service (RaaS) lautet das Stichwort. Wer andere mit Daten in Geiselhaft erpressen möchte, kann dies heute mit minimalem Aufwand und gänzlich ohne eigen Programmierkenntnisse tun. Geeignete Schadprogramme sind schon für wenige Euro im Darknet erhältlich. RaaS-Anbieter handeln dort sogar mit Tools, die Täter beim Starten von Ransomware-Angriffen unterstützen und Opfern helfen, nach Zahlung der Lösegelder wieder arbeitsfähig zu werden.
Wie man sich vor Ransomware schützen kann
Die Frage, wie man sich vor Ransomware schützen kann, ist daher aktueller denn je. Die Antwort ist vielschichtig. Es gibt nicht das eine Patentrezept. Vielmehr müssen Unternehmen verschiedene organisatorische, technische sowie auch menschliche Aspekte betrachten, um die Möglichkeiten eines Ransomware Angriffs zu vermindern.
Mögliche zu betrachtende Aspekte sind dabei:
- Sensibilisierung der Mitarbeitern
- Überwachung und Verwaltung von Ergebnissen (Logs)
- E-Mail-, Web- und Netzwerkschutz
- Erstellen von Backups
- Aktualisierte Software und Hardware
- Richtlinien zur Informationssicherheit
Zu all diesen Aspekten bietet die ISO 27001 eine Reihe von Maßnahmen aus Ihrem Maßnahmenkatalog (Anhang A), die Sicherheitsanforderungen für diese Aspekte abdecken.
Anhang A.7.2.2 (Bewusstsein für Informationssicherheit, Ausbildung und Schulung)
Diese Maßnahme stellt sicher, dass alle Mitarbeiter auf kritischen Themen der Informationssicherheit sowie deren Auswirkungen auf die Organisation geschult sind. Wie bereits oben bei dem Ransomware-Angriff auf Schulen in Bayern beschrieben, wird Ransomware häufig über vertrauensvoll erscheinende Phishing-Mails in Organisationen eingeschleust. Daher sollten Mitarbeiter darauf sensibilisiert werden, Emails oder Messenger-Nachrichten, die von außerhalb der Organisation kommen, kritisch zu hinterfragen oder ggf. zu melden.
Anhang A.12.4.1 (Ereignisprotokollierung)
Ransomware ist inzwischen eine hochentwickelte Technologie, die teilweise länger - manchmal über mehrere Monate – sich in ein System einnistet und beobachtet bevor ein eigentlicher Angriff erfolgt. Daher kann stetige Analyse und Überprüfung des Systemverhaltens anhand von Ereignisprotokollierungen (Logs) entscheidend für die rechtzeitige Erkennung eines Ransomware-Angriffs sein.
Anhang A.12.3.1 (Datensicherung)
Ransomware ist in der Lage, Netzwerke und Systeme zu durchsuchen und Daten, die gefunden werden zu verschlüsseln. Daher ist eine regelmäßige Validierung von Sicherheitskopien unerlässlich, um eine Wiederherstellung von betriebsnotwendigen Daten bei einem Ransomware-Angriff gewährleisten zu können.
Anhang A.12.6.1 (Management von technischen Schwachstellen)
Die Kenntnis über Systemschwachstellen ist für den Schutz vor dieser oder jeder anderen Art von Bedrohung unerlässlich, um Gegenmaßnahmen gegen gefundene Schwachstellen aufzusetzen – oder zumindest ihre Ausnutzbarkeit zu erschweren.
Anhang A.13.1.3 (Segregation in Netzwerken)
Die schnelle Verbreitung von Dateiverschlüsselung im Netzwerk, die durch Ransomware verursacht wird, kann verhindert werden, wenn das Netzwerk nach Segmenten organisiert ist, anstatt dass es insgesamt zugänglich ist.
Anhang A.12.2.1 (Kontrollen gegen Schadsoftware)
Es ist nicht möglich, jede Art von Schadsoftware, die ein Unternehmen angreifen kann, zu verhindern. Aber es könnte beispielsweise Anti-Malware-Software zum Schutz gegen Schadsoftware eingesetzt werden, da diese ebenfalls inzwischen immer besser bei der Erkennung und Bekämpfung von Ransomware-Angriffen werden.
Auch wenn diese Controls einen guten Schutz vor Ransomware bieten, ist es jedoch wichtig zu verstehen, dass die alleinige Integration dieser Maßnahme in die Organisation keine dauerhafte Lösung gegen Ransomware-Angriffe darstellen.
In einer sich ständig veränderten Welt in der sich Technologien, wie zum Beispiel die Entwicklung von Ransomware auf Disketten zu Ransomware-as-a-Service, entstehen neue Bedrohungslagen. Unternehmen sollten sich daher nicht nur auf die Umsetzung dieser Maßnahmen ausruhen, da dieser Stillstand gefährlich sein könnte.
Vielmehr sollten Unternehmen bestrebt sein ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, das permanente Prozesse für das Unternehmen definiert, die eine kontinuierliche Überprüfung und Verbesserung der Umsetzung der Maßnahmen mitbringt. Erst durch eine kontinuierliche Überprüfung der umgesetzten Controls wird eine Schärfung und Verbesserung der eingesetzten Maßnahmen gegen Ransomware auch gewährleistet.
Wie DataGuard Ihnen bei Ransomware helfen kann
Unsere Experten und Expertinnen kümmern sich täglich um die Angelegenheiten unserer Kunden. Unter anderem betreuen wir sie auch beim Aufbau eines ISMS anhand der ISO 27001. Wenn auch Sie Unterstützung bei der Implementierung des Standards und eines ISMS benötigen, sprechen Sie uns gerne an.
Informationssicherheit 2023: 3 Strategien mit denen Sie sich absichern
In unserem E-Book gehen wir auf die Trend in der Informationssicherheit ein und beleuchten 3 Strategien für die Zukunft.
Jetzt kostenlos herunterladen