Startseite > Datacenter & Verkabelung > Ransomware keine Angriffsfläche bieten

Back-up as a Service

Ransomware keine Angriffsfläche bieten

28. Dezember 2016, 0:00 Uhr | Autor: Horst Thieme / Redaktion: Axel Pomper

Die Bedrohung durch Ransomware hat deutlich zugelegt. Um sich in Zukunft zu schützen, müssen Unternehmen ihre Sicherheitsarchitektur weiterentwickeln. Die Einrichtung einer umfassenden Datensicherung ist unumgänglich, denn wer seine Daten schützt, macht sich frei von den Forderungen der Erpresser.

„Locky“, „CryptoWall“, „TeslaCrypt“ — Schadsoftware dieser Art hält im laufenden Jahr viele Unternehmen in Schach. Allein in Deutschland hat sich, nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die Anzahl der Vorfälle verzehnfacht. Derzeit kursieren unterschiedliche Varianten der gefährlichen Ransomware im Netz. Mithilfe dieser Erpressertrojaner kapern Hacker Dateien auf schlecht geschützten Rechnern, verschlüsseln diese – und geben sie erst gegen eine Lösegeldzahlung wieder frei.

Unternehmen geraten ins Visier

Wie bedrohlich die Lage tatsächlich ist, zeigen kürzlich veröffentlichte Zahlen des amerikanischen IT-Sicherheitsanbieters Symantec: Demnach ist die Zahl der Infizierungen mit Ransomware deutlich gestiegen. Im März 2016 lag die Zahl bei 56.000 Privatpersonen und Firmen. Bei Privatpersonen stieg das Lösegeld innerhalb eines Jahres um 100 Prozent von 294 auf 679 US-Dollar. Bei Firmen werden aber ganz andere Preise aufgerufen, die von zehn- bis hunderttausend US-Dollar gehen. Bereits 43 Prozent aller Opfer sind Mitarbeiter in Unternehmen. Grund dafür sind Gruppierungen, die mit speziellen Cyberspionage-Techniken operieren und die bei ihren Attacken gezielt große Unternehmen anpeilen. Auch eine Studie zum Thema Ransomware der Consulting-Firma Malwarebytes zeigt, dass die Angriffe zunehmen: So leiden weltweit 40 Prozent der Firmen unter Ransomware-Attacken. Mehr als die Hälfte der Betroffenen bezahlt dabei das Lösegeld, um wieder auf die Daten zugreifen zu können.

Inzwischen sind zudem erste Fälle bekannt geworden, in denen die Erpresser trotz erfolgter Zahlung den Entschlüsselungscode anschließend nicht zur Verfügung gestellt haben. Stattdessen stellten sie weitere Forderungen an die Opfer. Einer dieser Fälle ist das Kansas Heart Hospital in Wichita, USA. Als die Klinik das geforderte Lösegeld bereitstellte, entschlüsselten die Empfänger nur einen Teil der Daten und verlangten für den Rest eine weitere Zahlung. Diese verweigerten die Betroffenen allerdings. Die Höhe des bezahlten Lösegelds sowie der weiteren Forderung wollten die Verantwortlichen aufgrund laufender Ermittlungen nicht nennen. Unabhängig davon zeigt das Beispiel, welches Schadpotenzial in Ransomware-Attacken steckt.

Was tun, wenn man erpresst wird?

Stehen Unternehmen, die Ziel von Ransomware-Angreifern werden, wirklich mit dem Rücken zur Wand? Nein. Ein Unternehmen, dessen Netzwerk von Verschlüsselungstrojanern befallen ist, kann einer solchen Attacke etwas entgegensetzen. Für die deutsche Industrie wird es daher Zeit, sich mit dem Thema auseinanderzusetzen. Maßnahmen zur Vorbeugung, Abwehr und Notfall-Reaktion müssen getroffen werden. Neben einem traditionellen Antivirenprogramm gehört eine gut funktionierende Firewall zur Grundausstattung in Sachen IT-Sicherheit. Auch regelmäßige Updates – sowohl des Betriebssystems als auch der installierten Applikationen – sind wichtig, damit bereits bekannte Sicherheitslücken zuverlässig gestopft werden. Ebenso sollten Mitarbeiter im Umgang mit E-Mails geschult werden - allzu oft zeichnet sich nämlich auch hier der Faktor Mensch für den Eintritt einer Schadsoftware verantwortlich. Um einen immensen Schaden anzurichten, reicht es beispielsweise aus, den Anhang einer E-Mail unbekannten Absenders zu öffnen.

Im Falle eines böswilligen Angriffs von außen, mit dem Ziel Lösegeld zu erpressen, hat ein Unternehmen also zwei Möglichkeiten: Die geforderte Summe bezahlen und hoffen, dass die verschlüsselten Daten tatsächlich freigegeben werden und sich der Vorgang nicht wiederholt. Oder die betroffenen Systeme aus dem Netz nehmen und vom Back-up wiederherstellen.