Gefahr für Unternehmen jeder Größe

Das Thema Ransomware kam 1990 das erste Mal auf. Allerdings war dieser erste Versuch seinerzeit eine sehr amateurhafte und erfolglose Kampagne eines geisteskranken Amerikaners. Die Schadsoftware wurde damals postalisch auf 5,25″-Disketten aus London versandt und war als Beratungsprogramm zum Thema Aids-Risiko getarnt. Erst 20 Jahre später tauchte diese Art von Angriffen wieder auf. Anfänglich waren nur Privatpersonen im Visier der Täterinnen und Täter, deren Rechner verschlüsselt und dann gegen eine Summe von 100 Dollar wieder entschlüsselt wurden. Seit 2015 haben die Täter jedoch Firmen im Fokus und fordern teilweise Summen in zweistelliger Millionenhöhe. Die Täter exfiltrieren auch zunehmend Daten, gewissermaßen als Plan B, falls sich das Opfer mittels Back-up selbst zu helfen weiß. Erfolgt keine Zahlung, wird gedroht, die gestohlenen Daten im Internet zu veröffentlichen, was dann tatsächlich auch stückweise erfolgt, um den Druck zu erhöhen. Stellt sich ein Unternehmen taub und reagiert nicht auf die Dateien mit den Forderungen sowie die E-Mails der Täter, werden andere Kommunikationskanäle gewählt, wie LinkedIn und XING, sowie erweiterte Personenkreise, die im Internet durch die Täter ermittelt werden. Aktuell sind auch telefonische Kontaktaufnahmen festzustellen.

Verlauf einer Tat

Das Haupteinfallstor ist die E-Mail mit maliziösen Anhängen. Durch Öffnen der Office-Dokumente oder PDF-Dateien werden aktive Komponenten gestartet, die als eine Art Schuhlöffel dienen und weitere Schadsoftware nachladen. Die Täter schaffen sich damit aus der Ferne Zugriff auf die Infrastruktur des Opfers und erkunden als erstes die Topologie der Netze. Durch das Ausnutzen von Schwachstellen erlangen die Täter dann Administrationsprivilegien, mit denen sie weitreichenden Zugriff auf alle Systeme und Daten bekommen. Der Ablauf ähnelt dem Vorgehen der APT(Advanced Persistent Threat)-Täter, also der Angreifer staatlicher Stellen im internationalen Spionagegeschäft. Bei einigen Gruppen kann angenommen werden, dass sich unter den Tätern zumindest einige befinden, die der deutschen Sprache mächtig sind und die Auswahl der Daten treffen, die entwendet werden. Die Täter haben es dabei auf die interne Kommunikation, Preiskalkulationen und sensitive private Dateien abgesehen, deren Veröffentlichung für die Unternehmen und leitenden Mitarbeiter äußerst schädlich oder blamabel wären. Die eigentliche Verschlüsselung erfolgt dann zentral gesteuert, wobei die Täter gerne Wochenenden und Feiertage als Zeitpunkt wählen, da dann wenig Gegenwehr von den Administratoren der betroffenen Unternehmen zu erwarten ist. In der Regel ist das für die Opfer sogar von Vorteil, denn falls ein Verschlüsselungsprozess abgebrochen wird, kommt es zu einem undefinierten Zustand der betroffenen Datei, die sich dann nicht mehr reparieren lässt. Generell ist festzuhalten, dass die Täter den Verschlüsselungsprozess sehr professionell durchführen, denn ein schlechter Ruf würde das sehr lukrative Geschäftsmodell Ransomware gefährden.

Fallbeispiele

Ein Unternehmen der Fertigungsindustrie wurde unbemerkt unterwandert und einige Monate später an einem der Weihnachtsfeiertage verschlüsselt. Beim Eintreffen der Administratoren funktionierte nichts mehr. Kein Datenzugriff, kein WLAN, kein Telefon, kein Internet, keine Zugangskontrolle, keine Videoüberwachung. Die gesamte Firma war buchstäblich lahmgelegt. Alles war verschlüsselt und für über 1.000 Mitarbeiter wurde erst einmal der Weihnachtsurlaub verlängert. Das Back-up-Konzept war nichts weiter als eine Reihe von Fileservern, die Back-up hießen und der Domäne angehörten. Wie zu erwarten war, wurden diese ebenfalls verschlüsselt. Nach einigen Verhandlungen mit den Tätern erfolgte eine Zahlung von 2,25 Millionen in Bitcoin. Das Programm zur Entschlüsselung wurde innerhalb kürzester Zeit von den Tätern übermittelt. Damit war das Unternehmen zwar prinzipiell gerettet, aber die Entschlüsselung ließ sich wegen der verwendeten mathematischen Algorithmen nur sequenziell und nicht parallel durchführen, was entsprechend dauerte. Auch ein Restore aus einem Back-up ist langsam und nicht dafür konzipiert, das ganze Unternehmen schlagartig wiederherzustellen. Die betroffenen Unternehmen benötigten Wochen, teilweise Monate, bis alle Systeme wieder liefen und als vertrauenswürdig einzustufen waren. Bei einem anderen Unternehmen konnte man zwar fast alle Dateien wiederherstellen und mit wenigen Tagen Aufwand auch die Diskrepanzen zwischen Back-up und tagesaktuellem Stand nacharbeiten. Die Täter machten jedoch ihre Drohung wahr und veröffentlichten nach und nach interne Dokumente und kompromittierende persönliche Informationen der Geschäftsleitung auf ihren Leak-Seiten. Es kam zwar zu keiner Zahlung, dafür aber zu erheblichem Reputationsverlust für das Unternehmen und die leitenden Mitarbeiter. In einem dritten Fall, einer Arztpraxis, war ein Back-up auf einem tragbaren externen Speicher (NAS) vorhanden und physisch vom Netzwerk getrennt. Daher konnte der EDV-Dienstleister des Arztes das Praxisnetzwerk neu aufsetzen und die Daten zurückspielen. Nachdem der Betrieb wieder aufgenommen wurde, öffnete ein Benutzer offensichtlich die gleiche E-Mail noch einmal und es kam zu einer erneuten Verschlüsselung. Allerdings hatte der PC-Techniker vergessen, das externe NAS vom Netz zu trennen, sodass es beim zweiten Angriff mitverschlüsselt wurde. Hier half dann nur noch, die Forderung der Täter durch Bezahlen zu erfüllen.

Wie schützt man sich vor Angriffen?

Da es keinen 100-prozentigen Schutz vor Angriffen dieser Art gibt, muss zumindest eine gute Back-up-Strategie vorhanden sein. Zwar steht keine Universallösung zur Verfügung, jedoch sollte das Konzept eine maximale Isolation des Backups beinhalten, damit die Verschlüsselung diese Daten nicht erreichen kann. Antivirenprogramme und Spamfilter sind nützlich, aber sie laufen dem Problem zwangsläufig immer hinterher. Größere Unternehmen können sich den Aufwand leisten, am Perimeter, also dem Mailserver sowie auf den Benutzersystemen zwei unterschiedliche Produkte einzusetzen. Auf diese Weise lassen sich Angriffe mit einer höheren Wahrscheinlichkeit erkennen, aber auch hier gilt, dass es einen absoluten Schutz nicht geben wird. Daher ist die Systempflege ein sehr wichtiger Aspekt. Updates für alle Komponenten müssen zeitnah erfolgen. Dazu zählen unter anderem Betriebssysteme, Anwendungen und Firmware. Eine Segmentierung des Unternehmensnetzwerks sowie eine stringente Abschottung von Verbindungen zu Fremdnetzen, wie etwa Logistikdienstleistern, Vertriebspartnern, aber auch eigenen Niederlassungen, kann einen Flächenbrand verhindern. Die private Nutzung des Internets sollte verboten werden. Als Ausgleich kann ein separates WLAN angeboten werden, da die Mitarbeiter in aller Regel über Smartphones verfügen.

Notfallmaßnahmen

Das Beste ist, einen solchen GAU in einem Planspiel durchzuexerzieren. Man muss klären, welche Bereiche des Unternehmens ohne EDV stillstünden und wie lange es dauerte, bis ein Wiederanlauf abgeschlossen wäre. Auch eigentlich banale Dinge können hier große Folgen haben. Die Passwortlisten, das Notfallkonzept selbst, die TOM (technische und organisatorische Maßnahmen) für den Datenschutz wurden in den meisten aufsehenerregenden Fällen mit verschlüsselt. Im Worst Case kommt man nicht in das Gebäude beziehungsweise die Serverräume. Lohnzahlungen können nicht vorbereitet werden, da Zeiterfassungs- und ERP-Systeme nicht mehr funktionieren. Im Ergebnis eines solchen Planspiels werden dann die Kronjuwelen sichtbar, die es besonders zu schützen gilt. Ebenso ist eine klare Reihenfolge festzulegen, welche Bereiche primär wiederherzustellen sind. Schließlich ist eine Taskforce mit klaren Rollenverteilungen und Kompetenzen zu definieren.

Wenn der GAU dann doch eintritt?

Hier gilt der Spruch auf dem Einband von Douglas Adams „Per Anhalter durch die Galaxis“: Don’t Panic! Ist ein Vorfall in einem begrenzten Bereich eingetreten, etwa einer Niederlassung im Ausland, müssen die Verbindungen dorthin sofort gekappt werden. Ist die Verschlüsselung aber bereits in vollem Gange, ist es zu spät und eher von Nachteil, noch einzugreifen. In der Regel findet man ein Schreiben der Erpresser auf den verschlüsselten Systemen, manchmal auch auf den Bildschirmen oder es wird sogar auf allen Druckern ausgedruckt. Dieses Schreiben erklärt, wie man mit den Tätern kommunizieren soll, beispielsweise per E-Mail oder einer geschützten Website im anonymen TOR-Netzwerk. Die erste Kontaktaufnahme startet bei vielen Gruppierungen einen Timer mit der Drohung, den Preis zu erhöhen, wenn man die Forderung nicht zeitnah erfüllt. Hier ist dann die Geschäftsleitung beziehungsweise die Leitung der Taskforce gefragt. In jedem Fall ist eine Anzeige sinnvoll, selbst, wenn die Polizei nicht direkt helfen kann. Die beste Anlaufstelle ist die jeweilige ZAC (Zentrale Ansprechstelle Cybercrime) des jeweiligen Bundeslands oder der jeweiligen Region. Beim Verhandeln mit den Tätern ist Vorsicht geboten. Bei der Polizei gibt es in der Regel spezielle Teams, die entsprechende Erfahrung im Umgang mit Erpressern haben. Nicht in jedem Fall ist es aber möglich zu verhandeln, da bestimmte Tätergruppen von den USA mit Embargos belegt sind, beispielsweise Täter aus Nordkorea. Eine Zahlung hätte dann ernste Konsequenzen für das zahlende Opfer, die beteiligten Dienstleister und die Banken. Das amerikanische Finanzministerium droht, alle Beteiligten auf die sogenannte OFAC-Liste zu setzen. Wer auf der Liste des Office for Foreign Asset Control landet, wird keine Geschäfte in den USA mehr machen können. Unter Umständen werden sogar alle Bankguthaben in den USA eingefroren. Betreibt das Opfer B2C-Geschäfte, ist es notwendig, eine potenzielle Exfiltration von Daten zu untersuchen und gegebenenfalls die vorgeschriebenen DS-GVO-Meldung beim zuständigen Datenschutzbeauftragten innerhalb der 72-Stundenfrist abzugeben.