Lassen Sie sich nicht durch Ransomware erpressen

Die Bedrohung durch diese Malware wächst rapide und laut Raj Samani, Chief Technology Officer von Intel in Europa, sind die Briten besonders betroffen.

Zu Beginn des Jahres ergab eine Umfrage von Osterman Research, dass 54 % der britischen Organisationen durch Ransomware bedroht wurden – ein Fünftel der Firmen sagte, dass die Attacken so schwerwiegend waren, dass sie den Geschäftsbetrieb sofort stoppten. Betroffene Sektoren sind das Gesundheits-, Finanz- und Bildungswesen – die Bournemouth University etwa erhielt mindestens 21 bekannte Ransomware-Drohungen.

Wenn Ihr Unternehmen bisher nicht angegriffen wurde, ist die Wahrscheinlichkeit hoch, dass es bald passieren wird.

Wie mit so vielen Computerviren, mit denen sich Geld verdienen lässt, steckt auch hier das organisierte Verbrechen dahinter. Untersuchungen von Palo Alto Networks zeigen, dass die Ransomware CryptoWall etwa 325 Mio. USD für die Beteiligten erwirtschaftete. Für technisch nicht so versierte Angreifer gibt es sogar das Geschäftsmodell Ransomware-as-a-Service (RaaS)

Trotz dieser hohen Summen beträgt das durchschnittlich geforderte Lösegeld im Vereinigten Königreich etwa 540 GBP, das normalerweise in Bitcoins gezahlt werden muss, weil diese schwerer verfolgbar sind. Um den Forderungen mehr Nachdruck zu verleihen, wird oftmals eine Frist gesetzt, nach deren Ablauf mit der Zerstörung der Daten gedroht wird. Nachdem das Lösegeld gezahlt wurde, wird ein Entschlüsselungstool gesendet.

Mitarbeiter sind größte Schwachstelle

Es gibt verschiedene Arten von Ransomware, von denen viele opportunistisch per E-Mail gesendet werden – ein Phishing-Ansatz, Spam oder falsche Software-Aktualisierungen. Versandbenachrichtigungen sind eine populäre Methode. Alles, was dann noch fehlt, ist ein unachtsamer Klick und schon wird man zum Opfer.

Michael Bruemmer, Vice-President von Experian Data Breach Resolution, enthüllt, dass „unachtsame Mitarbeiter“ die Hauptursache von 80 % aller Datenpannen sind, mit denen das Unternehmen zu tun hat … die Kontrolle des „menschlichen Faktors“ ist oftmals die beste Methode, um Ransomware-Probleme von vornherein zu verhindern.

Ein wichtiges Element in diesem Prozess ist die effektive Mitarbeiterschulung, aber das Angebot ist oftmals nicht tiefgründig oder weitreichend genug. Denn die Cybersicherheit hat innerhalb von Organisationen nicht immer strategische Priorität. Stattdessen wird sie als Last, nicht als Vorteil empfunden.

Effektive Schulungen sollen sicherstellen, dass jeder Einzelne seine persönliche Verantwortung für Informationssicherheit versteht, nicht nur in Bezug auf Ransomware. Um den Lernprozess zu fördern, verwandeln manche Organisationen den Prozess in eine Art Spiel und damit wird Weiterbildung zu „ernstem Spaß“.

Ein mehrschichtiger Sicherheitsansatz

Wie lässt sich eine Attacke noch vermeiden?

Da Ransomware meist bekannte Schwachstellen ausnutzt, besteht der beste Schutz darin sicherzustellen, dass alle Software auf dem neusten Stand ist. Darüber hinaus können die meisten Organisationen durch mehrschichtige Sicherheit – Antiviren-Software, Web-Filter und persönliche Firewalls – ein „digitales Schutzschild“ schaffen, das Ransomware abhalten kann.

In vielen Organisationen sind die meisten Nutzer lokale Administratoren und können „nicht überprüfte“ Applikationen installieren und Systemanpassungen durchführen. Auf diese Weise kann sich Ransomware einschleichen. Tägliche Aufgaben wie Webbrowsing und das Abrufen von E-Mail werden in dieser Umgebung zum Sicherheitsrisiko.

Indem Sie aber Windows User Account Control (UAC) optimal nutzen, können Sie sich zusätzlich vor Attacken schützen, indem Sie nicht autorisierte Applikationen blockieren oder einschränken, die ansonsten Daten beschädigen könnten, vor allem an Endpunkten wie Laptops, Desktop PCs, Wechselspeichern und Mobilgeräten, über die Schwachstellen an das Netzwerk übertragen werden können. Aufgrund der weit verbreiteten Nutzung von Privatgeräten (Bring Your Own Device, BYOD) wurde der Sicherheitsperimeter von Unternehmensnetzwerken so gut wie aufgelöst.

Wenn das Schlimmste eintritt

Bei einem Angriff durch Ransomware besteht der beste Schutz darin, dass Sie kontinuierlich, möglichst in Echtzeit, sichern, damit Sie die Daten wiederherstellen können, ohne Lösegeld zahlen zu müssen. Serialisierte Sicherungen, so dass ältere Versionen weiterhin zur Verfügung stehen, sind eine sinnvolle Vorsichtsmaßnahme, falls neuere Versionen verschlüsselt werden.

Sollen Sie zahlen?

Offiziell gilt die Regel, einen Erpresser niemals zu bezahlen. Wenn Sie zahlen, werden Sie wahrscheinlich als „leichtes Opfer“ eingestuft und die Erpresser kommen immer wieder auf Sie zurück. Cyberkriminelle geben die Informationen, wer zahlt, auch weiter, und Ransomware setzt sich im System fest.

Und selbst wenn Sie alle Daten zurückbekommen – und dafür gibt es keine Garantie bzw. dass die Daten nicht beschädigt sind – da sind immer noch die Ausfallzeiten, um das System wiederherzustellen. Es dauert durchschnittlich 33 Arbeitsstunden, um Probleme zu beheben, die durch Ransomware verursacht wurden.

Fast zwei Drittel aller Organisationen, die Ransomware zum Opfer fallen, zahlen. Von denen, die nicht zahlen, verlieren mehr als die Hälfte (55 %) die entführten Daten – ohne Entschlüsselungstool ist es fast unmöglich, Dateien wiederherzustellen.

Eine Ransomware-Attacke ist besonders gefährlich für Unternehmen, die keinen Vorfallreaktionsplan bzw. kein Sicherungsprogramm haben und deshalb nicht in der Lage sind, schnell oder effektiv zu reagieren.

Falls die Verhinderung einer Ransomware-Attacke für Sie oberste Priorität hat, sollte Ihre zweite Priorität darin bestehen, bei einer Attacke ein wirtschaftliches und rufschädigendes Desaster in eine kleine Unannehmlichkeit zu verwandeln. 

Sind Sie dazu in der Lage?