Schad-Software: Die Erpresser stoppen!

Wenn in den Nachrichten von Software-Sicherheitslücken die Rede ist, kann man sicher sein, dass kurze Zeit später zahlreiche Nutzer der Software unangenehme Nachrichten bekommen: Erpresser melden sich bei ihnen und stellen Lösegeldforderungen. Weil keine Updates durchgeführt wurden, haben sie es geschafft, mit Schad-Software in die Sicherheitslücke einzudringen und Daten zu stehlen. Dieses Phänomen ist seit Jahren bekannt und macht vor niemandem halt, der seine IT nicht ausreichend schützt.

Prinzipiell kann sich Schad-Software ohne menschliche Steuerung und damit automatisch verbreiten. Trotz dieser Bedrohung mangelt es immer noch bei vielen Unternehmen an der Informationssicherheit, weshalb sich ein Markt für Ransomware-as-a-Service entwickelt hat. Professioneller Schad-Code lässt sich einfach mieten und gesteuert in Unternehmen einbringen. Das ist für die Angreifer deutlich rentabler, als diese Software selbst zu programmieren. Vor allem zwei Formen von Schad-Software machen den Unternehmen und auch privaten Nutzern zu schaffen: Klassische Crypto-Locker verschlüsseln die Daten der Angegriffenen und machen sie damit unbrauchbar. Leakware wird von den Angreifern genutzt, um gezielt brisante Daten zu entwenden und Unternehmen mit deren Veröffentlichung zu erpressen. Grundsätzlich gilt: Ein relevantes Ziel von Ransomware ist jedes Unternehmen, das zahlungswillig sein könnte. Mit geringem Aufwand wurden so Konzerne wie Xerox oder Canon ebenso erpresst wie eine kleine kommunale Kreisverwaltung in Anhalt-Bitterfeld.

Crypto-Locker – die klassische Ransomware

Klassische Ransomware, sogenannte Crypto-Locker, verschlüsseln Daten auf Rechnern oder ganzen Systemen und erpressen die Opfer mit der Drohung, dass diese Daten vernichtet oder unverfügbar gemacht werden. Für ein Lösegeld werden die verschlüsselten Informationen wiederhergestellt. Die Zahlungsabwicklung erfolgt elektronisch über Kryptowährungen. Der einfache, anonymisierte Zahlungsverkehr durch Bitcoin & Co. hat die Verbreitung von Ransomware enorm verstärkt.

Die Erpressung funktioniert bei Verbrauchern meist automatisiert mit Kleinbeträgen, bei Unternehmen fallen die Lösegeldsummen wesentlich höher aus. Dabei wägen Angreifer genau ab, welches Unternehmen welchen Betrag zahlen könnte. Die Einbringung von Crypto-Lockern in ein Unternehmen läuft in drei Schritten ab: Infiltrierung, Kompromittierung und Verschlüsselung. An diesen Stellen kann man ansetzen, um die Ausbreitung der Schad-Software einzudämmen, zu stoppen oder zumindest den Schaden einzugrenzen.

Infiltrierung: Zunächst muss die Schad-Software in ein Unternehmen eingebracht und im Unternehmensnetzwerk verbreitet werden. Dies kann über menschliche und technische Schwachstellen erfolgen, beispielsweise durch Phishing-Mails oder fehlende Sicherheits-Updates bei Mail-Programmen, Web-Browsern, Betriebssystemen und Web-Anwendungen. Von einem kompromittierten IT-System verbreitet sich die Software zum nächsten.

Eine solche Ausbreitung lässt sich bremsen, erkennen und im Idealfall auch aufhalten, bevor es zu nennenswerten Schäden kommt. Einerseits gelingt dies dadurch, dass die Mitarbeiter gegenüber ungewöhnlichen Ereignissen aufmerksam sind (Awareness) und dass bei einem Verdachtsfall entsprechende Maßnahmen eingeleitet werden. Awareness-Schulungen helfen Mitarbeitern, solche Ereignisse zu erkennen. Wenn vorab schon Maßnahmen definiert werden, die im Verdachtsfall eingeleitet werden können, beschleunigt dies die Prüfung maßgeblich. Wichtig ist zudem eine technische Härtung, d. h. die möglichen Angriffswege in Netzwerken und Systemen müssen gründlich betrachtet und dann minimiert werden.

Kompromittierung: Der Erfolg eines Angriffs hängt wesentlich davon ab, möglichst viele und wertvolle Informationen und Systeme zu verschlüsseln, und bei diesen Zielen möglichst auch die Kontrolle über alle Kopien zu erlangen. Damit wollen die Angreifer die Kosten für die Wiederherstellung der Daten in die Höhe treiben, um den Opfern die Lösegeldzahlung als wirtschaftlich effiziente Alternative anbieten zu können.

Selbst wenn eine Ausbreitung der Schad-Software nicht verhindert werden kann, stellen aktuelle Back-ups sicher, dass zumindest eine Wiederherstellung der technischen Systeme möglich ist und das Unternehmen nicht ruiniert wird. Ohne Back-up bleibt nur die Wahl zwischen der Hoffnung auf eine Wiederherstellung nach Zahlung des Lösegelds oder der komplette Neuaufbau von IT und die Neuerstellung sämtlicher betroffener Informationen des Unternehmens von Grund auf. Die Wiederherstellung der Sicherungen ist allerdings nur dann möglich, wenn die Back-ups nicht auch verschlüsselt wurden. Deshalb kann eine einzige besonders stark geschützte Sicherungskopie hier bereits entscheidend sein.

Verschlüsselung: Sobald sich ein Crypto-Locker im Unternehmen ausgebreitet hat, beginnt dieser, die betroffenen Systeme zu verschlüsseln und dem Unternehmen automatisch den Zugriff auf die eigenen Daten zu versperren. Eine Kommunikation zwischen der Schad-Software und den Angreifern ist hierzu nicht notwendig, die Generalschlüssel für die Verschlüsselung befinden sich in der Regel bereits von Anfang an beim Angreifer. Sollte sich ein Unternehmen entscheiden, das Lösegeld zu bezahlen, wird es dem Angreifer die Informationen zur Entschlüsselung von sich aus zur Verfügung stellen.

Schutz bieten neben allgemeiner Erkennung von Schad-Software zusätzliche technische Maßnahmen, die Alarm schlagen, wenn große Datenmengen durch einen akuten Verschlüsselungsprozess verändert werden. Ebenso kann ein Schreibschutz gegebenenfalls den Umfang der betroffenen Daten reduzieren. Da keine der Gegenmaßnahmen eine absolute Zuverlässigkeit bietet, ist es üblich, je nach Risiko auch mehrere dieser Maßnahmen einzusetzen. Denn wenn eine der Maßnahmen ausfällt oder versagt, wird meist dennoch ein allumfassender Schaden vermieden.

Leakware – die jüngere Ransomware

Anders als Crypto-Locker zielt Leakware darauf ab, Informationen zu entwenden, die für Unternehmen von besonderem Wert sind, um dann mit dem Verlust der Vertraulichkeit Lösegeld zu erpressen. Die Angriffe durch Leakware können automatisiert sein, werden aber meist ferngesteuert. Durch eine händische Fernsteuerung von Leakware-Angriffen ergibt sich für die Angreifer die Möglichkeit, die wertvollen Daten bewusst auszuwählen. Da auch die Angreifer wirtschaftlich denken, wollen sie möglichst wertvolle Informationen mit möglichst geringen Speicher- und Netzwerk-Ressourcen erbeuten.

Hinsichtlich der Infiltrierung verhalten sich Leakware und Crypto-Locker gleich, Awareness und technische Härtung greifen somit auch hier. Das ist auch der Grund, weshalb es sich für Angreifer anbietet, Leakware und Cypto-Locker in einer Hybrid-Schad-Software zu vereinen, um sich beide Möglichkeiten zur Erpressung des Unternehmens offen zu halten. Auch bei Leakware gibt es aus Sicht der Unternehmen drei Punkte, an denen sie ihre Schutzmaßnahmen ansetzen können:

Kompromittierung: Leakware zielt auf die Verletzung der Vertraulichkeit ab, eine Kompromittierung des gesamten Unternehmensnetzwerkes ist also nicht entscheidend. Auch hier bietet zwar eine höhere Ausbreitung der Schad-Software dem Angreifer bessere Chancen, auf wertvolle Informationen zugreifen zu können. Sobald er aber Kontrolle über eine einzelne Kopie wertvoller Daten hat, spielt es keine Rolle mehr, ob diese von einem Mobiltelefon oder Server stammen und ob das eine System besser geschützt ist als andere.

Entgegenwirken kann man dem Diebstahl wichtiger Daten, indem man die Zugriffsrechte auf Informationen minimiert, z. B. nach dem Prinzip „Kenntnis nur bei Bedarf“. Gezielte Verschlüsselungsmechanismen und die Löschung bzw. Vermeidung unnötiger Kopien können die Angriffsfläche zusätzlich reduzieren.

Exfiltration: Um mit Veröffentlichung der Informationen drohen zu können, muss ein Angreifer zunächst selbst eine lesbare Kopie der Informationen unter seine Kontrolle bringen. Damit ein Unternehmen sich nicht durch das nachträgliche Kappen der Internet-Verbindung wehren kann, übertragen die Angreifer daher die als interessant bewerteten Daten von den Unternehmensservern über das Netzwerk ins Internet. So erstellen sich die Angreifer eine Kopie, deren Veröffentlichung durch das Unternehmen nicht mehr verhindert werden kann.

Eine solche Übertragung kann bei ungewöhnlichen, größeren Datenmengen erkannt und unterbunden werden. Präventiv können vom Unternehmen ausgehende Internet-Verbindungen generell eingeschränkt werden. Sind die Daten doch einmal unter der Kontrolle der Angreifer, entsteht bei Leakware die Gefahr einer langfristigen Schutzgelderpressung. Auch wenn eine einmalige Zahlung eine Veröffentlichung zunächst verhindert, wird ein Unternehmen immer in der Ungewissheit bleiben, ob die gestohlenen Informationen nach der Zahlung auch wirklich gelöscht wurden. Letztendlich könnten Angreifer die Informationen schlicht behalten, um später weitere Folgezahlungen zu erpressen.

Die Unterschiede zwischen den beiden Ransomware-Varianten zeigen den klassischen Zielkonflikt der Informationssicherheit: Für jede Information muss ein Unternehmen abwägen, ob Kopien erstellt werden, um die Verfügbarkeit von Daten zu verbessern, oder ob Kopien möglichst vermieden werden, um die Vertraulichkeit zu sichern.

Risikomanagement

Nicht alle Unternehmen und alle Informationen haben die gleichen Anforderungen an Vertraulichkeit und Verfügbarkeit. Es gilt deshalb, eine Balance zwischen den verschiedenen Sicherheitszielen und Geschäftsanforderungen zu finden, um die Gesamtkosten der eintretenden Risiken und der aufrechterhaltenen Schutzmaßnahmen möglichst zu minimieren. Für ein gezieltes Vorgehen bei der Identifizierung und Beurteilung von Risiken helfen Informationssicherheits-Managementsysteme (ISMS). Diese verfügen über die notwendigen Werkzeuge, um wirtschaftliche Schutzmaßnahmen auszuwählen, sie umzusetzen und nachweisbar zu dokumentieren. Das können technische Maßnahmen wie z. B. Virenscanner, Back-ups und Netzwerk-Steuerung sein, aber auch organisatorische Richtlinien (Wie werden Computer verwendet? Wie werden Auffälligkeiten gemeldet? Welche Notfallpläne sind nötig? usw.). Dabei ist entscheidend, wie diese Schutzmaßnahmen kosteneffizient und effektiv kombiniert werden, sodass mit den verfügbaren Mitteln ein möglichst hohes Sicherheitsniveau erreicht wird.

Um ein Unternehmen gegen Ransomware zu wappnen, sollten in einem ersten Schritt Assets wie relevante Informationen, Geschäftsprozesse, Netzwerke und sowie und die möglichen Risiken identifiziert und beurteilt werden. Ein wirksames Management von IT-Sicherheitsrisiken kann die Gefahr minimieren, dass Informationen und Integrität verloren gehen und es zu einem wirtschaftlichen Schaden kommt.