Studie zu Ransomware belegt Handlungsbedarf Ransomware – wer ist wirklich betroffen?
5. September 2016Die Allianz für Cybersicherheit hat im Rahmen einer öffentlichen Online-Umfrage überprüft, welche die Bedrohungslage sich derzeit offenbart. Dazu wurden im April dieses Jahres die Daten anonym ermittelt und schließlich wurden 592 bereinigte Datensätze ausgewertet. Dabei gaben 68 Prozent der befragten Institutionen an, innerhalb der letzten sechs Monate nicht von Ransomware betroffen gewesen zu sein. Das übrige Drittel der Befragten war aber nicht nur betroffen, sondern 29 Prozent waren sogar das Ziel von mehr als einer Ransomware-Familie. Daher sollten Mitarbeiter wissen, wie man eine Ransomware-Infektion erkennt und was man dagegen tun kann.
Dauerbrenner
Wer denn überhaupt von Ransomware betroffen ist, das wollte die Allianz für Cybersicherheit im Rahmen einer öffentlichen Online-Umfrage überprüfen. Die Befragung fand im April dieses Jahres statt und wurde anonym durchgeführt. Dabei stellte sich auch heraus, dass Unternehmen aller Größenordnungen Opfer wurden. 54 Prozent der Unternehmen und Institutionen, die es bereits mit Erpresser-Software zu tun bekommen hatten, beschäftigen Mitarbeiter in einer Größenordnung von 1.000 bis 10.000, dicht gefolgt allerdings von der typischen Größe eines mittelständischen Unternehmens mit zwischen 250 und 999 Mitarbeitern. Unternehmen dieser Größe waren immerhin noch zu 44 Prozent von Ransomware-Angriffen betroffen (innerhalb der letzten sechs Monate).
Die Ergebnisse der Umfrage decken sich an dieser Stelle mit denen anderer Umfragen und Studien des BSI. Deutlich angeführt wird die Statistik wenig überraschend von Locky, einer Variante, die Daten auf lokalen Laufwerken und Netzwerkfreigaben verschlüsselt und gerade in den USA und Deutschland besonders erfolgreich war. 93 Prozent der betroffenen Firmen/Institutionen bekamen es mit diesem Erpressungs-Trojaner zu tun, gefolgt von TeslaCrypt mit 74 Prozent. TeslaCrypt – richtet sich gegen Windows-Versionen inklusive Windows XP, Windows Vista, Windows 7 und Windows 8. TeslaCrypt wurde erstmals im Februar 2015 veröffentlicht sowie CryptoWall mit 24 Prozent und sonstige mit 27 Prozent. Der wichtigste Angriffsvektor, so er überhaupt bekannt ist sind E-Mail-Anhänge. Sie waren bei der überwiegenden Mehrzahl der Betroffenen verantwortlich dafür, dass die Ransomware es ins System geschafft hat. Mit deutlichem Abstand folgen sogenannte „Driven-by-Angriffe“.
Derzeit gilt Ransomware weithin als raffinierte Angriffsmethode, gegen die kaum ein Kraut gewachsen ist. Nicht nur hat sie sich als erfolgreiches Geschäftsmodell für Hacker etabliert und die einzelnen Varianten es bereits zu einer gewissen „Markenbekanntheit“ gebracht. Darüber hinaus sind professionelle Ransomware-Entwickler ausgesprochen findig und statten bekannte Familien mit immer neuen Features aus. Cerber verfügt nun beispielsweise über DDoS-Funktionen, und Microsoft berichtete von einer neuen Ransomware-Variante, die sich wie ein Computerwurm verbreiten kann. Und selbst Mac-Anwender sind längst nicht mehr auf der sicheren Seite. Die Zeiten, in denen Cyberkriminelle sich ausschließlich auf Windows-Betriebssysteme beschränkten sind seit KeRanger endgültig vorbei.
Das Speichern von Nutzerdaten auf Netzlaufwerken wie Abteilungs-Fileshares oder in Basisverzeichnissen ist seit Jahren ein verbreitetes Paradigma in der IT. Netzlaufwerke ermöglichen es nicht nur Dateien auszutauschen, sondern sie verhindern auch, dass große Datenmengen auf Endgeräten gespeichert werden. Geht ein Laptop verloren oder wird ein Rechner beschädigt und es befinden sich keine wichtigen Informationen auf der lokalen Festplatte, werden die Geschäftsprozesse dadurch kaum beeinträchtigt. Die IT stellt neue Hardware bereit, mappt die Netzlaufwerke des Nutzers und es geht weiter.
Leider sind auf Netzlaufwerken gespeicherte Dateien nicht unbedingt vor Ransomware geschützt, denn das Betriebssystem behandelt gemappte Netzlaufwerke wie lokale Ordner. Einige Ransomware-Varianten wie der bereits erwähnte Erpressungstrojaner Locky verschlüsseln sogar Dateien auf nicht gemappten Netzlaufwerken.
Warum so gefährlich?
Im Gegensatz zu anderen Cyberbedrohungen bemerken Nutzer zwar die Attacke, da Ransomware üblicherweise alles andere als heimlich vorgeht. Im Gegenteil kündigt sie sich selbst über ein Popup-Fenster an. Trotzdem stellt sich sofort eine ganze Reihe von Fragen: Welche Nutzer sind infiziert? Was wurde noch verschlüsselt? Wann genau hat der Angriff begonnen? Dass viele Mitarbeiter nicht nur mit vertraulichen Daten zu tun haben, sondern in aller Regel auf wesentlich mehr Daten zugreifen können, als sie brauchen, macht die Sache nicht besser. Im Wesentlichen gibt es drei Ursachen, die Ransomware so gefährlich machen:
1. Nur wenige Firmen überwachen die Aktivitäten ihrer Mitarbeiter auf Fileshares, also auf den großen Datei-Repositories, auf die es neuere Ransomware-Varianten abgesehen haben. Wovon man nichts weiß, das ist kaum in den Griff zu bekommen. Ransomware zu erkennen, ohne die Nutzung von Fileshares zu kontrollieren, ist ausgesprochen schwierig.
2. Schlimmer noch wirkt sich aus, dass die meisten Nutzer auf weitaus mehr Dateien zugreifen können als sie eigentlich brauchen. Etliche Dateien sind sogar für sämtliche Mitarbeiter freigegeben. Man braucht nicht viel Fantasie, um sich vorzustellen, welche Schäden Ransomware dann anrichtet: Gelangen die Zugangsdaten nur eines einzigen Nutzers in falsche Hände, führt das unter Umständen bereits zur Verschlüsselung riesiger Datenmengen.
3. Da die meisten Unternehmen und Institutionen nicht dokumentieren, wer welche Dateien wann ändert (oder verschlüsselt), ist nach einem Ransomware-Angriff ein enormer Aufwand nötig, um sicherzustellen, dass nichts verloren gegangen ist. Häufig müssen ganze Fileshares gelöscht und durch Backups ersetzt werden.
Und auch danach wurde in der Online-Umfrage der Allianz für Cybersicherheit gefragt: Welche betrieblichen Auswirkungen hatte die Infektion mit Ransomware? Zwar gaben nur 4 Prozent an, dass ein Worse-Case-Szenario eingetreten ist, und der Vorfall die wirtschaftliche Existenz des betroffenen Unternehmens gefährdet hat. Mit verschiedenen Folgen hatten aber praktisch alle Betroffenen zu kämpfen.
Etliche mussten beispielsweise erhebliche Teile der IT-Infrastruktur präventiv abschalten oder die Systeme sind sogar ausgefallen, es kam zu Ausfällen innerhalb der Produktion oder des Dienstleistungsangebotes, wichtige Daten gingen verloren oder konnten nicht mehr wiederhergestellt werden und bei immerhin gut einem Drittel der Betroffenen dauerte der Angriff länger als 48 Stunden.
Verglichen mit neueren Untersuchungen beispielsweise Erhebungen in UK, haben die Befragten allerdings zu mehr als 95 Prozent das geforderte Lösegeld nicht gezahlt. Die wenigen, die es taten, deren Daten wurden tatsächlich entschlüsselt. Strafrechtliche Konsequenzen hatten die Hacker bei alledem nur selten zu befürchten, denn nur wenige Betroffene haben Strafanzeige gestellt. Lediglich 18 Prozent wählten diesen Weg, 80 Prozent ließen den Vorfall auf sich beruhen.
Die erfolgreichen Ransomware-Angriffe bleiben nicht folgenlos, und die Mehrzahl der Opfer (60 Prozent) geht davon aus, dass sich die Bedrohungslage durch die Erpresser-Software verschärft hat, und der Umgang mit Malware gehört für viele schon zum Tagesgeschäft. Dabei gibt es eine Reihe von Strategien, die helfen, die Auswirkungen von Ransomware in Grenzen zu halten. Unter den Betroffenen der aktuellen Umfrage der Allianz für Cybersicherheit ist eine überwältigende Mehrheit sofort dazu übergegangen, die Mitarbeiter stärker und konsequenter zum Thema Ransomware zu sensibilisieren.
Aber auch technisch wurde investiert beispielsweise in Filterlösungen an Netzübergängen. Eine Methode, die erwiesenermaßen ihre Grenzen hat, wenn die Bedrohung von Insidern ausgeht oder Insider-Konten von einem Hacker gekapert werden konnten. Deren Aktivitäten sind dann nicht mehr ganz so leicht aufzudecken, denn sie sehen aus wie die eines legitimen Nutzers.
Auswirkungen minimieren
Über diese Maßnahmen hinaus gibt es drei grundlegende Methoden, die dazu beitragen die negativen Folgen einer Ransomware-Infektion zu minimieren:
1. Das beste Mittel gegen Ransomware ist es, sämtliche Dateiaktivitäten der Nutzer zu überwachen und zu analysieren. Man kann Ransomware und andere Insider-Bedrohungen beispielsweise daran erkennen, dass erhebliche Änderungen im Dateisystem vorgenommen und große Datenmengen gelöscht werden. Abhilfe schafft es, die Systemprotokolle der Dateien sorgfältig zu überprüfen und eine Überwachungslösung so zu konfigurieren, dass sie auffällige Vorgänge zwingend meldet. So weiß man, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.
2. Was hilft gegen Ransomware, vor der nicht einmal Sicherheitstools für Endgeräte schützen? Die Analyse des Benutzerverhaltens. Dabei wird das normale Verhalten von Benutzern, also ihre üblichen Aktivitäten und Zugriffsmuster, mit den potenziell abweichenden Aktivitäten eines Angreifers verglichen, der die Zugangsdaten eines Mitarbeiters gestohlen hat. Um ein Profil mit den typischen Verhaltensweisen jedes Benutzers zu erstellen, wird das als normal definierte Verhalten überwacht und sämtliche Aktionen protokolliert. So lassen sich ungewöhnliche, anomale Verhaltensweisen schneller als solche erkennen.
3. Das Prinzip der minimalen Rechtevergabe ist eine sehr wirksame Methode, Risiken zügig zu reduzieren, indem man unnötige globale Berechtigungsgruppen aus den Zugriffssteuerungslisten entfernt. Verwendet man Gruppen wie „Jeder/Alle“ oder „Domänenbenutzer“ für Datencontainer (wie Ordner und SharePoint-Sites) werden ganze Hierarchien für sämtliche Nutzer in einem Unternehmen freigegeben. Entfernt man solche Gruppen und vergibt nur die notwendigen.
David Lin, Varonis
Hier geht es zu Varonis