Ransomware: So gefährlich wie nie!

Die Bedrohungslage sei so hoch wie nie, weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf eine unselige Allianz krimineller und staatlicher Akteure hin. Auch die Sicherheit kleinerer Betreiber von IT-Systemen, wie typisch im (Metall-)Handwerk, ist gefährdet. Hat sich eine Ransomware erst einmal in einem IT-System eingenistet, wird sie früher oder später das gesamte System verschlüsseln und den Betreiber mit einer Lösegeldforderung konfrontieren. Früher galt noch ein Backup als beste Versicherung bei verschlüsselten Daten. Doch auch die Technik der Lösegelderpresser entwickelt sich weiter.

Moderne Ransomwares verweilen längere Zeit unbemerkt im System und infiltrieren nach und nach auch Backups. Erst wenn auch das älteste Backup aus der Sicherungsroutine unbrauchbar ist, tritt die Software in Erscheinung. Unternehmen sind dazu gezwungen, ihre Speicherstrategie zu verbessern. Hat ein Krimineller Zugang zum Netzwerk erlangt, ist es für ihn leicht, darin zu navigieren und Backup-Dienste zu manipulieren. Wenn sein Angriff entdeckt wird, ist es oft zu spät.

Vorsorge ist besser als Nachsicht

Hier finden Sie eine Reihe von Strategien, um den Parasiten im System das Leben zu erschweren.

Aufgabentrennung:

Oft haben einzelne Benutzerkonten eine zu große Anzahl an Berechtigungen. Entweder aus Bequemlichkeit, technischen Limitierungen folgend oder aus Unwissenheit. Gelingt es Angreifer*innen, die Berechtigung eines solchen Super-Users zu bekommen, stehen alle Türen offen.

Besser ist es, die Berechtigungen auf verschiedene Konten zu verteilen. Beispielsweise sollte die Administration der Speicherverwaltung nicht auch gleichzeitig für die Freischaltung von Benutzerkonten berechtigt sein.
Das bedeutet nicht zwingend, dass solche Aufgaben auf mehrere Menschen verteilt sein müssen. Allerdings sollte Ihr IT-Beauftragten bei den einzelnen Teilgebieten mehrere unterschiedliche Benutzerkonten mit individuellen Zugangsdaten einrichten.

Die 3-2-1 Regel:

Drei Kopien, auf zwei verschiedenen Datenträgern mit mindestens einer Kopie an einem anderen Standort. Die Datenträger sollten dabei Nachfolgeprodukte der guten alte Band- und optischen Laufwerke mit nur beschreibbaren und nicht wiederbeschreibbaren Medien sein. Im Tresor fernab der Werkstatt können sie nicht von Hackern angegriffen oder verändert werden.

Air-Gapping:

Air-Gapping stellt sicher, dass auf Daten, die an einem Standort gespeichert wurden, nicht von einem anderen Standort heraus zugegriffen werden kann. Im Klartext bedeutet das: Netzwerkverbindungen werden abgebaut und nur bei Bedarf bereitgestellt. So entsteht ein „Air Gap“, den externe Angreifer nicht überwinden können, solange die Netzwerkverbindung gelöst ist.

Papier ist geduldig:

Erfahrungen von Betroffenen eines Ransomware-Angriffes zeigen, dass auf rein digital vorgehaltene Informationen im Fall des Falles oft nicht schnell genug zugegriffen werden kann. Das gilt für Passwörter von Admin-Accounts, Codierung von Bandlaufwerken und sogar Bankzugangsdaten. Wenn diese Daten nur in Dateien oder elektronischen Passwortsafes gespeichert sind, ist es im Ernstfall zu kompliziert, schnell darauf zuzugreifen. Papierausdrucke, die natürlich sicher aufbewahrt werden müssen, sind da die bessere Wahl.

Notfallplan:

Machen Sie einen Notfallplan, wie eine Wiederherstellung der IT durchgeführt werden kann. Welche Systeme sind unternehmenskritisch und müssen schneller rebootet werden? Gibt es Automatismen, die deaktiviert oder aktiviert werden müssen? Welche Personen mit welchen Berechtigungen müssen hinzugezogen werden. Dieser Notfallplan sollte auch in einer Trockenübung durchlaufen werden, um Fallstricke zu finden.

Ein Tipp im Verdachtsfall

Wenn in Ihrem Betrieb der Verdacht eines Cyberangriffs vorliegt, sollten Sie die betroffenen Computer oder Server sofort vom Netzwerk trennen. Entweder durch Ziehen das LAN-Kabels und/oder durch die Deaktivierung der Netzwerkkarte und der WLAN-Verbindung. Die Computer und Server sollten jedoch nicht komplett heruntergefahren werden. Im laufenden Betrieb können Security-Experten mit temporären Speicherdaten den Angriff rekonstruieren. Im Falle eines Reboots werden diese Daten gelöscht. Nur wenn sich das Netzwerk nicht zeitnah lösen lässt, sollte das System heruntergefahren werden.