Panik vor dem Unbekannten: Unternehmen haben große Angst vor Ransomware, obwohl die meisten noch nie selbst damit zu tun hatten.
Zu diesem Ergebnis kommt die Studie "Closing Security Gaps to Protect Corporate Data" des Ponemon-Instituts im Auftrag des Security-Anbieters Varonis, für die über 3000 Mitarbeiter US-amerikanischer, britischer, deutscher und französischer Unternehmen befragt wurden. Knapp über die Hälfte der Befragten sind im IT- und IT-Security-Bereich tätig.
46 Prozent der Umfrageteilnehmer schätzen ihre Furcht vor Ransomware als "sehr hoch" ein, ein knappes Drittel als "überdurchschnittlich hoch". Nur jeder zehnte Befragte hat wenig bis gar keine Angst vor Ransomware. Interessant ist derweil, dass fast drei Viertel (72 Prozent) aller befragten Unternehmen noch nie mit dieser Art der Cyber-Erpressung in Berührung gekommen sind - 13 Prozent sind sich unsicher. Heißt: 85 Prozent aller Unternehmen waren ziemlich sicher noch nie direkt mit Ransomware konfrontiert, haben aber fast durchgängig extreme Panik, dass es sie "erwischen" könnte.
Die Angst vor Ransomware ist weit verbreitet - die Ransomware selbst nicht so sehr. Foto: Martial Red - shutterstock.com
Vielleicht etwas beruhigend: Die wenigen Unternehmen, die bereits ihre Erfahrungen mit der Cyber-Erpressung gemacht haben, entdeckten häufig binnen 24 Stunden (54 Prozent der Befragten) oder zumindest binnen einer Woche (32 Prozent), dass sie eine Ransomware auf den Systemen hatten.
Ransomware-Opfer: Die Ziele der Hacker
Notfall- und Rettungsdienste Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.
Der Durchschnittsuser Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.
Unternehmen Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.
Strafverfolgungs- und Regierungsinstitutionen Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.
Gesundheitswesen Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.
Bildungseinrichtungen Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.
Religiöse Institutionen Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.
Finanzwesen Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Unsichere Daten
Von der etwas überhitzten Ransomware-Panik einmal abgesehen, führt der Schutz von vertraulichen Daten in vielen Unternehmen noch immer ein Schattendasein: Die Studie belegt, dass drei von vier Firmen innerhalb der vergangenen zwei Jahre Opfer eines Datenklaus wurden. Das ist etwas verunsichernd, wenn man bedenkt, dass 88 Prozent der Befragten angaben, dass ein Großteil ihrer Arbeit vom Umgang mit Kunden-, Mitarbeiter-, Finanz- oder anderen schützenswerten Daten abhänge.
Die Autoren der Studie kommen zu dem Schluss, dass Unternehmen die gegenwärtigen Umwälzungen ihrer Arbeitsabläufe und Geschäftsmodellen noch immer nicht ernst genug nehmen. Vertrauliche Daten, die essenziell für die Wertschöpfung des Unternehmens seien, würden unzureichend geschützt. Sie empfehlen Anwendern, ihre Datensicherheitsstrategie noch einmal grundlegend zu überdenken.
IT-Sicherheit: Das hilft gegen Ransomware
Das hilft gegen Ransomware-Angriffe Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können.
Software-Update Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen.
Backup Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist.
Aktueller Endpunkt-Schutz Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist.
Intrusion Prevention System Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind.
Datei- und Dokumenten-Analyse Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat?
Sample-Extraktion Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen.
Netzwerkprotokolle wiederherstellen Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken.
Verschlüsselungsanalyse Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.