Noch immer sind sie aktiv und brandgefährlich: Locky, CryptoWall und ähnliche Verschlüsselungstrojaner bringen täglich Unternehmen zum Stillstand oder richten zumindest erheblichen Schaden an. Die Vorgehensweise ist so einfach, wie wirkungsvoll. Gelangt ein solcher Trojaner in ein IT-System, also auf Server oder Clients, verschlüsselt er alle Datenbestände, auf die der aktive Benutzer zugreifen kann.
Wer nicht gut vorbereitet ist, kann dann nur noch hoffen. Kurz nachdem der Trojaner aktiv wird, erhalten Betroffene die Aufforderung, ein Lösegeld zu bezahlen. Im Gegenzug sollten Sie angeblich eine Entschlüsselungssoftware erhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht das allerdings als sehr unsicher an. Die Daten selbst zu entschlüsseln ist jedoch nur mit Hilfe von absoluten Experten auf diesem Gebiet möglich, und selbst dann nicht gesichert. Es wird also auf jeden Fall teuer, wenn man unvorbereitet erwischt wird.
Vorbeugung und Maßnahmen im Ernstfall
Das BSI hat nun einen Leitfaden für die Vorbeugung vor dem Befall mit Ransomware und für Maßnahmen, wenn der Ernstfall eintritt, herausgegeben. Ransomware heißen die Verschlüsselungstrojaner, weil sie immer im Zusammenhang mit einer Lösegeldforderung (auf Englisch Ransom) stehen. Das schöne an diesem Leitfaden: bis auf wenige Passagen ist er auch für Nicht-IT-Spezialisten gut verständlich zu lesen. Die PDF-Datei haben wir Ihnen hier zur Verfügung gestellt:
Das Wichtigste in Kürze
Um einem Befall mit einem Verschlüsselungstrojaner wirksam vorbeugen zu können, muss man zunächst die Vorgehensweise der Schadsoftware verstehen. Die Verteilung der Trojaner erfolgt im Wesentlichen auf folgenden Wegen:
- Per E-Mail:
Dabei kann sich der Trojaner direkt z.B. als .zip- oder .exe-Datei im Anhang einer E-Mail befinden. Wird die Datei angeklickt schlägt der Trojaner zu. Der Trojaner kann sich allerdings auch in Microsoft-Office-Dateien oder PDF-Dateien befinden. Öffnen Sie die Datei, wird der Virus beispielsweise durch ein in der Datei verstecktes Makro auf Ihr System geladen. - Als Exploit-Kit
In diesem Fall wird der Trojaner auf einer Webseite platziert. Kommt ein Besucher auf diese Webseite, wird dessen System nach Schwachstellen untersucht, die ein Eindringen des Trojaners ermöglichen. Wird ein Schlupfloch gefunden, kann der Trojaner auf diesem Weg in das System gelangen. Das alles erfolgt ganz automatisch. So kann z.B. schnell herausgefunden werden, mit welcher Firewall man arbeitet oder welche Version des Betriebssystems installiert ist und ob diese nutzbare Sicherheitslücken aufweisen.
Es gibt noch weitere Wege, wie ein Trojaner sich den Weg in Ihr System bahnen kann, die beiden oben beschriebenen sind jedoch sicherlich am verbreitetsten. Im Zusammenhang mit den Exploit-Kits wird auch das Thema „Social Engineering“, das in Unternehmen noch häufig unterschätzt wird, zu einem wichtigen Faktor. Über die Spuren, die Mitarbeiter beruflich und privat im Internet hinterlassen, kann man oft sehr detaillierte Profile über die Personen anlegen. Diese helfen dabei, einen Mitarbeiter auf eine Webseite zu locken, die mit dem entsprechenden Exploit-Kit ausgestattet ist. Stellt man beispielsweise fest, dass eine Person ein E-Bay-Konto besitzt, kann sie durch sehr originalgetreu nachempfundene E-Mails aufgefordert werden, die E-Bay-Kontodaten zu aktualisieren. Die E-Mail kommt natürlich nicht von E-Bay, ebensowenig wie die Webseite, die man über den enthaltenen Link aufrufen kann.
Vorbeugen
Wenn Sie zwei grundlegende Ratschläge beachten sinkt die Gefahr, von einem Verschlüsselungstrojaner befallen zu werden, spürbar: bringen Sie Ihre Systeme in Ordnung und sensibilisieren Sie Ihre Mitarbeiter!
Veraltete, schlecht konfigurierte Systeme bieten Angriffsflächen. Fehlende oder nicht ausreichende Datensicherungskonzepte sorgen dafür, dass Sie im Ernstfall ohne Fangnetz dastehen. Ein ungeregelter Umgang mit E-Mails öffnet Tür und Tor für Locky & Konsorten. Daher die Tipps des BSI:
- Installieren Sie Updates und Patches immer zeitnah.
- Deinstallieren Sie nicht benötigte Software, um die Angriffsfläche zu minimieren.
- Schränken Sie in den Web-Browsern die Ausführung aktiver Inhalte ein und entfernen Sie nicht benötigte Plugins.
- Achten Sie auf eine klare Policy im Umgang mit E-Mails :
- Unterdrücken aktiver Inhalte bei HTML-Mails.
- Treffen von Einstellungen zur Verhinderung der autom. Ausführung von MS-Office-Dokumentenmakros in E-Mail-Anhängen.
- Unterdrücken der Ausführung von Programmen direkt aus E-Mails heraus.
- Einstellen von Spam-Filtern.
- Blockieren bestimmter Dateiformate (Details siehe BSI-PDF).
- Organisieren Sie die Datenspeicherung auf Netzlaufwerken (keine lokale Speicherung), die in die Datensicherung einfließen.
- Schaffen Sie ein sinnvolles Rechtekonzept: ein Trojaner kann nur die Daten verschlüsseln, auf die der jeweils aktive Benutzer Zugriff hat. In diesem Zusammenhang hilft auch das Segmentieren von Netzwerken.
- Sichern Sie die Remotezugänge zu Ihren Systemen.
- Achten Sie auf sichere Administratoren-Accounts mit starken Passwörtern.
- Nutzen Sie zusätzlich zu Virenscannern weitere Maßnahmen, wie z.B. Tools zur Intrusion Prevention (Vorbeugung von Einbrüchen) oder zur Anwendungskontrolle. Wichtig im Zusammenhang mit Virenscannern: nutzen Sie keine kostenlosen Versionen zum Privatgebrauch. Abgesehen von der rechtlichen Unzulässigkeit sind diese Versionen in der Regel nicht ausreichend konfigurierbar, um eine echte Sicherheit Ihres Systems zu gewährleisten.
Den zweiten Ansatzpunkt bildet der „Faktor Mensch“. Hier sind Sie angehalten, Aufmerksamkeit für das Thema zu schaffen, Ihre Mitarbeiter hinsichtlich der möglichen Gefährdungswege und dem Umgang damit zu schulen und immer wieder auf die Gefahren hinzuweisen. Insbesondere der Umgang mit E-Mails sollte besprochen werden, um den Mitarbeitern zu vergegenwärtigen, dass z.B. auch E-Mails von bekannten Absendern keinen Schutz bieten und das Öffnen von Anhängen immer kritisch hinterfragt werden muss. Auch über die Möglichkeiten des Social Engineering sollte gesprochen werden.
Ein interessantes Beispiel für Social Engineering zeigt die Aktion „National Birthday Calendar“ aus den Niederlanden. Die gemeinnützige Organisation Medialab „Setup“ hat hier auf legalem Wege die Daten von zwischenzeitlich fast 800.000 niederländischen Bürgern zu einem Geburtstagskalender zusammengetragen. Aufgrund der Art der persönlichen Daten, die online zu finden waren, können spannende Funktionen zur Verfügung gestellt werden. So kann z.B. eine Grußkarte direkt online verschickt werden, wenn die E-Mail-Adresse des Betroffenen bekannt ist, oder man soll über Onlineshops direkt passende Geschenke kaufen und liefern lassen können. Hobbies und Vorlieben werden oft im Internet preisgegeben, die private Adresse herauszufinden ist keine Schwierigkeit. Hier finden Sie einen Artikel zur Aktion „National Birthday Calendar“ aus der ZEIT Online.
Einige Anregungen zur Sensibilisierung Ihrer Mitarbeiter für IT-Security-Themen können Sie sicher auch aus den Videos entnehmen, die der Allianz für Cybersicherheit von ihrem Partner, der DATEV eG, zur Verfügung gestellt wurden. Die Schulungsvideos für Mitarbeiter können in dieser Mediathek angesehen werden.
Die Liste dieser Maßnahmen lässt sich natürlich noch fortsetzen, weitere Details finden Sie im Leitfaden des BSI. Die oben genannten Punkte sollten Sie auf jeden Fall schnell überprüfen und angehen, sofern das noch nicht geschehen ist.
Reagieren
Der Trojaner ist da, Datenbestände sind verschlüsselt. Wir hoffen, dass es bei Ihnen nicht so weit kommt. Trotzdem wollen wir hier auch kurz zusammenfassen, was das BSI für den Ernstfall rät.
Gleich vorweg sollten Sie nicht auf die Lösegeldforderung eingehen, sondern umgehend Anzeige erstatten. Damit schaffen Sie die Möglichkeit, die polizeilichen Ermittlungen zu vertiefen und unterbinden die Wirksamkeit des Trojaners aus Sicht der Erpresser. Je mehr Fahndungsdruck und je weniger finanzieller Erfolg zu verspüren ist, umso größer ist die Chance, dass Ransomware bald als unrentables Geschäftsmodell angesehen wird. Um den Befall Ihres Systems zu melden können Sie sich direkt an die zentralen Ansprechstellen der Länder und des Bundes für Fälle von Cybercrime wenden, die Sie auf dieser Übersicht von der Allianz für Cybersicherheit finden.
Wenn Sie oder Ihre Mitarbeiter den Befall des Systems durch einen Trojaner befürchten, z.B. weil Sie aus Versehen auf einen zweifelhaften E-Mail-Anhang geklickt haben, trennen Sie am Besten alle Systeme sofort vom Netz: ziehen Sie Netzwerkkabel, schalten Sie das WLAN ab. Dann sollten Sie am besten nicht selbst Hand anlegen. Um herauszufinden, was passiert ist und wie im Ernstfall vorzugehen ist, ist für Fachleute der Originalzustand des Systems von großer Bedeutung. Starten Sie keine Reparaturversuche, machen Sie keine Neustarts. Wenden Sie sich direkt an Ihren IT-Systempartner oder an IT-Sicherheitsspezialisten, wie sie z.B. in der Übersicht der Allianz für Cybersicherheit zu finden sind. Diese können sich mit der Wiederherstellung der Datenbestände und dem Neuaufsetzen Ihrer Systeme professionell befassen.