Suchen

Verbraucher erwarten Schutz ihrer Informationen Drei Jahrzehnte Ransomware

| Autor / Redakteur: Mark Nutt* / Peter Schmitz

Erpresserische Angriffe auf Unternehmen mit Verschlüsselungssoftware haben in den letzten Jahrzehnten eine rasante Entwicklung durchlaufen und werden weiter eine große Gefahr für die Datensicherheit stellen. Unternehmen müssen sich nicht zuletzt durch ständige Datensicherung in die Lage versetzen, solche Angriffe ignorieren zu können. Das verlangen auch die Verbraucher.

Firma zum Thema

Ransomware setzt Unternehmen unter Zugzwang, denn Verbraucher erwarten den Schutz ihrer Informationen durch IT-Security und Backups.
Ransomware setzt Unternehmen unter Zugzwang, denn Verbraucher erwarten den Schutz ihrer Informationen durch IT-Security und Backups.
(Bild: gemeinfrei / Pixabay )

Im Mai 2000 veränderte ein Student auf den Philippinen mit einem simplen Stück Malware die Welt der Cybersicherheit für immer: LoveBug hatte am Ende mehr als 45 Millionen Computer infiziert und den Grundstein für die milliardenschwere Industrie der der Erpressersoftware gelegt. Es war die erste Malware, die sowohl Unternehmen als auch Privatuser in erheblichem Maße schädigte und offline stellte. Einer der wichtigsten aktuellen Schwerpunkte der damals beginnenden kriminellen Cyberindustrie ist zur Zeit die Ransomware.

AIDS-Trojaner war der Urvater der Ransomware

Bereits 11 Jahre davor war die eigentliche Ransomware geboren – mit dem so genannten „AIDS-Trojaner“. Das Schadprogramm wurde über Floppy-Disks verbreitet, mit der Forscher ihre Ergebnisse untereinander austauschten. Das Schadprogramm verschlüsselte die Dateinamen und die Opfer sollten erst nach Zahlung per Scheck ihre Daten wieder freibekommen.

Der Angriff blieb wirkungslos. Die Opfer mussten die Malware erst über die Diskette installieren und einen Scheck nach Panama schicken. Weil der AIDS-Trojaner eine synchrone Verschlüsselung nutzte, konnten IT-Experten den Opfern zudem bei der Wiederherstellung ihrer Dateien helfen, ohne dass Lösegeld gezahlt werden musste. Sein Urheber Dr. Joseph Popp wurde nicht reich, sondern kam ins Gefängnis.

Ausgereiftere Techniken folgten

Inspiriert vom AIDS-Trojaner und von den Möglichkeiten zur Massenwirksamkeit, die LoveBug bewiesen hatte, entwickelte sich die Cyber-Erpresser-Industrie weiter. GPCoder in 2004 und Archievus in 2006 zwangen Opfer zum Kauf von Schlüsseln oder Entschlüsselungs­software. Aber auch hier konnten die Abwehrexperten schnell die verschlüsselten Daten wieder dekodieren.

Die Malware-Varianten CryptoLocker, CryptoDefense und CryptoLocker2.0 nutzten 2013 völlig neue Methoden. Die Ransomware verbreitete sich über E-Mail-Anhänge und kompromittierende Webseiten. Infizierte Systeme konnten über Botnetze von Cyberkriminellen gesteuert werden. Die starke AES-256-Verschlüsselung war nun auch eine größere Herausforderung für die Dekodierer. Hintermänner blieben zudem durch die Lösegeldzahlung mit Bitcoin länger unentdeckt. Es dauerte ein ganzes Jahr bis das Botnetz enttarnt und größtenteils abgeschaltet wurde. WannaCry zeigte dann 2017 endgültig das Potential von Ransomware: Diese Attacke infizierte binnen vier Tagen 230.000 Geräte aus mehr als 150 Ländern und verfasste Erpressungsschreiben in 20 verschiedenen Sprachen.

Die digitalen Erpresser programmieren mittlerweile komplexere Schadsoftware, die sich um ein Vielfaches schneller verbreiten. Statt Privatpersonen greifen sie nun vor allem Unternehmen an. Denn diese sind oft bereit, ein hohes Lösegeld zu zahlen. Laut den Experten von Coveware fließen im Schnitt pro Fall aktuell 110.000 US-Dollar. Travelex soll Hackern 2,3 Millionen Dollar gezahlt haben, um sich von einem Angriff im Januar 2020 freizukaufen. Norsk Hydro benötigte angeblich im Jahr 2019 75 Millionen US-Dollar, um alle Schäden eines gelungenen Ransomware-Angriffs zu beseitigen – einschließlich der aufgelaufenen Kosten, die sich durch den Umsatz- und Produktionsverlust in der Zeit des erzwungenen Stillstands summiert haben.

Unternehmen unter Zugzwang

Ransomware ist eine ausgereifte Bedrohung, mit der jedes Unternehmen rechnen muss. Und dieses Bewusstsein ist auch bei den Verbrauchern angekommen. Veritas Technologies hat aktuell deutsche Verbraucher zum Thema Ransomware befragt. Die Botschaft ist eindeutig: Zwar meinen 64 Prozent der 2.000 Befragten, dass Firmen Hackern die Stirn bieten und sich weigern sollten, für verschlüsselte Daten Lösegeld zu zahlen. Aber sobald es um Informationen zur eigenen Person geht, sehen sie die Unternehmen deutlich in der Pflicht. Weltweit erwarten 71 Prozent der 12.000 Befragten im Schnitt eine Überweisung von 1070 Euro pro User (siehe Kasten) Ein Lösegeld, welches die Studienteilnehmer den Unternehmen zumuten würden. Das würde sich bei den jüngsten hochkarätigen Attacken mit Hunderttausenden von gekaperten Benutzerdaten also auf Hunderte von Millionen Euro belaufen.

Ergänzendes zum Thema
Ransomware-Studie von zeigt den Wert persönlicher Daten

Soviel Euro wären nach einer Ransomware-Studie von Veritas Technologies 71 Prozent der weltweit 12.000 Befragten jeder ihrer persönlichen Datensätze je nach Informationsart wert:

Wieviel sind Ihnen Ihre persönlichen Datensätze wert?
Wieviel sind Ihnen Ihre persönlichen Datensätze wert?
( Bild: Veritas Technologies )

Und damit sind Unternehmen und die Geschäftsführung im Auge des Verbrauchers noch lange nicht aus dem Schneider. Mehr als ein Drittel der deutschen Verbraucher wollen laut Studie die Geschäftsleitung persönlich für sämtliche Ransomware-Attacken verantwortlich machen. Zudem erwarten 58 Prozent eine Entschädigung. 29 Prozent würden den CEO sogar ins Gefängnis schicken. Die Umfrage zeigt außerdem, dass Verbraucher sich schnell von Firmen abwenden, die erfolgreich von Ransomware angegriffen wurden. 42 Prozent der Befragten würden nicht mehr bei den betroffenen Firmen kaufen.

Die deutschen Verbraucher erklären in ihren Antworten klar und deutlich, was sie von Unternehmen zum Schutz für ihre Daten erwarten: Sicherheitssoftware (80 Prozent) und Sicherungskopien ihrer Daten (62 Prozent). Wenn Firmen diese Technologien einsetzen, sind sie nach Einschätzung der Umfrageteilnehmer besser in der Lage, die Folgen erfolgreicher Ransomware-Angriffe zu beheben. Denn entweder sie verhindern den Angriff oder werden immun gegen die Erpressungsversuche, weil sie ihre Daten zuverlässig wiederherstellen können.

Vier Trümpfe gegen Ransomware

Unternehmen stehen der Bedrohung aber nicht machtlos gegenüber und können ihre Daten mittlerweile auch viel intelligenter und umfassender schützen. Vier Best Practices haben sich dabei etabliert und sollten Teil der Anti-Ransomware-Strategie eines Unternehmens sein: Schützen, Erkennen, Reagieren und Wiederherstellen.

  • Schützen: Unverzichtbar ist eine mehrstufigen Anti-Malware-Abwehr. Ebenso wichtig ist aber auch eine Sicherungskopie der Geschäftsdaten als vollständiges Backup außerhalb des Unternehmens auf einem unveränderlichen Speicher zu platzieren.
  • Erkennen: Je schneller ein Unternehmen einen Ransomware-Angriff erkennt, desto schneller kann es darauf reagieren. Daher sollten alle Tools für Anti-Malware, Intrusion- und Anomalie-Detection permanent aktualisiert werden. Außerdem spielt die Schulung der Mitarbeiter eine wichtige Rolle, um etwa verdächtige Mails vorab schon zu erkennen.
  • Reagieren: Sobald Firmen sehen, dass Sie attackiert werden, müssen sie Systeme rasch herunterfahren können, um weitere Infektionen zu verhindern. Es ist absolut erforderlich, schnell festzustellen, wann die erste Infektion auf jedem betroffenen System aufgetreten ist.
  • Wiederherstellen: Unternehmen müssen in der Lage sein, eine große Anzahl von Servern schnell wiederherzustellen und auf einen sicheren, sauberen Datenstand zurückzusetzen. Ein Recovery Point Objective, der den Informationszustand vor Beginn einer Verschlüsselungsattacke wiedergibt und dessen Wiederherstellung ermöglicht, kann den Schaden begrenzen. Regelmäßige Backups sind im Ernstfall Gold wert.

Ransomware lässt sich überlisten

Mit dem AIDS-Trojaner startete die Ransomware-Geschichte 1989 im Gesundheitsbereich. Und gerade dieser Sektor wird weiter ein Hauptziel der Erpresser sein. Denn gerade hier hängen tägliche und oft lebenswichtige Abläufe von der Verfügbarkeit der Informationen ab. Um Verschlüsselungsattacken in Zukunft ins Leere laufen zu lassen, müssen auch diese Organisationen das Backup weiter automatisieren. Zugleich müssen sie aber auch einen besseren Überblick über all ihre Datenbestände gewinnen, um so zu wissen, welche Informationen wo zu schützen sind.

Die Angreifer selber treten nicht auf der Stelle. Social Engineering wird auch für Ransomware genutzt werden. Zudem werden die Angreifer gezielt verschlüsselte Daten extrahieren und eventuell sogar veröffentlichen. Ein Alptraum für Unternehmen gerade angesichts der Verpflichtungen, die die DSGVO ihnen zum Datenschutz auferlegt. Nun wird es für Unternehmen schwer, die Attacke zu ignorieren. Um in solchen Situationen angemessen reagieren zu können, ist es essenziell, Backup-Kopien aller Dokumente anzulegen und ein klares Verständnis von Inhalt und Wert der Informationen zu besitzen, die kompromittiert wurden. Und gerade hier wird deutlich, dass Backup und IT-Security weiter effektiv zusammenspielen müssen. Dokumente vor Zugriff schützen und im Ernstfall wiederherstellen können, sind ein Teil der Medaille – und werden es auch bleiben.

* Der Autor Mark Nutt ist VP EMEA bei Veritas Technologies, einem Spezialisten für Datenschutz und Verfügbarkeit.

(ID:46664534)