WatchGuard Blog

Ransomware darf sich nicht auszahlen

Das Thema „Kidnapping“ ist stets eine heikle Angelegenheit und die Frage, ob und wie man Lösegeld zahlt, kann im Zuge der Entführung von Menschen nicht eindeutig beantwortet werden. Im Gegensatz dazu lautet die klare Empfehlung des BSI (Bundesamt für Sicherheit in der Informationstechnik), im Fall von Ransomware, die es auf die „Entführung“ immaterieller Daten abgesehen hat, nicht zu bezahlen. Schließlich darf dabei niemals vergessen werden, dass man es mit Kriminellen zu tun hat. Es ist nicht sicher, ob sich diese an eigene Versprechen sowie getroffene Abmachungen halten. Vielmehr bestätigt sie jede bezahlte Forderung darin, dass ihr Geschäftsmodell funktioniert.

Persönliche Daten in Gefahr

Zwar geht es bei Ransomware „nur“ um den gesperrten Zugriff auf die Inhalte und Festplatten von Rechnern, aber deswegen ist es nicht weniger persönlich. Wir alle verbringen einen Großteil unserer Arbeits- und Freizeit im Internet. Bei Online-Spielen, in Videomeetings sowie natürlich beim Einkaufen und Online-Banking kommen zur Bestätigung der Identität persönliche Informationen zum Einsatz. Aus diesem Grund ist Ransomware so gefährlich: Sobald Anwendern ihre digitalen Identitäten gestohlen oder Zugriffe darauf verwehrt werden, steigt die Bereitschaft, auf die Forderungen einzugehen.

Die Zeit läuft ab

Ransomware existiert in mehreren Varianten. Je nach Art der Schadsoftware werden beispielsweise alle Dokumente verschlüsselt oder der Zugriff auf den Desktop gesperrt. Andere hingegen übernehmen den Rechner komplett und übermitteln im Hintergrund wichtige Daten an den Angreifer. In allen Fällen wird eine Meldung auf dem Bildschirm angezeigt, die den Nutzer anweist, einen bestimmten Betrag als Lösegeld in einer Kryptowährung zu bezahlen. Ein ablaufender Timer zeigt an, wie viel Zeit dafür bis zum endgültigen Löschen der Daten bleibt. Das erhöht den Druck zusätzlich.

Evolution des Ransomware-Geschäftsmodells

Die erste Ransomware-Welle in den Jahren 2016/2017 stand unter dem Motto „Masse statt Klasse“: Es wurde versucht, so viele Rechner wie möglich zu infizieren, wobei das verlangte Lösegeld meist bis zu 100 Dollar betrug. Danach spezialisierten sich die Cyberkriminellen auf bestimmte Unternehmen und darauf, einen Zugang zum internen Netzwerk zu erhalten, um die Schadsoftware dort zu verteilen. Im Zuge dessen erhöhten sich die Lösegeldforderungen um den Faktor 10 auf mehrere tausend Dollar. Das sprach sich natürlich auch bei den Unternehmen herum und dementsprechend stieg die Nachfrage nach Cyberversicherungen gegenüber Ransomware. Damit ging das Kalkül der Angreifer auf. Wenn ein Unternehmen mit einer Cyberversicherung Opfer einer Ransomware-Attacke wird, springt die Versicherungsgesellschaft bei der Rückforderung des gezahlten Lösegelds ein und die Bereitschaft des Unternehmens steigt, das Lösegeld zu bezahlen.

Im Januar 2020 startete dann mit der Ransomware Maze die nächste Eskalationsstufe. Es wurde nicht nur den Zugang zum Rechner und/oder auf die Dokumente eingeschränkt, gleichzeitig wurden auch Daten an einen Command-and-Control-Server übertragen. Der Brückenschlag zwischen zwei unterschiedlichen Geschäftsmodellen war damit perfekt: Mit Lösegeldforderungen und dem Verkauf gestohlener Daten – der bisherigen Haupteinnahmequelle der Hacker – konnte gleich doppelt abgesahnt werden.

Für die Opfer noch beunruhigender ist, dass sie nun davon ausgehen müssen, dass bei jedem Ransomware-Angriff vertrauliche Daten über das Internet übertragen werden. Vorfälle wie diese sind gemäß der DSGVO meldepflichtig. Für betroffene Unternehmen entsteht dadurch ein noch größerer Schaden, da sie für die sichere Speicherung der persönlichen Daten verantwortlich zeichnen. Zu den Kosten für die Wiederherstellung und etwaigen Strafen kommt jetzt noch der Vertrauens- und Imageverlust bei Kunden, Partnern und Mitarbeitern.

Ein Muss: mehrschichtige Sicherheitskonzepte

Glücklicherweise gibt es Licht am Ende des Tunnels, denn ein mehrschichtiges Sicherheitskonzept ist auch gegen Ransomware-Attacken wirksam. Unternehmen sollten ihre Gateways mit Security-Features wie einem Virenschutz der nächsten Generation, Intrusion Prevention, DNS- und URL-Filterung sowie Deep Packet Inspection absichern. Eine Multi-Faktor-Authentifizierung zieht einen zusätzlichen Burggraben um persönliche Accounts. Sämtliche Endgeräte sollten über Lösungen für EPP (Endpoint Protection Platforms) und EDR (Endpoint Detection and Response) verfügen und betriebssystemseitig vollständig gepatcht sein. Ransomware-Attacken lassen sich dadurch direkt bekämpfen. Einen weiteren wichtigen Punkt stellen regelmäßige Backups auf Datenspeichern dar, die vom allgemeinen Netzwerk getrennt sind. Unternehmen sollten ihre kritischen Dateien zusätzlich über DLP (Data Loss Protection)-Lösungen sichern.

Ein aktuelles Dokument des BSI (Bundesamt für Sicherheit in der Informationstechnik) mit dem Titel „Ransomware: Bedrohungslage, Prävention & Reaktion 2019“ bietet unter folgendem Link weiterführende Informationen: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.html