​Erpresserische Schadprogramme: Das sollten IT-Verantwortliche in öffentlichen Verwaltungen wissen

 

Sowohl die Polizei als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und ekom21 haben eine eindeutige Haltung: Nicht zahlen! Trotzdem schätzen Experten die gezahlten Lösegelder auf Millionen Euro. Die Rede ist von erpresserischen Schadprogrammen (Ransomware), die den Zugriff auf Daten und Systeme einschränken oder verhindern. Die Freigabe der Ressourcen erfolgt erst nach Zahlung eines Lösegeldes. Oft zahlen die Opfer das geforderte Lösegeld tatsächlich. So geschehen beispielsweise in Dettelbach. Der Fall sorgte deutschlandweit für Schlagzeilen. Die bayrische Stadtverwaltung hatte sich nicht ausreichend gegen Datenverluste abgesichert und die vom Erpresser verlangte Summe gezahlt, um auf die verschlüsselten Informationen wieder zugreifen zu können.  
e-info21 digital informiert IT-Verantwortliche darüber, wie sie sich am besten vor erpresserischen Schadprogrammen schützen.  

Der einhellige Rat der Polizei, des BSI und von ekom21 lautet: Zahlen Sie nicht!
Quelle: Copyright Antje Delater  / pixelio.de
Was genau ist Ransomware? 
„Ransomware ist ein für Cyber-Kriminelle seit Jahren etabliertes Geschäftsmodell und betrifft Desktop-Betriebssysteme wie Microsoft Windows und Apple Mac OS, Server-Systeme unter Linux als auch mobile Betriebssysteme wie Google Android. Infektionsvektoren (Anmerkung der Redaktion: Angriffspunkte) von Ransomware für Desktop-Systeme sind aktuell hauptsächlich E-Mail-Anhänge oder Drive-By-Angriffe mittels Exploit-Kits“, so das BSI.  
Kommt es bei Behörden zu Störungen durch Ransomware, hängt das Ausmaß des Schadens erheblich von der technischen und organisatorischen Vorbereitung ab. Führt eine Attacke zum Erfolg, empfiehlt ekom21 IT-Verantwortlichen sofort sämtliche infizierten Systeme vom Netz zu nehmen. Nur so lässt sich die weitere Verbreitung der Ransomware unverzüglich stoppen. Doch Vorsicht ist besser als Nachsicht: Präventive Maßnahmen helfen, Angriffe abzuwehren oder den Schaden durch Ransomware zumindest zu begrenzen. Entscheidende Faktoren, um den Schaden durch Ransomware möglichst gering zu halten, sind:  
  1. Wie schnell wird die Störung erkannt und wie schnell lassen sich die Geräte identifizieren, von denen aus die Ransomware Verschlüsselungen durchführt?
  2. Wie alt ist sind die jüngsten, vollständigen und intakten Backups?
  3. Wurde die Rücksicherung vorbereitet und geübt? 
So entwickeln IT-Verantwortliche eine effektive Sicherheits-Strategie 
  • Schulungen und Mitarbeitersensibilisierung
Die wesentlichen Infektionswege für Schadprogramme sind das unbedarfte Öffnen von Anhängen in E-Mails sowie der Besuch kompromittierter Web-Seiten im Internet. Darum ist es für IT-Verantwortliche das A und O,  Mitarbeiter und Kollegen zu sensibilisieren. Auch das Sperren von bestimmten Webseiten – etwa anhand von Signalwörtern – kann ratsam sein. ekom21 verfügt über ein hervorragend ausgebildetes Sicherheitsteam und hilft Behörden, Mitarbeiter zu sensibilisieren und Sicherheitsmaßnamen zu optimieren. (https://www.ekom21.de/Service/Mediathek/Broschueren/Documents/IT_Sicherheitsberatung_eBook/flash.html#/1/).  
  • Backups und Datensicherungskonzept
Die wichtigste Schutzmaßnahme bei einer Ransomware-Attacke ist ein Backup. Da zahlreiche Ransomware-Varianten auch Online-Backups verschlüsseln, sind zusätzliche Offline-Backups zu empfehlen. Die Speicherung wichtiger Daten sollte zudem niemals nur auf lokalen Servern erfolgen. Sicherer ist es, die lokalen Server in externen Rechenzentren – wie etwa dem BSI-zertifizierten-Rechenzentrum von ekom21 – zu spiegeln und auch dort Backups durchzuführen (https://www.ekom21.de/Service/Kundenzeitungen/digital/Seiten/15_3_3_BSI_zertifiziert.aspx). 
  • Patches
Eine weitere Präventionsmaßnahme, auf die keine Organisation verzichten sollte, ist das schnellstmögliche Einspielen von Updates und Patches von Softwareherstellern. Nur so sind Behörden und andere Organisationen davor gefeit, dass Erpresser erneut Schwachstellen ausnutzen, für die bereits Lösungen existieren. Bei Behörden, die ihre Verfahren aus der Cloud von ekom21 beziehen, entfällt dieser Aufwand. Mitarbeiter von ekom21 übernehmen diese Aufgabe. 

Im Notfall können Sie sich auf das Expertenteam von ekom21 verlassen
Quelle: Copyright Stefan Bayer / pixelio.de
  • Angriffsfläche minimieren
IT-Verantwortliche sollten stets darauf achten, nicht mehr benötigte Software möglichst schnell zu deinstallieren. Zudem ist es ratsam, in Web-Browsern aktive Inhalte sowie nicht zwingend benötigte Browser-Plugins (z.B. Java, Flash, Silverlight) einzuschränken. Der Grund ist einfach: Je weniger Programme unbekannte Inhalte öffnen oder unbekannte Codes ausführen können, desto weniger Schwachstellen können Angreifer ausnutzen.  
  • Behandlung von E-Mails und Spam
Viele E-Mails werden heutzutage als sogenannte HTML-E-Mails versendet. Damit diese im E-Mail-Programm korrekt dargestellt werden können, nutzt der E-Mail-Client jedoch oftmals die gleichen Darstellungsmechanismen wie der Web-Browser. Die größte Schutzwirkung bietet die Darstellung der E-Mail als reiner Text. Laut BSI sollten zudem grundsätzlich alle ausführbaren Anhänge, verschlüsselte Archive und Zip-Dateien sowie Makros in MS-Office-Dokumenten blockiert oder zumindest in Quarantäne verschoben werden.  
  • Netzwerke segmentieren
Ransomware kann ausschließlich Dateien verschlüsseln, auf die das ausführende Nutzerkonto Lese- und Schreibrechte hat. Eine Netzwerksegmentierung kann Schäden begrenzen. 
  • Remotezugänge sichern
IT-Verantwortliche sollten Remotezugänge vor Angriffen von außen schützen, etwa durch Virtual Private Networks (ein virtuelles, in sich geschlossenes Kommunikationsnetz), zusammen mit einer Zwei-Faktor-Authentifizierung. Eine Zwei-Faktor-Authentifizierung dient dem Identitätsnachweis eines Nutzers durch die Kombination von zwei unterschiedlichen und unabhängigen Komponenten. Ein bekanntes Alltagsbeispiel ist die Kombination aus Bankkarte und PIN am Geldautomat. Auch Monitoring und Quell-IP-Filter können die Absicherung unterstützen.  
  • Sicherer Umgang mit Administrator Accounts
Über privilegierte Accounts sollten IT-Verantwortliche ausschließlich Administratorentätigkeiten durchführen. Um E-Mails zu lesen oder im Internet nach Informationen zu suchen, sollten sie hingegen auf normale Userkonten zurückgreifen. Zudem sollten IT-Verantwortliche auch privilegierte Konten immer über eine Zwei-Faktor-Authentifizierung schützen. 
  • Virenschutz
Anhand normaler AV-Signaturen sind neue Versionen von Schadsoftware nur selten sofort zu erkennen. Darum sollten IT-Verantwortliche bei professioneller Antivirensoftware konsequent alle verfügbaren Module nutzen. 

Viele E-Mails werden heutzutage als sogenannte HTML-E-Mails versendet. Die größte Schutzwirkung bietet die Darstellung der E-Mail als reiner Text.
Quelle: Copyright Maik Schwertle  / pixelio.de
Wie sollten öffentliche Verwaltungen bei Erpressungsversuchen reagieren?
Führt eine Attacke trotz der beschriebenen Präventionsmaßnahmen zum Erfolg, empfiehlt ekom21 ein Foto des Bildschirms zu machen und unbedingt Anzeige zu erstatten. Denn zum einen garantiert niemand, dass der Täter Wort hält und von ihm zuvor verschlüsselte Daten tatsächlich wieder entschlüsselt. Zum anderen motiviert jeder Erfolg die Erpresser zu weiteren Straftaten.
Von Ransomware betroffene Organisationen können sich im Notfall stets auf das Expertenteam von ekom21 verlassen. Allerdings: Am besten fahren Unternehmen damit, wenn sie zur Verfügung stehende Schutzmöglichkeiten optimal nutzen. Wie das funktioniert, erklärt die IT-Sicherheitsberatung von ekom21:

 

Weiterführende Links:
Ausführliches Whitepaper des BSI – Ransomware: Bedrohungslage, Prävention & Reaktion
Tesla-Crypt: Erpressung mit Trojaner - Stadtverwaltung zahlte Lösegeld
ekom21 ist BSI-zertifiziert
Ransomware abwehren - denn: Wer zahlt, wird weiter attackiert