Seit Anfang 2020 arbeiteten immer mehr Menschen im Home-Office. Für viele hat die Arbeit im Eigenheim weiterhin Vorteile. Doch das gilt nicht für die Sicherheit der Firmen- und Kundendaten, die jederzeit abrufbar sind und z.B. über Cloud Services auf die heimischen PCs der Mitarbeiter geladen werden können.
Diese Systeme sind besonders anfällig sind für Cyber-Angriffe wie Ransomware-Attacken. Aber reicht eine Anti-Ransomware-Software, die Mitarbeiter zum Schutz vor Hackerangriffen installieren müssen? Welche weiteren Schutz-Massnahmen gibt es, die KMU ergreifen können?
Wir erklären, wie Sie Ihr KMU vorbereiten mit Beispielen aus unserem eigenen ganz normalen Berufsalltag…
Erfahren Sie:
- was eine Ransomware ist,
- wie Ransomware auf Firmencomputer gelangt, und
- warum gerade KMU immer häufiger betroffen sind (!)…
Ausserdem lesen Sie unten natürlich, was Sie konkret tun können, wie sich gegen Ransomware-Angriffe schützen können und wie Sie im Ernstfall richtig reagieren: Wenn Sie sofort zu diesem Teil springen möchten, klicken Sie hier:
► Anti-Ransomware Schutz-Massnahmen und Soforthilfe
Ransomware — ein Alptraum für jedes KMU
Bevor wir klären, was Ransomware bedeutet, geben wir einen kurzen Überblick über das weite Feld der Cyberkriminalität. Wir alle kennen Computer-Viren, doch es gibt verschiedene Formen von schädlicher Software, die einen Computer, ein Programm oder ein Gerät befallen kann: Sie alle fallen unter den Begriff „Malware“.
Was ist Malware?
Der Ausdruck Malware setzt sich aus den englischen Worten „malicious“ (bösartig) und „software“ zusammen und stellt somit einen Sammelbegriff für bösartige Software jeglicher Art dar. Kurz: Eine Malware ist eine Schadsoftware.
Cyberkriminalität und andere virtuelle Bedrohungen können dabei verschiedene Formen annehmen:
- Was ist ein Computer-Virus? Ein aus schädlichem Code bestehendes Malware-Programm, das sich selbst von Gerät zu Gerät kopieren kann.
- Was ist ein Trojaner? Es ist ein getarntes Programm — ganz im Sinne eines trojanischen Pferdes — das dazu dient, Schaden anzurichten. Diese Art der Malware kann Dateien, Programme und ganze Rechner-Systeme infiltrieren, manipulieren, löschen oder sperren und selbst den rechtmässigen Eigentümern ganz plötzlich jeden Zugriff verweigern.
- Was ist ein Wurm? Ein Wurm ist eine sich selbst replizierende Virusart. Ein Wurm hängt allerdings nicht an einer Datei, sondern schlängelt sich durch Sicherheitslücken, um in ein Netzwerk einzudringen. Sicherheitslücken müssen deshalb bereits vorher gefunden und eliminiert (z.B. per Vulnerability Disclosure Programm, das in einigen Ländern nicht ohne Grund bereits Pflicht ist)
Was Ransomware ist, erklären wir Ihnen im nächsten Abschnitt ausführlich…
Tipp: Wenn Sie mehr zum Thema Computer-Viren und Schutz vor Malware lesen möchten, werfen Sie einen Blick in unser Buch, das nach wie vor aktuell ist und bereits in 17 Sprachen übersetzt worden ist: Harley, David, Slade, Robert & Gattiker, Urs E. (2002). Viruses revealed. New York: McGraw-Hill (Deutsche Ausgabe: Das Anti-Viren-Buch, Bonn: mitp Verlag)
Was ist Ransomware?
Eine Ransomware ist eine besondere Art von Malware und eine Form von Trojaner: Es handelt sich bei Ransomware um eine Online-Erpressungssoftware, die alle Dateien des Nutzer verschlüsselt und ihm so den Zugriff auf die eigenen Daten verweigern.
Meist gelangt eine solche Malware durch das unbedachte Handeln eines Nutzers wie etwa das Öffnen eines E-Mail-Anhangs zuerst unbemerkt auf den Heim- oder Firmenrechner.
Um die Daten zu entschlüsseln, braucht es ein Passwort, das Hacker nutzen, um Lösegeld einzufordern oder andere Formen der Online-Erpressung durchzuführen.
Für KMU bedeutet das, dass ein Hacker interne Firmendaten von nahezu jedem Mitarbeiter im Home-Office erpressen kann, der sich durch eine Fake-Mail in die Irre führen lässt…
Wie gelangt Ransomware auf einen Computer?
Malware wie etwa Ransomware kann Opfer zum Beispiel durch eine unbedeutend aussehende E-Mail erreichen, in der Empfänger aufgefordert werden, auf einen bösartigen Link zu klicken oder eine infizierte Datei im Anhang zu öffnen.
Sobald Ihr System kompromittiert ist, greift das Virus auf alle Dateien auf Ihrem PC oder dem Server zu. Ihre Dateien werden verschlüsselt und können nur mithilfe eines Passwortes entschlüsselt werden.
Die schwächsten Links in der Kette sind Menschen, die durch eine solche E-Mail ausgetrickst werden können: Manchmal kommen diese ganz harmlos daher, wie wir aus eigener Erfahrung wissen:
Auch wir erhielten im April 2020 ebenfalls eine unscheinbare Mail mit der Aufforderung eine ausstehende Rechnung zu bezahlen…
Beispiel eines versuchten Ransomware-Angriff?
Was denken Sie?
Als wir eine Mail zwecks eines anscheinend noch nicht bezahlten Rechnungsbetrag von unschlagbaren CHF 48’720.12 erhielten, war uns klar, dass hier etwas nicht stimmen konnte.
Unsere Buchhaltung konnte nicht einordnen, um was es ging, denn es wurde aus dem Mail-Text allein nicht ersichtlich. Doch sie war natürlich vorsichtig und öffnete den Anhang dieser Mail nicht, da schon für Malware wie Ransomware sensibilisiert.
Neben einer ungewöhnlichen und völlig unbekannten Absender-Adresse war auch der Text auffällig: Wir hatten in der Vergangenheit in keinster Weise irgendeine „Akquisitions- und Beratungsdienstleistung“ eines britischen Unternehmens bezogen.
Also warteten wir einfach ab… ohne den Anhang zu öffnen und natürlich auch ohne den verlangten Preis zu bezahlen.
Eine weitere Mail wie beispielsweise eine Zahlungserinnerung blieb gänzlich aus…
Das war für uns ein ganz klares Zeichen, dass hier kein seriöses Spiel gespielt wurde! Und Sie fragen sich nun vielleicht: Funktioniert diese betrügerische Masche überhaupt?
Was bringt es dem Hacker, so eine Mail zu senden, und sich dann nicht mehr zu melden? Die Antwort auf diese Frage ist traurig, aber war, und erklärt auch, warum KMU leicht Opfer von Ransomware-Attacken werden…
Warum werden KMU leicht Opfer von Ransomware-Angriffen?
Man kann sich natürlich die Frage stellen, warum kleine Firmen überhaupt interessant sind für Cyberangriffe. Ein Grund ist sicher das fehlende Know-how, um IT-Systeme angemessen zu schützen. Oft laufen die Rechner mit veralteter, nicht gepatchter Software. Das gilt leider für viele Content Marketing Agenturen, die nicht diesselbe Kompetenz in Sachen Cybersecurity und Datenschutz aufweisen wie wir.
Fakt ist auch, dass solche E-mails (siehe Beispiel oben) höchstwahrscheinlich nicht nur an eine einzige Adresse versendet werden, sondern in Massen an Tausende von Adressen.
Schlimmer noch: Ransomware-Angriffe auf KMU werden für Hacker immer mehr zu einem höchst lukrativen Geschäft, da einige der Opfer den verlangten Preis einfach bezahlen (!), wie Sie z.B. in diesem New York Times Artikel und weiteren lesen können:
Wie schützt man sich vor Ransomware?
Heute ist fast jedes KMU digital (und das ist auch empfehlenswert, um konkurrenzfähig zu sein!) Darunter fällt bereits die Webpräsenz eines jeden Unternehmens über eine offizielle Firmenwebsite. Hinzu kommen Email-Postfächer, aber auch Online-Tools, alle möglichen Programme oder auch Social Media Konten.
Über alle diese digitalen Touchpoints sind Ransomware-Angriffe möglich und die Verteidigung mittels entsprechenden Schutzprogrammen kann viel Geld kosten.
Im Gegensatz zu KMU können grosse Unternehmen das Risiko-Management dank Ressourcen wie interne IT-Sicherheitsexpertenteams viel leichter angehen.
Aber wie steht es um kleine Gewerbe?
Risiko Management im KMU
Hier sind einige grundlegende Massnahmen zum Risiko Management und Schutz vor Ransomware-Attacken, die für KMU überlebenswichtig sein können.
Im Vorfeld muss über eine Kosten-Nutzen-Analyse festgestellt werden, ob sich aufwändigere Vorbereitungsmassnahmen und die Erstellung eines Notfallplans für den Ernstfall lohnen.
1. Vorbereitungsmassnahmen zum Schutz vor Malware
Im KMU ist es eher nicht der Fall, dass Sicherheitsspezialisten wie Anti-Viren-Experten vor Ort sind. Doch Vorsicht ist die Mutter der Porzellan-Kiste.
Diese 3 Vorbereitungsmassnahmen helfen, IT-Risiken und die Anfälligkeit für Cyberangriffe drastisch zu minimieren: Haben Sie vorgesorgt? Weitere Informationen finden Sie z.B. auch von bei Cisco.
- Backup machen und Daten offline sichern:
Ihre stärkste Waffe, um Lösegeldforderungen zu besiegen, ist eine regelmässig durchgeführte Sicherung von Daten. So können Hacker Sie nicht erpressen, indem Sie Ihnen den Zugriff auf sämtliche Daten und ganze Systeme nehmen. Sichern Sie Daten unbedingt offline, sodass Backups während eines Malware-Angriffs nicht kompromittiert oder gelöscht werden können. Die Backups sollten langfristig regelmässig getestet werden, um sicherzustellen, dass alles wie geplant funktioniert.
- Patches bzw. Sicherheitsupdates einspielen:
Lösegeld-Angreifer verlassen sich häufig darauf, dass KMU veraltete IT-Systeme nutzen mit Schwachstellen, die ihnen bereits bekannt sind. Über diese können sie sich immer wieder leicht in Netzwerke einschleichen. Halten Sie Ihre Programme daher unbedingt auf dem neuesten Stand. Dadurch machen Sie es Hackern schwerer und diese suchen sich andere Opfer aus.
- Sicherheitslücken finden und eliminieren:
In einem weiteren Schritt können Sie ebenfalls darüber nachdenken, ein Vulnerability oder Responsible Disclosure Programm aufzusetzen. Dies geht mit mehr Aufwand einher und erfordert vielleicht die Mitarbeit eines externen IT-Beauftragten. Im drkpi® Blog erhalten Sie den kompakten How-To-Guide für Manager und Datenschutz-Verantwortliche, um ein solches Programm aufsetzen zu können.
- Der Umgang mit dem Sicherheitsrisiko „Mensch“:
Sicherheitslücken sind nicht immer technische System-Mängel, sondern Menschen: die Mitarbeitenden, die einer Phishing-Email zum Opfer fallen können. Nur ein Mitarbeiter muss auf eine URL klicken, die auf eine verseuchte Webseite führt und über Cloud-Services kann Malware das ganze System infizieren und eine Firma lahmlegen. Die Sensibilisierung in Form einer intensiven Schulung der Mitarbeiter ist daher essenziell. Wir haben durch die drkpi Academy solche Trainings für einige unserer Kunden bereits erfolgreich angeboten.
PS. Sicherheitsexperten haben bereits zu Beginn der Pandemie in diesem Zuge auch vor Zoom gewarnt. Während Zoom fälschlicherweise seine Sicherheit per End-to-end-Verschlüsselung angepriesen hat, handle es sich in Wahrheit um ein „Datenschutz-Desaster“:
Hackers können in Video-Konferenzen eindringen, und nicht nur rassistische oder sexuelle Bemerkungen und Drohungen in virtuellen Klassenzimmern aussprechen, sondern auch Ransomware-Links zu Websites oder Dateien per Chat verschicken.
2. Anti-Ransomware Notfallplan
Ein Notfallplan ermöglicht es Ihnen, im Ernstfall schnell koordinierte Massnahmen ergreifen und handeln zu können. Für Anti-Ransomware deckt der Plan z.B. folgende Fragen ab:
- Was ist bei einem Totalausfall der IT-Infrastruktur, Email-Kommunikation, usw. zu tun?
- Wie können die Geschäftsprozesse trotzdem aufrechterhalten werden?
- Wer ist für welche Prozesse und die Koordination dieser verantwortlich?
- Wie wird die Situation nach innen und aussen kommuniziert?
Der Notfallplan kann neben der Abwehr von Ransomware-Attacken (und dem Umgang mit Erpressungsforderungen durch Hackers) auch weitere Szenarien wie Cyberangriffe oder Elementarschäden abdecken. Es empfiehlt sich, die Szenarien im Notfallplan mit den Verantwortlichen durchzuspielen. So stellen Sie sicher, dass dieser im Ernstfall auch umgesetzt werden kann.
Der Notfallplan sollte also abdecken, was zu tun ist, wenn der Ernstfall eintritt. Hier sind einige wichtige Soforthilfe-Massnahmen, die leicht und auch ohne IT-Experten sofort umgesetzt werden können:
SOFORTHILFE: Ransomware-Attacke — Was tun?
Praktische Hilfe im Falle eines Befalles von einem Netzwerk mit Ransomware kann kaum jemand auf die Schnelle finden. Zur Illustration hier dieses Beispiel, dann verstehen Sie, was ich meine: BSI (2020): Erste Hilfe bei einem schweren IT-Sicherheitsvorfall – siehe auch auf der Ressourcenseite des BSI.
Auch die Angaben von der Melde- und Analysestelle Informationssicherung (MELANI) sind dürftig und rudimentär. Nicht sehr hilfreich, um einem Unternehmen wirklich zu helfen.
Bei Verdacht auf einen Befall durch Schadsoftware sollten Sie die folgenden Massnahmen sofort einleiten:
- Fahren Sie den infizierten Computer oder Server sofort herunter (komplett vom Internet nehmen!),
- Isolieren Sie sofort Ihre Backups,
- Isolieren Sie auch Shared Drives ebenfalls, und
- und informieren Sie umgehend alle Mitarbeiter über die Hacker-Attacke.
Natürlich sollten Sie den Vorfall als verantwortungsbewusste Bürgerin aus sofort der lokalen Polizeidienststelle melden. Nichtdestotrotz können Sie dort keine grosse Hilfe erwarten. Dies musste z.B. ein Freund von mir vor gut 3 Wochen erfahren. Sein Kommentar:
„Ich ging zur lokalen Polizeistelle im Dorf, die hatten keine Ahnung. Bei der Kantonspolizei konnte ich es melden, aber mit wem ich reden sollte oder welche öffentliche Stelle was weiss, keine Ahnung… so ein Sch…!“
Der Freund wandte sich hilfesuchend an uns und wir konnten ihm dank unseres Netzwerkes und unserem technischen Know-how glücklicherweise schnell helfen.
Was einem KMU auch Sorgen bereiten kann ist, dass im Rahmen eines Verfahrens die beschädigten Computer, Handys, usw. als Beweismaterial von der Polizei eingezogen werden. Diese sind somit für eine gewisse Zeit nicht mehr verwendbar.
Rein pragmatisch können Sie jedoch auch folgende Dinge tun, um den Schaden zu minimieren:
- Abklärung der Art der Ransomware:
Was Sie sofort tun können, ist herauszufinden, mit welcher Ransomware Sie angegriffen wurden. Auf der Seite https://id-ransomware.malwarehunterteam.com/ und auf https://www.nomoreransom.org/ finden Sie Angaben zur Dateienerweiterung, die verschiedene Ransomware-Varianten nutzen.
- Monitoring der Dateierweiterung:
Während des Verschlüsselungsvorgangs wird die Dateierweiterung mit einer neuen Art von Erweiterung geändert, die Sie noch nie zuvor gesehen haben. Daher können Sie die bekannte Ransomware-Dateierweiterung sammeln und die Erweiterungen überwachen. Dies wird Ihnen helfen, die Ransomware zu identifizieren, noch bevor ein weiterer Vorfall eintritt.
Und zuletzt, die grosse Frage:
Online-Erpressung: Lösegeld bezahlen, oder nicht?
Im Beispiel oben, ignorierten wir eine Mail mit anscheinend „ausstehendem Rechnungsbetrag“ von fast CHF50,000 und öffneten auch den Anhang der Mail des unbekannten Absenders nicht… Wir konnten glücklicherweise keine Schadsoftware in unserem System entdecken.
Das Beispiel aus Florida, über das The New York Times berichtete, zeigt ebenfalls, dass der Alptraum für die Betroffenen durch die Bereitschaft, das Lösegeld einfach zu zahlen, erst richtig begann.
Von unserer Seite aus ein ganz klares Nein. Was denken Sie? Kennen Sie jemanden, der betroffen war? Was wurde unternommen?
Hier finden Sie noch einige Beispiele von bekannten Cyberattacken mit Malware: 2019 Liste von Cyberattacks und Datenschutzverletzung
Fazit: Wo es hapert
Für ein KMU stellt sich die grosse Frage, wie es Hilfe für einen bezahlbaren Preis bekommen kann, wenn es brennt. Auch wenn lange nichts passiert, weiss man nie, wann es einen treffen kann. Vorbeugen ist auch in diesem Falle besser als hinterher fieberhaft nach Hilfe zu suchen und womöglich Daten zu verlieren.
Gute Vorbereitungsmassnahmen und einen Notfallplan bereits zu haben, sind fast immer kostengünstiger als im Falle einer Krise teure Experten hinzuziehen zu müssen.
Vielleicht kann sogar eine Vulnerability Disclosure Policy mit Bug Bounty Programm aufgesetzt werden, um Sicherheitslücken zu finden und zu eliminieren, noch bevor sie von Hackern ausgenutzt werden…
7 Antworten
Ein schöner Beitrag der fast alles enthält was man tun sollte. Ich persönlich würde auch schauen, dass die Cloud nie mit Computer/Netzwerk vernetzt sind und db/mail / file Server immer getrennt sind.
Wichtig ist halt, dass man für alle Fälle immer alles gut plant. Nur dann wissen wir im Notfall, was getan werden muss.
Selbst Comparis wurde beglückt und hat schlussendlich auch bezahlt!
Lieber Eric
Danke für den Kommentar
Am 29 Juli hat die Comparis der Presse auf Anfrage erst mitgeteilt, dass Sie die Lösegeldsumm doch an die Erpresser bezahlt hat (ca. CHF 400,000, offiziell keine Zahl bekannt). Grund sei, dass es mehr Zeit brauchen würde und höhere Kosten verursachen dürfte, Systeme und Services wieder herzustellen ohne das Password von den Erpressern. Siehe https://www.nzz.ch/technologie/comparis-bezahlt-nun-doch-loesegeld-an-cyber-erpresser-ld.1638153
Wenn dem so ist, waren die Backups welche das erstellen der Systeme der Firma ermöglichen sollten wohl nicht von der notwendigen Qualität, wie am Anfang von Firmenseite in der Pressemitteilung und Interviews behauptet wurde.
Dieses Fall ist von der Cybersecurity Seite betrachtet schlimmer als die Firma willens war anfänglich zuzugeben. Die Kommunikation welche spärlich war und häppchenweise kam ist nicht zu empfehlen. Ebenfalls, das Lösegeld bezahlt wurde, kam per Zufall raus, was der Transparenz gegenüber Comparis Kunden schadet.
Das Beispiel zeigt, dass ein technischer Gau, wenn aus vielleicht technischen Unwissen auf der Kommunikationsseite und der GL falsch behandelt wird, sich zu einem Super Gau entwickelt. Der Schaden in Sachen Reputation und Vertrauen is schwer zu beziffern. Nichtdestotrotz, macht dieser mehr aus als die direkt zu beziffernden technischen Kosten und das Lösegeld!
Ja der Beitrag beschreibt sehr gut die Problematik bei diesem Thema.
Fast immer ist der KMU auf sich alleine gestellt…. keine der öffentlichen Stellen war eine grosse Hilfe.
Wenn dann noch wie bei Comparis die Backups doch nicht so gut sind, um das System ohne Bezahlung des Lösegeldes wieder hochfahren zu können, dann ist guter Rat teuer.
Lieber Sandro
Danke für den Kommentar … Ja wie Eric Mächeler oben erwähnt:
👉“Wichtig ist halt, dass man für alle Fälle immer alles gut plant. Nur dann wissen wir im Notfall, was getan werden muss.“ ✔︎
Das bedeutet ebenfalls, dass man testet wie es funktioniert, d.h. wie bei der Werksfeuerwehr das Ganz bei einer Übung simulieren…. Nur so sind wir sicher, dass unsere Schutzmassnahmen im Ernstfall auch wirklich funitionieren.
Da gibt es noch viel zu tun.
Urs
CyTRAP #drkpiPageTracker
Urs:
Interessantes zum Thema #ramsomware findet man auch hier:
„Die grösste Sorge der Unternehmen in Bezug auf einen Ransomware-Angriff stellt demnach das Risiko des Datenverlusts dar, dicht gefolgt von Produktivitätsverlusten und Betriebsunterbrechungen.“
💡 The Fortinet 2021 Ransomware Survey Report 💡
Lieber Jacomet
Merci
Ja 446 Executives wurden in der obigen Studie befragt. McAfee hat auch was:
💡 „Ransomware hat sich in den vergangenen Monaten stark weiterentwickelt: Cyber-Kriminelle gehen intelligenter und schneller vor und entwickeln immer neue Taktiken und Strategien, um ihren Zielen näher zu kommen.“ Raj Samani, McAfee – im Advanced Threat Research Report – Oktober 2021, McAfee
👉 Die PDF Datei ist hier: Advanced Threat Research Report – 2021 McAfee