Immer mehr Menschen arbeiten wegen dem Coronavirus, auch Covid-19 genannt, zu Hause, im Home-Office. Somit nutzen wir Daten im Home-Office auf dem Firmen PC, der Cloud oder über das Virtual Private Network und laden diese runter oder auf die Firmenserver hoch. Die Daten sind für uns sofort abrufbar.

Doch gelten Home-Office Mitarbeiter als besonders anfällig für Cyberangriffe.

Was kann man machen, wenn diese Daten auf einmal nicht mehr erreichbar sind? Wenn man keinen Zugriff mehr auf seine eigenen Daten hat? Dies könnte durch einen Angriff von Ransomware passieren. Hier erklären wir an zwei Beispielen, wie Sie sich auf ein Szenario mit Ramsonware oder einem Cyberattacke-Befall vorbereiten können.

Im Vorfeld muss eine Kosten-Nutzen Analyse feststellen, ob sich Vorbereitungsmassnahmen und ein Notfallplan lohnen. Wir denken ja, da praktische Hilfe im Falle eines Befalles Ransomware kaum auf die Schnelle gefunden werden kann.

1. Was ist Malware?

Der Ausdruck setzt sich aus den englischen Wörtern „malicious“ (bösartig) und „software“ zusammen und stellt den Sammelbgriff für alle virtuellen Bedrohungen.

  • Was ist ein Trojaner? Es ist ein getarntes Programm – ganz im Sinne eines trojanischen Pferdes – das tatsächlich aber dazu dient Schaden anzurichten. Diese Art der Malware kann Dateien, Programme und ganze Rechner-Systeme infiltrieren, manipulieren, löschen oder sperren.
  • Was ist ein Computer Virus? Ein aus Schadcode bestehendes Programm, das sich selber von Gerät zu Gerät kopieren kann.
  • Was ist ein Wurm? Eine sich selbst replizierende Malware (und eine Virusart). Jedoch hängt ein Wurm nicht an einer Datei, sondern schlängelt sich durch Sicherheitslücken, um in das Netzwerk einzudringen.
  • Was ist Ransomware? Eine Art Trojaner. Gelangt meist durch eine unbedachte Handlung des Nutzers – beispielsweise das Öffnen eines E-Mail-Anhangs – zunächst unbemerkt auf den Rechner. Alle dem Nutzer zur Verfügung stehenden Dateien werden verschlüsselt. Diese Daten können nur mit einem Passwort entschlüsselt werden, welches der Hacker zur Verfügung stellt, nachdem das Lösegeld bezahlt wurde.

Wenn mehr Bedarf an dem Thema Viren besteht, kann dies in unserem Buch nachgelesen werden, welches in über 17 Sprachen übersetzt wurde:

  • Harley, David, Slade, Robert & Gattiker, Urs E. (2002). Viruses revealed. New York: McGraw-Hill (Deutsche Ausgabe: Das Anti-Viren-Buch, Bonn: mitp Verlag) siehe  Amazon.de oder Amazon.com

2. Risiko Management und Digital Marketing: Malware

Heute ist jedes KMU im Digital Marketing tätig, sei es mit Email Newsletters, Webseiten oder Social Media Konten. Da ist eine Ransomware Attacke möglich und die Verteitigung viel Geld kostet. Dabei ist klar, dass Grossunternehmen dank interner Sicherheitsexperten diese Problemstellung anders angehen können.

Unser Fokus liegt auf KMU – Kleine oder mittlere Uunternehmen. Laut der Definition der Europäischen Union und dem statistischen Bundesamt (Deutschland) beschäftigen diese bis 249 Vollzeitbeschäftigte und haben bis €50 Mio Umsatz. In der Schweiz sind fast

  • 90% aller Unternehmen Mikrobetriebe mit bis zu 9 Vollzeitbeschäftigten und
  • 8.5% sind Kleine Unternehmen mit bis zu 49 Vollzeitbeschäftigten.

Man kann sich natürlich die Frage stellen, warum Firmen überhaupt für Schadsoftware – z.B. Ransomware – angreifbar sind. Ein Grund ist die Schwierigkeit, das fehlende Know-How um IT Systeme angemessen zu schützen. Oft laufen die Rechner mit veralteter, nicht gepatchter Software. Da kann Ransomware zum lukrativen Geschäft werden, da auch einige der Opfer einfach den verlangten Preis bezahlen.

Die Malware erreicht das Opfer meistens durch eine unbedeutend aussehende E-Mail, in der der Empfänger aufgefordert wird, auf einen bösartigen Link zu klicken oder einen infizierten Anhang zu öffnen. Sobald Ihr System kompromittiert ist, greift das Virus auf alle Dateien auf ihrem PC oder dem Server zu. Die Dateien werden verschlüsselt und können nur mit Hilfe eines Passwortes entschlüsselt werden.

Das entscheidende sind die schwächsten Links in der Kette, d.h. die Menschen. Manchmal kommen nämlich diese Viren ganz harmlos daher, wie das Image unten zeigt, in diesem Fall als eine Email mit der Aufforderung eine Rechnung zu bezahlen.

Unsere Buchhaltung war vorsichtig, da schon für Malware sensibilisiert. Neben einer ungewöhnlichen Absender-Email Adresse war auch der Text auffällig.

Von: Urs E. Gattiker mailoffice202@virginmedia.com 
 Gesendet: Freitag, 7. Februar 2020 12:05
 An: Franziska Stadler cccc@drkpi.com
 Betreff: AW: Beachtung
 Ok. Bitte zahlen aus 543.389.80;
 KONTOBEZEICHNUNG: Jozsef Jakab
 ADDRESSE: 226 High Street, Dudley DY1 1PQ, United Kingdom
 IBAN: GB60 HBUK 4009 0045 5977 65
 BIC: HBUKGB4193E
 BANKLEITZAHL: 400900
 KONTO NUMMER: 45597765
 BANK: HSBC BANK PLC
 ZWECK: Akquisitionen und Beratung
 REFERENZ: ADM/8304352/XTR
 48'720.12 CHF
 Senden mir den Überweisungsbeleg.
 Grüße;
 Urs E. Gattiker

Übrigens, wir haben die CHF 48’720 nicht bezahlt.

3. Vorbereitungsmassnahmen gegen Malware: Vorsicht ist die Mutter der Porzellankiste

In KMUs ist es eher nicht der Fall, dass Sicherheitsspezialisten wie Anti-Viren oder Malware Experten vor Ort sind. Doch 3 Dinge können wir auf jeden Fall tun, um die Risiken zu minimieren:

  • Backup machen: Ihre stärkste Waffe, um Lösegeldforderungen zu besiegen, ist eine regelmässig durchgeführte Sicherung von Daten. Das geschieht sinnvollerweise Offline, so dass diese Backups während eines Angriffs nicht kompromittiert oder gelöscht werden können. Diese Backups sollten regelmässig getestet werden um sicherzustellen, dass alles wie geplant funktioniert.
  • Patches/Sicherheit-Updates einspielen: Lösegeld-Angreifer verlassen sich häufig auf Systeme, die veraltete Software mit bekannten Schwachstellen nutzen, um schleichend in ein Netzwerk zu gelangen. Der Patching-Plan hilft Ihnen dabei, Ihre Systeme auf dem neuesten Stand zu halten und gibt Ihnen Einblick in die Lücken, die nicht gepatcht werden können.
  • Schwächstes Glied stärken: Das ist meistens der Mitarbeiter, der einer Phishing Email zum Opfer fällt (wie das Beispiel oben), auf einen URL klickt, der auf eine verseuchte Webseite führt, oder die angehängte verseuchte Datei anklickt, die den Virus freisetzt. Sensibilisierung und Vorbereitung der Mitarbeiter ist hier wichtig. Wir haben durch drkpi Academy für einige unserer Kunden solche Trainings erfolgreich angeboten.

Ressourcen: Weitere Informationen gibt es z.B. auch von z.B. Cisco.

PS. Sicherheitsexperten nennen Zoom ein „Datenschutz Disaster“. Hackers können in Video Konferenzen eindringen, rassistische oder sexuelle Bemerkungen und Drohungen aussprechen. Zoom hat fälschlicherweise seine Sicherheit mit A nach B (end-to-end) Verschlüsselung angepriesen.

4. Notfallplan erstellen

Dieser ermöglicht, im Ernstfall schnell koordinierte Massnahmen zu treffen. Für Ransomware deckt der Plan z.B. folgende Fragen ab:

  • Was ist bei einem Totalausfall der IT Infrastruktur, Email Kommunikation, usw. zu tun?
  • Wie können die Geschäftsprozesse trotzdem aufrechterhalten werden?
  • Wer ist für welche Prozesse verantwortlich?
  • Wie wird die Situation nach innen und aussen kommuniziert?

Es empfiehlt sich, die Szenarien im Notfallplan mit den verantwortlichen Personen durchzuspielen. So ist sichergestellt, dass dieser im Ernstfall auch umgesetzt werden kann. Der Plan kann auch weitere Szenarien wie Cyberangriffe oder Elementarschäden, abdecken.

Was passieren kann, wenn kein Notfallplan vorhanden ist, beschreibt die Situation eines unserer international tätigen Grosskunden. Zunächst kam eine WhatsApp Nachricht vom Kunden :

Lieber Urs, keine Email mehr möglich, wir sind ein Opfer einer Ransomware Attacke geworden. Nutze meine private email auf…..

Mitarbeiter mussten während gut zwei Wochen private Email Adressen benutzen um miteinander und mit Kunden kommunizieren zu können.

5. Was ist nach einem erfolgreichen Ransomware, Viren oder Trojaner Angriff zu tun?

Bei Verdacht sollten sie diese Schritte sofort tun, die einfach und auch ohne Techniker machbar sind:

  • Infizierten Computer oder Server runter fahren, vom Internet wegnehmen und auch
  • Backups sofort isolieren.
  • Shared Drives ebenfalls isolieren und die
  • Mitarbeiter über die Attacke informieren.

Natürlich sollten sie als verantwortungsbewusste Bürgerin in der Schweiz den Vorfall der lokalen Polizeidienststelle melden. Nichtdestotrotz, erwarten sie keine grosse Hilfe. Dies musste z.B. ein Freund von mir vor gut 3 Wochen erfahren. Sein Kommentar:

Ich ging zur lokalen Polizeistelle im Dorf, die hatten keine Ahnung. Bei der Kantonspolizei konnte ich es melden, aber mit wem ich reden sollte oder welche öffentliche Stelle was weiss, keine Ahnung… so ein Sch…!

Der Freund hat sich hilfesuchen an uns gewandt und wir konten ihm mithilfe unseres Netzwerkes und mit unseren Fähigkeiten helfen.

Was einem KMU auch Sorgen bereiten kann ist, dass im Rahmen eines Verfahrens die beschädigten Computer, Handys, usw. als Beweismaterial von der Polizei eingezogen werden. Somit sind diese dann für eine gewisse Zeit nicht verwendbar.

Rein pragmatisch können sie jedoch die folgenden Dinge tun, um den Schaden zu minimieren:

  • Monitoring der Dateierweiterung: Während des Verschlüsselungsvorgangs wird die Dateierweiterung mit einer neuen Art von Erweiterung geändert, die Sie noch nie zuvor gesehen haben. Daher können Sie die bekannte Ransomware-Dateierweiterung sammeln und die Erweiterungen überwachen. Dies wird Ihnen helfen, die Ransomware zu identifizieren, noch bevor der Vorfall eintritt.

6. Schlussfolgerungen: Wo es hapert

Es stellt sich für ein KMU die grosse Frage, wie es Hilfe für einen bezahlbaren Preis bekommen kann wenn es brennt. Gute Vorbereitungsmassnahmen und ein Notfallplan sind fast immer kostengünstiger, als im Falle einer Krise Experten hinzuziehen zu müssen. Auch wenn lange nichts passiert, weiss man nie, wann es einen treffen kann. Vorbeugen ist auch in diesem Falle besser als hinterher fieberhaft nach Hilfe zu suchen und womöglich Daten zu verlieren.

Praktische Hilfe im Falle eines Befalles von einem Netzwerk mit Ransomware kann kaum auf die Schnelle gefunden werden. Zur Illustration hier diese beiden Beispiele aus der Schweiz und Deutschland, dann verstehen Sie, was ich meine:

Die Angaben sind von der Melde- und Analysestelle Informationssicherung (MELANI) dürftig und rudimentär. Kurz, nicht sehr hilfreich, um die Ransomware Situation in ihrem Unternehmen erfolgreich zu managen.

Vorbereitungsmassnahmen (Sektion 3) und ein Notfallplan (Sektion 4 oben) sind sicherlich ein guter Ansatz, um sich auf den möglichen Fall einer Ransomware Attacke vorbereiten zu können.

Lösegeld bezahlen oder aber darauf verzichten? Was ist ihre Meinung? Haben Sie selber solche Erfahrung gemacht?

Beispiele von Malware oder Cyberattacken 2017, 2019…

MalwareBeschreibung von 3 Cyberattacken in einem Jahr
TritonAugust 2017 drangen Hacker in die System eines Gaskraftwerks in Saudiarabien vor. Die Hacker wollten das Sicherheitssystem lahmlegen um möglicherweise eine Explosion auslösen zu können.
Der Versuch schlug fehl.
WannaCryMay 2017 infiszierte diese Erpressungssoftware mehr als 200’000 Computer von Unternehmen, Privatpersonen und der öffentlichen Verwaltungen. Das betraff 150 Länder und hatte fatale Auswirkungen. Beispielsweise in Grossbritannien waren Kliniken betroffen. Das Russische Innenministerium war betroffen und in Deutschland fielen die digitalen Anzeigetafeln und Ticketautomaten an den Bahnöfen aus.
Franreichs Autohersteller Renault war sogar gezwungen seine Produktion in mehreren Werken zu stoppen.
Der verdacht viel auf Nordkorea als Verurschaer der WannaCry Software.
NotPetyaJuli 2017 befiel die Erpressungssoftware NotPetya die Computer in der Ukraine. Von dort bereitete sich diese dann auf Rechner in ganz Europa aus. Auch Nord Amerika und Asien waren davon betroffen.
Doch ging es hier den Angreigern – vermutlich aus Russland – nicht um Geld sondern möglicherweise um die weitere Destabilisierung der Ukraine.
Coronavirus
Warnung
2020-04-08: Grossbritannien’s National Cyber Security Centre — eine Abteilung der „signals intelligence agency GCHQ“ sowie die „Cybersecurity and Infrastructure Security Agency“ — eine Abteilung von Homeland Security — wiesen auf die erhöhte Gefahr von COVID-19 Typ Attacken von staatlichen Stellen hin.
Vom Staat unterstützte Hacker verwenden ähnliche E-Mail-„Lockmittel“, um Regierungsbeamte, Akademiker und Mitarbeiter von Gesundheitsbehörden dazu zu verleiten, auf Links zu klicken, die Zugang zu den Netzwerken ihrer Organisationen bieten.

2019 Liste von Cyberattacks und Datenschutzverletzung