IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Cybercrime 2.0: Ransomware auf Hochkonjunktur

Kategorie: Security Trends

Eines von drei Unternehmen in Deutschland hat es bereits erwischt. Der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist eindeutig und bestätigt die erhöhte Gefahrenlage und das aktuell hohe Aufkommen von Ransomware. Auch der internationale Vergleich in Abbildung 1 zeigt klar: Der Hochtechnologiestandort Deutschland steht derzeit besonders unter Beschuss. Und obwohl CIOs und IT-Entscheider um die Bedrohungslage wissen und die Maßnahmen kennen, die sie gegen parasitäre Malware einzuleiten haben, sind sie mit diesem Wissen im Unternehmen oft in der Minderheit. Und jeder weiß: Die Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Im Zuge der aktuell weiten Verbreitung ist eine Sensibilisierung für das Thema meiner Meinung nach weiterhin sehr stark anzuraten.

Es kann jeden treffen

Wer jetzt denkt „das passiert uns doch nicht“, der gehört unter Umständen bald zu den genannten 33 Prozent. Praktisch jeder Anwender kennt mittlerweile die in exzellentem Deutsch verfassten und präparierten Mails mit Betreffzeilen wie „Bewerbung“ oder „April Rechnung - 0194674“. Sie präsentieren sich mit ordentlichen Zeilenvorschüben und sind für Laien von einer seriösen Mail praktisch nicht zu unterscheiden. Wenn da nicht der Anhang wäre, der zwar nach DOC aussieht, aber eigentlich JavaScript Code beinhaltet. Obacht! Nur der versierte Nutzer weiß, dass JavaScript nicht viel mit einem Bewerbungsdokument gemein hat. Der IT-Entscheider weiß sofort, dass hier was faul ist, aber der normale Mitarbeiter im Unternehmen geht dem Schwindel unter Umständen noch auf den Leim. Deswegen wird auch in einem von drei Fällen immer noch drauf geklickt – schließlich herrscht in Deutschland über alle Branchen hinweg Fachkräftemangel und schon Henry Ford wusste, man solle jedes Angebot prüfen, denn es könnte das Angebot seines Lebens sein. So kommt es, dass die Mitarbeiter in Buchhaltung oder der HR die Datei doch öffnen; ein Klick ist ja schnell getan.

Bedrohungslage spitzt sich immer weiter zu

Dass Ransomware Hochkonjunktur hat, liegt zum einen daran, dass diese Form der digitalen Erpressung als „Geschäftsmodell“ tatsächlich funktioniert. Der Leidensdruck der Opfer ist so groß, dass sie einfach zahlen: Es gibt ja ohne Offline-Backups praktisch keine Möglichkeit, die wichtigen Unternehmensdaten zu retten. Zum anderen entwickelt sich das Verhältnis zwischen Sicherheits- und Gefährdungsindex in bedenklich gegensätzliche Richtungen. Der Sicherheitsindex, also wie Unternehmen die eigene Sicherheitslage einschätzen, ist in den letzten zwei Jahren deutlich gesunken, während der Gefährdungsindex weiter ansteigt. Somit bewerten Unternehmen die Maßnahmen und Lösungen, die einsetzen schlechter und fühlen sich durch verschiedene Angriffsszenarien aber auch stärker bedroht als zuvor. Man kann schlussfolgern, dass es nur noch eine Frage der Zeit ist, bis hochentwickelte Schadsoftware wie Ransomware den Weg ins Business findet. Zahlreiche Stilllegungen deutscher und amerikanischer Krankenhäuser waren da erst der Anfang.

Was bedeutet das konkret in der Prävention?

Verhindert werden können Infektionen unter anderem durch das professionelle Zusammenspiel auf verschiedenen Ebenen:

  • Auf Benutzerseite ist auf folgendes zu achten: Betriebssystem, Browser, Mailclient und Virenschutzlösungen sollten regelmäßig aktualisiert werden. Der Anwender darf nicht zum Administrator werden. Die Ausführung von Skripten sollte ihm also stark untersagt sein. Mitarbeiterschulungen müssen konkrete Bedrohungen aufzeigen und praktische Beispiele enthalten.
  • Innerhalb der IT Architektur ist das wichtigste Mittel die richtige Offsite-Backupstrategie, damit etwaige Daten wiederhergestellt werden können. Eine bessere Heuristik zur Vermeidung von Spam ist ebenfalls Gold wert. Die Netzsegmentierung kann helfen Infektionen akut einzudämmen, indem Bereiche mit ungewöhnlichem Traffic isoliert werden können, ohne den ganzen Betrieb einstellen zu müssen. Penetrationstests helfen während der Analysephase die speziell für das Unternehmen gültigen Angriffsvektoren auszumachen und Gegenmaßnahmen zu planen.
  • Der Dateiserver selbst kann als letzte Instanz ebenfalls tätig werden, wenn er eine ungewöhnlich hohe Belastung oder ein bestimmtes Verhalten feststellt. Hier sind temporäre Einschränkungen der Schreibrechte von Benutzern das Mittel der Wahl.

Nähere Informationen  zum Thema Ransomware finden Sie hier im Whitepaper.

Welche Erfahrungen haben Sie mit der Schadsoftware gemacht? Und sehen Sie die Bedrohungslage denn ähnlich kritisch?

Über den Autor

Roland Szypula
Roland Szypula
Alles rund um das Thema Sicherheit: Cloud und cloudbasierte Dienstleistungen, IT Infrastruktur, Malware, Sicherheitskonzepte, Zertifizierungen, Verschlüsselung, Datenschutz.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.