English

Ransomware – So werden Unternehmen erpresst

von VPNHaus | 19.03.2014 |Encryption, Industry Commentary, VPN

Wenn es um die Gefahren für Computersysteme und -netzwerke geht, denken die meisten Menschen an die üblichen Verdächtigen: Malware und Keystroke-Logger. Mit diesen sollen Passwörter für den Remote Access zu Unternehmensnetzwerken und Online-Konten gestohlen werden. Dann gibt es natürlich noch die Viren, welche lediglich zur Vernichtung von Daten konzipiert sind. Sie verwandeln den Computer in einen teuren, übergroßen Briefbeschwerer.

Die aber vielleicht größte, schon seit langer Zeit existierende Gefahr von allen wird allerdings jetzt erst richtig präsent. Ihr Name: „Ransomware“. Der Begriff ergibt sich aus der Verschmelzung der Begriffe „Ransom“ zu Deutsch „Lösegeld“ und „Software“, also mit anderen Worten ein „Lösegeld-Programm“ – und wenn das jetzt beängstigend klingt, kommt das daher, dass es auch beängstigend ist. Ein bekanntes Beispiel für Ransomware ist der sich zurzeit im Umlauf befindliche CryptoLocker. Ransomware ist die zutreffende Bezeichnung für diese Art von Malware. Sie verschlüsselt nämlich zunächst den Inhalt des Computers. Daraufhin bietet der Urheber des Programms an, den Schlüssel zur Entschlüsselung der Dateien zur Verfügung zu stellen – natürlich gegen eine entsprechende Gebühr.

Natürlich könnte man den Computer nun im abgesicherten Modus booten und die Ransomware löschen. Gut und schön, aber die Dateien sind immer noch verschlüsselt und Sie haben keinen Schlüssel für die Entschlüsselung.

Ransomware – Bedrohung von Unternehmen auf verschiedenen Ebenen

Allerdings ist die Verschlüsselung der wichtigsten Dateien nicht die einzige von Cyber-Kriminellen angewendete Methode. Ebenso können sie Dateien auf den Computer spielen, welche den Besitzer in eine unangenehme Situation bringen. Allgemein üblich ist beispielsweise der Download von anstößigem Material auf Computer, die für die Arbeit genutzt werden. Arbeitnehmer, die fürchten, ihren Job zu verlieren, wenn verbotene Dateien auf ihren Geräten gefunden werden, sind eher dazu geneigt, ein Lösegeld zu bezahlen.

Sollte dies bei einem Mitarbeiter funktionieren, können Cyber-Kriminelle davon ausgehen, dass andere Mitarbeiter im gleichen Unternehmen auch darauf eingehen. Damit wird die gesamte Belegschaft des Unternehmens zur Zielscheibe. Der nächste logische Schritt folgt. Infiltrieren Eindringlinge wie CryptoLocker Geräte, welche für den Zugriff auf Unternehmensnetzwerke genutzt werden, liegt es nahe, dass Cyber-Kriminelle als nächstes das Unternehmen direkt angreifen. Dazu fordern sie ein Lösegeld für wichtige Dateien auf dem Netzwerk. Diese Forderung liegt wahrscheinlich um einiges höher als die von einzelnen Mitarbeitern geforderte Geldsumme. Noch beunruhigender ist es, dass nicht nur einzelne Dateien, sondern das gesamte Netzwerk „gekidnappt“ werden könnte. Sofern ein Hacker das Gerät eines Netzadministrators infiltriert, erhält er Zugriff auf die dazu notwendigen Lese- und Schreibrechte. Cyber-Kriminalität passiert dort, wo das Geld sitzt – und somit führen alle Wege in die Unternehmen.

Ransomware – Die Verbindung zu BYOD

Warum aber entwickelt Ransomware so viel Dynamik im Bereich der Cyber-Kriminalität? Nun, die zunehmende Häufigkeit der Ransomware-Angriffe hat sich parallel zu dem explosionsartigen Popularitätsanstieg von Bring-Your-Own-Device (BYOD) entwickelt. Die Zahl der privaten Mobilgeräte, mit welchen auf Unternehmensnetzwerke zugegriffen und denen der Zugriff auf sensible Daten gewährt wird, ist so hoch wie nie zuvor. Anders ausgedrückt: Die Umgebung ist reich an Zielen für Hacker. Somit können sich diese nicht über einen Mangel an potentiellen Opfern beklagen.

Was das ganze Szenario noch beängstigender macht – als wäre es das nicht ohnehin schon – ist, dass jemand, der CryptoLocker oder ein ähnliches Programm verwenden will, nicht mal ein Experte für Verschlüsselungsalgorithmen sein muss. Laut einem kürzlich veröffentlichten CSO-Artikel ist es möglich, Ransomware-Toolkits zu entwickeln und an diejenigen zu verkaufen, die den Preis dafür zahlen wollen. Das bedeutet, jeder mit ein bisschen Geld in der Tasche, der böse Absichten hegt, könnte Menschen und Unternehmen angreifen, ohne über Hacker-Know-how zu verfügen.

Ransomware – Schutz durch Defense-in-Depth

Unternehmen müssen mit der fortwährenden Entwicklung von Bedrohungen Schritt halten und ihren Umgang mit IT-Sicherheit an die Realität anpassen. Remote Access und BYOD sind bereits zu sehr in die Arbeitswelt eingebettet, als dass sie jetzt verschwinden könnten. Jedes Unternehmen, welches Spitzentalente für sich gewinnen möchte, muss all das bieten, was einst als Luxus angesehen wurde, mittlerweile jedoch einfach erwartet wird.

Die Lösung für Unternehmen ist die Einführung eines ganzheitlichen Defense-in-Depth-Sicherheitskonzepts. Dies ermöglicht BYOD und Remote Access ohne Gefährdung des Unternehmensnetzwerks. Da IT-Mitarbeiter nicht alles überwachen können, was Mitarbeiter mit ihren Geräten tun, sollten Unternehmen in kompatible und dialogfähige Lösungen investieren. Auf diese Weise können Bedrohungen wie CryptoLocker ausgeschaltet werden. Der erste Schritt zur Verteidigung wäre die Implementierung der hochwertigsten Virenscanner- und Anti-Malware-Lösungen auf den Geräten der Mitarbeiter. Hierdurch wären sie gegen viele Schadprogramme geschützt. Als nächstes sollten diese Lösungen mit anderen Netzwerk- und Sicherheitslösungen zusammenarbeiten. Zu diesen Lösungen zählen unter anderem Firewalls, die den Zugriff auf bekannte CryptoLocker-Server blockieren, Intrusion-Prevention-Systeme, die Malware an der Interaktion mit einem fremden Command-and-Control-Server hindern sowie eine umfassende VPN-Lösung mit der Möglichkeit eines zentralen Managements. Hiermit ist eine Überwachung der Endgeräte möglich. Außerdem wird so gewährleistet, dass die Virenscanner auf dem neuesten Stand sind. Bei der Verwendung eines VPNs mit zentralem Management werden User alter Versionen in eine Quarantänezone geleitet. Dort bleiben sie bis ihre Software aktualisiert worden ist. Somit wird die ordnungsgemäße Absicherung jedes Gerätes gewährleistet, welches auf das Unternehmensnetzwerk zugreift. Zentrales Management bedeutet auch, dass IT-Administratoren Updates von Sicherheits- und Remote-Access-Richtlinien unternehmensweit ausgeben können und nicht manuell jedes Gerät einzeln aktualisieren müssen.

Eine umfassende Defense-in-Depth-Strategie sollte aufeinander abgestimmte Netzwerk- und Sicherheitskomponenten integrieren, um Angriffe zu verhindern beziehungsweise abzuschwächen. Mit einer solchen Strategie sind Unternehmen in Zukunft gut gerüstet, um sich vor der schnell größer werdenden Bedrohung durch Ransomware zu schützen.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK