Becci Manson ist Foto-Retuscheurin, eine jener Personen, die – wie sie es sagte – „schlanke Models noch schlanker aussehen lassen und perfekte Haut noch perfekter“. Nach dem Tsunami, der 2011 Japans Provinz Tohoku überrollte (bei uns vor allem wegen der Kernschmelze von Fukushima in Erinnerung), half Manson bei den Aufräumarbeiten und stieß dabei immer wieder auf Fotos, beschädigt von Salzwasser, Schlamm und Öl. Sie organisierte über Social Media Freiwillige, die Hunderte Fotos retuschierten und den Betroffenen zurückgaben. Beim Thema „Wiederherstellung kostbarer Datenschätze“ denken IT-Mitarbeiter heute aber weniger an einen Tsunami, sondern vor allem an eines: Ransomware.
Am 11. März 2011 überrollten bis zu 24 Meter hohe Wellen Japans Ostküste, wie Becci Manson 2012 in einem bewegenden (aber wenig beachteten) TED-Talk berichtete. Im Rahmen der Aufräumarbeiten säuberten und trockneten Hunderte Freiwillige in den folgenden sechs Monaten 135.000 Fotografien. Erkannten Betroffene solche Bilder als ihre eigenen wieder, konnten sie diese im Nothilfezentrum einscannen und auf einen Cloud-Server hochladen lassen.
Auf Mansons Aufruf hin stellten dann Fachleute rund um den Globus beschädigte Bilder wieder her. 90 Familien, die alles verloren hatten, erhielten so zumindest ein paar Andenken zurück. Denn Fotos, so Becci Manson, sind „die Gedächtniswächter unserer Geschichte – das Letzte, was man sich [im Notfall, d.Red.] schnappen würde, aber das Erste, was man bei der Rückkehr sucht.“
Schießen Wassermassen durch Tür und Fenster herein, kramt man nicht erst die Fotoalben heraus, bevor man ins Freie oder aufs Dach flüchtet – das werden die Flutopfer von Ahrweiler und umliegenden Orten sicher bestätigen. Solche Überflutungen werden laut Klimaforschern künftig deutlich häufiger auftreten und zerstörerischer verlaufen, aufgrund des Klimawandels mit seinem verlangsamten Jetstream und größeren Wassermassen in der Atmosphäre. Selbst Menschen, die Sturzfluten bislang unter „gibt’s im Allgäu und in Südtirol, aber nicht hier“ verbuchten, sollten deshalb einen Notfallplan haben – erste Hilfestellung liefert der Notfallvorsorge-Ratgeber des BBK.
Zur Vorsorge zählt auch, Offsite-Backups wichtiger Dokumente und eben auch der Fotos zu erstellen – Letzteres ist zum Glück dank Digitalfotografie und Cloud heute erheblich leichter und kostengünstiger als Opas Zeiten der Analogkameras und Zweitabzüge. Das kleine Einmaleins des Schutzes wertvoller Datenbestände erläutert ein kurzes Infotainment-Video, das der Autor dieser Zeilen – nicht ganz zufällig – jüngst auf YouTube gepostet hat.
Eine leider perfekte Welle
Gegen Datenverlust aufgrund von Naturereignissen wie Überflutung sind Rechenzentren in der Regel gut geschützt – obschon ich da Ausnahmen wüsste. Auch manch ein KMU-Server-Raum ist bei näherer Betrachtung bedrohter, als dem Unternehmen lieb sein kann. Da gilt es nachzubessern. Viel stärker allerdings treibt die Angst vor einem Tsunami ganz anderer Art viele Unternehmen um: Wir erleben eine wahre Springflut von Angriffen auf Datenbestände, Rechner und neuerdings auch Industrieanlagen per Ransomware, also Erpressungstrojaner. Das Phänomen ist eigentlich schon Jahrzehnte alt, hat aber in den letzten Jahren deutlich an Fahrt aufgenommen (siehe hier).
Die Gründe für diese Angriffswelle sind vielfältig: Ein Faktor ist der Megatrend der „Auf Biegen und Brechen alles mit allem“-Vernetzung, ein weiterer die Verfügbarkeit eines erpressergerechten Zahlungswegs per Kryptowährung, ein dritter sind die Rückzugsräume, in denen sich Erpresserbanden vor Verfolgung sicher wähnen können, solange sie keine Ziele im Inland oder in befreundeten Staaten attackieren (siehe hier). Die pandemiebedingte Verbreitung von Remote Work hat den Datenpiraten eine zusätzliche Anlegestelle geliefert, um per Phishing in Unternehmen vorzudringen.
Denn ein brüchiges, ja geradezu poröses Glied der Verteidigungskette ist und bleibt der Mensch, wie Proofpoints „Human Factor Report 2021“ erneut belegt. Der kalifornische Security-Anbieter analysiert laut eigenem Bekunden täglich mehr als 2,2 Milliarden E-Mails, 35 Milliarden URLs, 200 Millionen Dateianhänge und 35 Millionen Cloud-Konten. Letztes Jahr habe man dabei über 48 Millionen E-Mails mit Malware entdeckt, die ein Einfallstor für Ransomware-Angriffe bietet – bei 800 Milliarden gescannter E-Mails pro Jahr ein verschwindend geringer Anteil, aber eben riskant für das ganze Unternehmen, wenn jemand darauf hereinfällt.
E-Mails, warnt Proofpoint, seien nach wie vor ein Kernbaustein von Angriffen als Verbreitungsweg für einen Großteil der Malware, die bei Aktivierung Ransomware nachlädt.„Angreifer hacken sich nicht in Systeme, sie loggen sich schlicht ein“, sagt Proofpoints Chefstratege Ryan Kalember. „Und der Mensch ist nach wie vor der entscheidende Faktor, den sich Angreifer dabei zunutze machen.“ Denn dieser Angriffsvektor braucht eben einen Anwender, der auf verdächtige Links klickt und/oder Makros aktiviert.
Die Basis des erpresserischen Treibens aber bildet hartnäckig der Umstand, dass die populären Endgeräte kaum Bordmittel mitbringen, um sich gegen bösartige Verschlüsselung zu schützen – dafür braucht es stets Zusatzmaßnahmen, um die sich die Anwenderschaft selbsttätig kümmern muss – davon später mehr. Aktuelle Desktops oder Notebooks gleichen damit auch nach knapp 50 Jahren Personal-Computing-Geschichte immer noch einem Auto, bei dem man ABS und Airbags (und manchmal sogar den Sicherheitsgurt) nicht ab Werk erhält, sondern selbst nachrüsten muss – ein Armutszeugnis für die IT-Industrie.
Die Folge: Datendiebstahl, Spionage und Sabotage verursachen der deutschen Wirtschaft laut einer Bitkom-Umfrage unter gut 1.000 Unternehmen mit mehr als zehn Beschäftigten jährlich einen Schaden von 223 Milliarden Euro – mehr als doppelt so viel wie noch 2018/2019, als die Schadenssumme bei 103 Milliarden Euro pro Jahr lag. 88 Prozent der Befragten waren 2020/2021 von Angriffen betroffen. Den Spitzenplatz der Bedrohungen hält Malware mit 31 Prozent, Ransomware liegt als separat erfasste Malware-Variante mit 18 Prozent „nur“ auf Platz 6. Dennoch erklärte Bitkom-Präsident Achim Berg: „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen.“
Studienschwemme
Im Ausland, insbesondere in den USA, ist die Lage noch ernster – zumindest wenn man den einschlägigen Anbietern Glauben schenken darf, die den Markt regelmäßig mit ihren Reports geradezu überschwemmen. Einhelliger Tenor der Analysen und Umfragen: Cybererpressung hat Rückenwind. So war Ransomware laut einem Bericht von Ciscos Security-Truppe Talos im zweiten Quartal international die häufigste Bedrohung für Unternehmen: Sie machte rund 46 Prozent aller Bedrohungen aus und übertraf damit die zweithäufigste Bedrohung – die Ausnutzung von Sicherheitslücken in Microsoft Exchange Server – um mehr als das Dreifache. Man habe eine Vielzahl von Ransomware-Familien beobachtet, darunter REvil, Conti, WastedLocker, Darkside, Zeppelin, Ryuk, Mount Locker und Avaddon.
„Aus dem Geschäft mit Ransomware hat sich in den letzten eineinhalb Jahren eine professionelle Industrie entwickelt“, kommentierte Michael von der Horst, Cybersecurity-Chef bei Cisco Deutschland. Die digitale Unterwelt ist inzwischen entlang der Angriffskette hochgradig differenziert: Es gebe Teams, so Talos, die Sicherheitslücken aufdecken, während andere darauf spezialisiert seien, Malware einzuschleusen oder Zahlungen abzuwickeln – Arbeitsteilung à la Dark Web.
„Das Gesundheitswesen steht besonders im Visier der Angreifer, weil die IT-Sicherheit in dieser Branche oft nicht gut genug ausgebaut ist“, sagt von der Horst. „Zudem stehen zum Beispiel Krankenhäuser unter hohem Druck, für die schnellstmögliche Wiederherstellung der Dienste zu sorgen.“
Laut Firewall-Hersteller SonicWall lag die Zahl der Ransomware-Angriffe schon im ersten Halbjahr 2021 höher als im gesamten Jahr 2020: Man habe weltweit 304,7 Millionen Ransomware-Angriffe verzeichnet, mehr als 2020 insgesamt (304,6 Millionen). Fortinet spricht in seinem Halbjahresbericht gar von einer Verzehnfachung erfasster Ransomware-Angriffe gegenüber 2020 – genauer: in einem Monat (Juni) gegenüber dem Vorjahresmonat. Barracuda wiederum erklärte, man habe zwischen August 2020 und Juli dieses Jahres 121 Ransomware-Vorfälle analysiert, ein Anstieg um 64 Prozent gegenüber dem Vorjahr.
Laut Barracuda haben es die Kriminellen vor allem auf Kommunen, das Gesundheitswesen sowie Bildungseinrichtungen abgesehen. Ein solcher Angriff könne aber jedes Unternehmen treffen, warnen die Fachleute. Knapp die Hälfte (44 Prozent) der von Barracuda beobachteten Angriffe in den letzten zwölf Monaten betraf US-Unternehmen, drei Prozent entfielen auf Deutschland, jeweils ein Prozent auf Österreich und die Schweiz. Ebenfalls bedenklich: Das Lösegeld stieg dramatisch an. Die durchschnittliche Lösegeldforderung pro beobachtetem Vorfall habe bei über zehn Millionen Dollar gelegen, in 14 Prozent der Fälle sogar bei über 30 Millionen Dollar.
Wichtig zur Einordnung: Hier ist die Rede von Angriffen auf Konzerne, nicht auf Mittelständler (die es in dieser Form in den USA eh nicht gibt). Laut Experten treibt dabei ironischerweise eine Schutzmaßnahme die Lösegeldforderungen in die Höhe: Professionelle Angreifer durchsuchen vor der Datenverschlüsselung das Netzwerk des Opfers – stoßen sie dabei auf Unterlagen einer Cyberversicherung, kennen sie die Höhe des Lösegelds, das von der Versicherung gedeckt ist.
Sturmflut
Auch Palo Alto Networks berichtet von eskalierenden Ransomware-Forderungen. Der Durchschnittswert, den die Kalifornier im ersten Halbjahr beobachteten, lag bei 5,3 Millionen Dollar – ein Plus von 518 Prozent gegenüber dem Vorjahr. Forderung ist aber nicht gleich Zahlung: Erstens zahlt nicht jedes Unternehmen, zweitens zeigen sich die Erpresserbanden gerade bei höheren Summen verhandlungsbereit – wohl dem, der Basar-erfahrene Verhandler in seinen Reihen weiß. In Palo Altos Auswertung betrug die Durchschnittshöhe des gezahlten Lösegelds 570.000 Dollar – immerhin ein Anstieg um 82 Prozent gegenüber dem Vorjahr.
Besonders ärgerlich ist das Aufkommen sogenannter „vierfacher Erpressung“: Erst kürzlich war zur „normalen“ Erpressung (also Datenentschlüsselung nur gegen Zahlung) die „doppelte Erpressung“ hinzugekommen: Die Kriminellen drohten bei Störrigkeit nicht nur mit Datenverlust, sondern zudem mit der Veröffentlichung vorab exfiltrierter Externa. Laut Palo Alto Networks setzen die Kriminellen nun neben Verschlüsselung und Datendiebstahl inklusive Leak-Drohung neuerdings auch noch Denial-Service-Angriffe und Belästigung auf diversen Kommunikationskanälen, um widerborstige Unternehmen zur Lösegeldzahlung zu nötigen.
Als Folge der erwähnten Arbeitsteilung organisierter Digitalkriminalität hat sich inzwischen „Ransomware as a Service“ (RaaS) etabliert, wie Palo Alto anhand des RaaS-Betreibers Lockbit im Detail beschreibt: Die Lockbit-Gruppe rekrutiert laut den Security-Analysten mit geschicktem Marketing „Affiliates“, also Partner. Diese zahlen der Gruppe einen Anteil der Einnahmen aus ihren Aktivitäten als Gegenleistung für die Nutzung der Malware, der Entschlüsselungsschlüssel, der Leak-Site und weiterer Unterstützung. Laut Doel Santos – der Sicherheitsanalyst von Palo Alto hat die RaaS-Gruppe und deren Leak-Site monatelang beobachtet – sind die Opfer über den ganzen Globus verstreut.
Im Juni gab die Gruppe ihrer Leak-Site per Relaunch ein neues Erscheinungsbild und führte die Malware Lockbit 2.0 ein, nach eigenen Angaben die schnellste Verschlüsselung auf dem Markt: Die Gruppe behauptet, Lockbit 2.0 könne 100 GByte Daten in 4:28 Minuten verschlüsseln, somit mehr als doppelt so schnell wie die Konkurrenz, etwa Babuk, Conti, DarkSide, REvil oder Ryuk.
Auch das Vorgehen beschrieb Palo Alto Networks im Detail: Die Malware verschlüsselt Dateien, fügt die Erweiterung „.lockbit“ hinzu und ändert das Symbol der Datei in das Lockbit-2.0-Logo. Ist die Verschlüsselung abgeschlossen, informiert der Bildschirmhintergrund über die Zwangsverschlüsselung, verweist zur Behebung auf „Recover-My-Files.txt“ – und zeigt Werbung, um weitere Partner für das Programm zu gewinnen – wie auch, so Santos’ Vermutung, um bei potenziellen Innentätern Interesse an einer Kollaboration zu wecken. Ist das Opfer kommunikationsbereit, erhält es eine „Entschlüsselungs-ID“ und einen Tor-Link, damit es die Verhandlung beginnen kann.
Einen noch jungen RaaS-Anbieter namens BlackMatter haben die Experten von Sophos durchleuchtet. Laut Sophos ähnelt BlackMatter anderen Gruppierungen wie DarkSide (also der Gruppe, der JBS und Colonial Pipeline zum Opfer fielen), REvil oder LockBit 2.0. Auf ein perfides Detail des BlackMatter-Vorgehens verweist Mark Loman, Director of Engineering bei Sophos: „die Fähigkeit, Dateiberechtigungen zurückzusetzen, sodass jeder ein Dokument sehen kann“. Ein betroffenes IT-Team müsse daran denken, diese Einstellung nach der Entschlüsselung der Dateien wieder zurückzusetzen.
Rettendes Ufer
Immerhin haben die Unternehmen wie auch die Politik nach jahrelangen – und mitunter medienwirksam inszenierten – Ransomware-Angriffen das Ausmaß der Gefahr inzwischen erkannt. Das BSI zum Beispiel forderte jüngst in seinem „Branchenlagebild Automotive“ die Automobilhersteller dazu auf, Security schon möglichst früh im Entwicklungszyklus neuer Fahrzeugmodelle zu berücksichtigen (der sogenannten „Shift Left“-Ansatz). Man arbeite hierzu eng mit dem Kraftfahrtbundesamt zusammen, so das BSI. Vielleicht werden digitale Sicherheitsgurte und Airbags eines Tages also, wenn schon nicht im simplen PC, dann doch zumindest in künftigen (semi-)autonomen rollenden Rechenzentren doch noch Vorschrift, mal abwarten.
Laut einer Umfrage von Trend Micro wiederum gehen 83 Prozent der befragten deutschen Unternehmen davon aus, dass ein Datendiebstahl in den nächsten zwölf Monaten „etwas“ bis „sehr“ wahrscheinlich ist. Das wirft die Gretchenfrage auf: Wie soll man sich vor Ransomware schützen? Ein Allheilmittel existiert bislang nicht, ein mehrstufiges Vorgehen ist nötig.
Die IT-Ausrüster bemühen sich zum Glück zunehmend, ihre Hardware und Software gegen Angriffe wie Ransomware zu rüsten. HP zum Beispiel bietet per Akquisition von Bromium 2019 für seine PCs ein integriertes Sandboxing des Web-Browsers und E-Mail-Clients – eine nützliche Funktion zur Malware-Abwehr, die man sich längst als Windows-Bordmittel gewünscht hätte. HPs Enterprise-Schwester HPE übernahm indes diesen Sommer Zerto, was Storage-Technologie mit Funktionen für Disaster Recovery und Ransomware-Abwehr ins Haus brachte. Ein weiteres Beispiel: NetApp bietet für Ontap eine Snapshot-Lösung gegen Ransomware.
Trotz solcher Schritte können sich Unternehmen Stand heute für die Abwehr von Erpressern nicht allein auf Bordmittel der Endgeräte und Storage-Lösungen verlassen. Ergänzend gibt es diverse Anti-Ransomware-Tools von Security- und/oder Storage-Spezialisten, etwa von Acronis, Bitdefender, Check Point, Crowdstrike, Malwarebytes, ManageEngine oder Trend Micro. Florian Malecki, Senior Director International Product Marketing bei Arcserve, warnt: „Während ein großes Unternehmen vielleicht die Mittel hat, einen Angriff zu überstehen, können viele kleine Unternehmen durch die Auswirkungen von Ransomware zur Geschäftsaufgabe gezwungen werden.“
Er empfiehlt deshalb eine Reihe von Maßnahmen: die Belegschaft in Betrugserkennung zu schulen und insbesondere vor Makros zu warnen, Endgeräte vor Fremdzugriffen zu schützen, Software as a Service zu nutzen und die Richtlinien im Unternehmen zu straffen und durchzusetzen. Außerdem rät er zur Etablierung einfacher, klarer Meldeverfahren, sodass Beschäftigte Vorfälle melden können – idealerweise ohne dass es ihnen peinlich sein muss, auf einen falschen Button oder Link geklickt zu haben. Und zu guter Letzt gelte es, die Wiederherstellung von Daten zu planen und zu testen.
Cisco-Mann von der Horst ergänzt: „Fehlende Multi-Faktor-Authentifizierung (MFA) ist nach wie vor eines der größten Hindernisse für die Unternehmenssicherheit.“ Das Talos-Team empfehle Unternehmen deshalb dringend, MFA zu implementieren, wo immer dies möglich ist.
Auf dem Weg, die fortwährende Ransomware-Gefahr zu bannen, ist ein wichtiger erster Schritt, sich zunächst ein klares, differenziertes Bild von der eigenen Bedrohungslage zu verschaffen – mag es auch für das IT-Management bitter sein, wenn die Analyse zeigt, dass dieses Bild eine Reihe von … nun ja, sagen wir: Schönheitsfehlern aufweist. Denn Fotos von Models zu retuschieren mag Usus sein, die Momentaufnahme einer Risikolage hingegen erlaubt keine Beschönigung.
(Dieser Beitrag erschien erstmals in LANline 10/2021.)
Bild: (c) Wolfgang Traub
IT Info 2 Go 