https://www.faz.net/-j0w-ac3v4
Verlagsspezial

: Schutzmechanismen gegen Verschlüsselungstrojaner

Gravierende Auswirkungen: Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei. Nach dem umfangreichen IT-Ausfall an der Uniklinik im September 2020 dauert die schwierige Suche nach den Hackern weiter an. Bild: Roland Weihrauch/Picture Alliance/dpa

Ferngesteuerte, digitale Erpressung mittels spezieller Erpressersoftware ist inzwischen eine der größten Bedrohungen für die Cybersicherheit weltweit. Betroffen sein kann jedes Unternehmen, wichtig sind eine schnelle Reaktion und eine gute Vorbereitung für den Ernstfall.

          2 Min.

          Während Ende des vergangenen Jahres die Zahl der Corona-Infizierten in den Vereinigten Staaten dramatisch zunahm, hatten viele amerikanische Krankenhäuser außerdem mit einer Welle von Cyberangriffen zu kämpfen. Die amerikanische Bundespolizei FBI warnte vor Attacken mit dem Erpressungstrojaner Ryuk. Diese Software verschlüsselt den Inhalt von Computern und verlangt Lösegeld mit dem Versprechen, die Daten nach Zahlung der geforderten Summen wieder freizugeben.

          Auch deutsche Krankenhäuser wurden in der Vergangenheit bereits Opfer solcher Attacken – mit gravierenden Folgen für Angestellte und Patienten. In einem Warnschreiben an 130 Krankenhäuser empfahl das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einrichtungen, ihre Sicherheitsmaßnahmen zu prüfen und, wo notwendig, zu verschärfen.

          Zunehmend größere Schäden

          Ausgangspunkt sind meist sogenannte Ransomware-Attacken mittels Verschlüsselungstrojaner. Dabei verschlüsseln die Täter die IT-Systeme von Unternehmen und öffentlichen Einrichtungen und legen sie damit lahm. Für die „Schlüssel“, die man braucht, um wieder Zugang zu erlangen, verlangen sie ein Lösegeld – meist in Form von Kryptowährungen wie Bitcoin. Wer keine Back-ups gemacht hat, dem droht so ein Verlust seiner Daten, falls kein Lösegeld fließt. Und selbst wenn ein Betroffener zahlt, ist nicht garantiert, dass er im Gegenzug tatsächlich den benötigten Schlüssel bekommt.

          Ransomware-Angriffe wurden in den vergangenen Jahren nicht nur zahlreicher, sondern richteten auch pro Erpressungsattacke einen zunehmend größeren Schaden an. So konnten im Sommer 2020 Hunderte Angestellte des Halbleiter-Herstellers X-Fab im Erfurter Werk nach einer entsprechenden Attacke wochenlang nicht arbeiten. Ähnliches passierte 2019 einer sächsischen Gießerei des norwegischen Alu-Konzerns Norsk Hydro.  

          Dabei erhalten nur acht Prozent der Unternehmen oder Organisationen, die Opfer eines Ransomware-Angriffs wurden, ihre Daten wieder. Zu diesem Ergebnis kommt der Security-Hersteller Sophos in der Studie „The State of Ransomware 2021“. Darin befragten die Experten im Januar und Februar 5400 IT-Entscheider in Organisationen aus 30 Ländern mit 100 bis 5000 Mitarbeitern. „Sich von einem Ransomware-Angriff zu erholen kann Jahre dauern“, erklärt Chester Wisniewski, Principal Research Scientist bei Sophos. „Dazu gehört weitaus mehr als nur die Entschlüsselung und Wiederherstellung von Daten. Komplette Systeme müssen neu aufgebaut werden, und auch die operativen Ausfallzeiten und Auswirkungen auf die Kunden dürfen nicht außer Acht gelassen werden.“

          Automation und menschliche Expertise

          Der Studie zufolge gaben 54 Prozent der IT-Entscheider weltweit und 51 Prozent in Deutschland an, dass die Cyberattacken zu fortgeschritten seien, als dass ihre IT-Abteilung diese alleine handhaben können. Deshalb empfiehlt der Security-Hersteller jedem Unternehmen, sich auf dieses Szenario vorzubereiten, um im Ernstfall handlungsfähig zu bleiben. Entscheidend seien dabei Schutzmechanismen auf verschiedenen Ebenen sowie Back-ups nach Industriestandards. Das bedeutet: dreifaches Back-up, zwei unterschiedliche Medien und eins davon offline aufbewahren. Gleichzeitig sollten Anti-Ransomware-Techniken mit von Menschen durchgeführtem Threat Hunting verbunden werden. Die Technologie soll Skalierung und Automation liefern, während menschliche Expertise wichtig sei beim Entdecken von Verschleierungstaktiken der Angreifer. Hat man diese Fähigkeiten nicht im Haus, bieten spezialisierte Security Operations Center Unterstützung für Organisationen verschiedener Größen. Außerdem sei der beste Weg, eine Cyberattacke nicht zu einem kompletten Datenverlust werden zu lassen, ein vorab erstellter und jederzeit greifbarer Notfallplan.

          Lösegeld zu zahlen sei übrigens keine gute Lösung und der ineffektivste Weg, um Daten zurückzubekommen. Wer dennoch bezahlen möchte, sollte im Hinterkopf behalten, dass die Gegner im Durchschnitt nur bis zu Zweidrittel der Dateien wiederherstellen.

          Topmeldungen

          : Cyberangriffe: Deutsche Firmen im Visier

          Angriffe aus dem Cyberspace nehmen zu, der Schaden für die deutsche Wirtschaft ist immens. Unternehmen müssen nicht nur in die technische IT-Sicherheit investieren – sondern auch die Mitarbeiter für die Gefahren der digitalen Sphäre sensibilisieren.
          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt.

          Interview : „Das Vertrauensverhältnis zum Kunden ist ein hohes Gut“

          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. In diesem Jahr wurde die gebürtige Israelin mit dem ersten Platz beim hochdotierten Deutschen IT-Sicherheitspreis ausgezeichnet. Im Interview spricht sie über die Vorgehensweise von Cyberkriminellen und zeigt auf, wie wichtig es für Unternehmen ist, einen Notfallplan in der Schublade zu haben.
          Täuschend echte Nachrichten: Phishing-E-Mails sind heutzutage zum Teil so gut gemacht, dass man nur beim genaueren Hingucken etwas bemerkt.

          : Mit einem Klick in der Falle

          Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance.
          Johannes Bahrke ist Sprecher für Digitale Wirtschaft und Gesellschaft der Europäischen Kommission.

          Interview : „Cyberangriffe hören nicht an physischen Grenzen auf“

          Die Europäische Union will die Sicherheit des Internets und anderer kritischer Netz- und Informationssysteme erhöhen. Dazu soll in Bukarest ein neues Kompetenzzentrum für Cybersicherheit entstehen. Ein Interview mit Johannes Bahrke, Sprecher für Digitale Wirtschaft und Gesellschaft der Europäischen Kommission.