Eine Ransomware nistet sich im Firmennetz ein und verschlüsselt sämtliche geschäftliche Daten. Was das bedeutet, erzählt ein Schweizer KMU, das selbst Opfer eines Verschlüsselungstrojaners wurde. Und darauf die Schutzmassnahmen verstärkt hat.
Nichts ging mehr an jenem Morgen im Oktober 2018. Als die Mitarbeitenden von Züst Haustechnik ihre Computer starteten, waren alle Dokumente auf dem Server unlesbar. Keine Plandatei liess sich mehr öffnen. Über Nacht hatte die Ransomware «Gandcrab» sämtliche Dateien verschlüsselt. «Das einzige Dokument, das noch lesbar war, war die Anleitung, wie wir das Lösegeld für die Entschlüsselung zu überweisen hätten», erinnert sich Johannes Berry an jenen Morgen zurück. Der Projektleiter des Ingenieurbüros ist nebenbei für kleinere IT-Anliegen zuständig.
Der Schaden war umso grösser, weil Gandcrab auch die Backups auf dem Netzwerkspeicher verschlüsselt hatte. «Unser Betrieb war lahmgelegt», fasst Johannes Berry die bedrohliche Situation zusammen. Denn das Unternehmen zeichnet sämtliche Pläne für Heizungs-, Lüftungs- und andere Sanitärinstallationen direkt am Computer. Ohne funktionierende Informatik war ans Arbeiten nicht zu denken.
Wahrscheinlich war die Ransomware in einem Phishing-Mail versteckt.
In dieser Situation und nach Absprache mit dem IT-Partner entschied sich das KMU mit 24 Mitarbeitenden, das Lösegeld zu bezahlen. Für etwa einen halben Bitcoin kauften sie die Entschlüsselungssoftware und konnten damit die Daten wiederherstellen. In diesem Fall hat das Vorgehen funktioniert – eine Gewähr, dass dem immer so ist, gibt es aber nicht.
Ransomware, ein lukratives Geschäft
Malware und insbesondere Ransomware sind für Cyberkriminelle ein lukratives Geschäft. Der IT-Sicherheitsanbieter McAfee schätzt, dass Internet-Kriminalität 2017 alleine in Europa und Russland einen Schaden von rund 170 Milliarden US-Dollar angerichtet hat – Lösegelder, Betriebsausfälle und Aufwände für die Schadensbehebung zusammengerechnet.
Entsprechend raffiniert ist heute Malware programmiert. Im Falle von Gandcrab rechnet der IT-Sicherheitsanbieter Bitdefender damit, dass die Ransomware alleine zwischen Juli und Oktober 2018 500’000 Opfer gefordert hat. Kürzlich haben die Betreiber bekannt gegeben, dass Gandcrab in Rente gehe. Die Opfer hätten rund zwei Milliarden US-Dollar Lösegeld bezahlt in knapp 16 Monaten. Gewinn für die – unbekannten – Cyberkriminellen: über 200 Millionen US-Dollar.
Am Anfang einer Malware-Infektion steht meist ein Phishing-Mail mit einem verseuchten Anhang. Darin befindet sich ein Skript-Programm, das sich über Sicherheitslücken in Adobe Acrobat, dem Flash-Plug oder die Windows-Befehlszeile (PowerShell) im System einzunisten versucht. Wie die Ransomware bei Züst Haustechnik überhaupt ins System gelangte, ist im Nachhinein nicht mehr eindeutig nachvollziehbar. Vermutlich erfolgte die Infektion über ein Phishing-Mail. «Ich habe mal eine eigenartige Blindbewerbung aus dem Ausland erhalten», erinnert sich Johannes Berry. «Vielleicht war darin die Ransomware versteckt.»
Aufgrund des lukrativen Geschäfts lohnt es sich für die Cyberkriminellen, ihre Malware stehts auf neue Sicherheitslücken anzupassen und damit den Schutzmassnahmen von Unternehmen einen Schritt voraus zu sein. Einen absoluten Schutz vor Malware gibt es deshalb nicht. Aber eine Reihe von Abwehrmassnahmen hilft, die Unternehmens-IT besser vor Angriffen zu schützen und den Schaden zu verringern.
Mit Firewall und Menschenverstand gegen Cyberkriminelle
Schützen Sie Ihr Netzwerk mit Managed Security
Die performante Sicherheitslösung von Swisscom für KMU mit Deep Packet Inspection, Webfilter und Antivirus schützt ihr Firmennetzwerk effizient gegen Cyberbedrohungen. Das alles zu kalkulierbaren Kosten. Die Firewall ist in der Swisscom Cloud virtualisiert, was entscheidende Vorteile gegenüber Hardware-Firewall-Lösungen vor Ort mit sich bringt (z.B. Skalierbarkeit, hohe Verfügbarkeit und Performanz). Swisscom überwacht die Lösung rund um die Uhr und übernimmt für Sie Updates der Firewall und Lizenz-Management.
Auch Züst Haustechnik hat mittlerweile nachgebessert und die Sicherheitsmassnahmen ausgebaut. «Wir machen jetzt ein Backup in die Cloud», sagt Johannes Berry. «Das gibt uns die Sicherheit, bei einem erneuten Befall die Daten wiederherstellen zu können.» Zudem untersucht eine Firewall mit Deep Packet Inspection (DPI, siehe Box) den Inhalt des Netzwerkverkehrs und kann so verdächtige Aktivitäten blockieren.
Diese ausgebauten Massnahmen sind nötig. Denn Johannes Berry macht sich keine Illusionen darüber, dass das Unternehmen mit der Lösegeldzahlung attraktiver für Cyberkriminelle geworden ist und das Risiko eines erneuten Angriffs besteht.
Doch nicht nur auf der technischen Seite hat das KMU gehandelt. Auch die Mitarbeitenden wurden für die Gefahren sensibilisiert und achten viel mehr darauf, welche Dokumente sie öffnen. «Es ist jetzt ein paar Mal vorgekommen, dass jemand zu mir gekommen ist und gefragt hat, ob er diesen Anhang wohl öffnen könne», beschreibt Johannes Berry die Wirkung der Sensibilisierung. Dass es keinen hundertprozentigen Schutz vor Ransomware gibt, ist auch ihm klar. Immerhin, bis heute ist sein Unternehmen vor weiteren Angriffen verschont geblieben.
Wann schützt eine Firewall vor Ransomware?
Eine Firewall schützt nicht automatisch vor Malware wie etwa Ransomware. Dies ist abhängig von der Funktionsweise:
- Viele einfache Firewalls – dazu gehört auch die Software-Firewall von Windows 10 – prüfen nur den Verkehr, also Absender- und Zieladresse. Solche Paketfilter können beispielsweise verhindern, dass ein Angreifer von aussen auf Rechner im Firmennetz zugreift. Den Inhalt des Netzwerkverkehrs erkennt eine solche Firewall aber nicht. Somit bleiben beispielsweise Mails mit verseuchten Anhängen unentdeckt.
- Um den Inhalt zu erkennen, muss die Firewall sogenannte Deep Packet Inspection (DPI) beherrschen. Mit einer Antiviren-Lösung kann der Inhalt nun auf Malware untersucht werden, womit Ransomware wie Grandcrab unter Umständen erkannt wird.
- Da der meiste Netzwerkverkehr heutzutage aber verschlüsselt ist, muss sich die Firewall für DPI aber in die Verbindung einklinken und den Verkehr entschlüsseln. Dazu müssen die Endgeräte – Computer und Smartphones im Unternehmen – entsprechend konfiguriert werden. Das ist einerseits aufwändig und schafft andererseits genügend Raum für Ausnahmen, bei denen auch eine DPI-Firewall den Netzwerkverkehr nicht analysieren kann.
- Einen gewissen zusätzlichen Schutz schaffen Blacklists, schwarze Listen, auf denen bekannte Adressen von Cyberkriminellen eingetragen sind. Ein Paketfilter kann den Verkehr mit einer solchen Adresse blockieren und dadurch beispielsweise verhindern, dass eine Malware «nach Hause telefoniert» und für Cyberangriffe aktiviert wird. Der Nutzen solcher Listen steht und fällt aber mit der Aktualität und Vollständigkeit.