Ransomware: So schützen Sie Ihr Business vor der digitalen Geiselnahme
Was ist Ransomware?
Der Begriff geht auf das englische Wort „ransom“ (Lösegeld) zurück und bezeichnet eine Schadsoftware, mit der Eindringlinge sich Zugang auf fremde Computersysteme und darauf enthaltene Daten verschaffen. Die Daten auf dem Zielcomputer werden verschlüsselt und im schlimmsten Fall das komplette Computersystem gesperrt. Eigentümer:innen können nun nicht mehr auf die Daten ihrer Systeme zugreifen. Für die Entschlüsselung oder Freigabe der Daten verlangen die Kriminellen ein Lösegeld – diese Forderung wird den Opfern auf dem Bildschirm angezeigt. Wird das Lösegeld bezahlt, geben die Cyberkriminellen das System wieder frei oder übermitteln den Betroffenen einen Code, mit dem die verschlüsselten Dateien decodiert werden können.
Ransomware: Zahlen und Fakten
Das US-Magazin Cybersecurity Ventures brachte im August 2022 den „Boardroom Cybersecurity Report“ heraus, der nicht nur die aktuellen „Trends“ im Bereich Cyberkriminalität zusammenfasst, sondern auch einen Ausblick darauf gibt, was Unternehmen in Zukunft erwartet. Die Zahlen darin sind erschreckend:
- Alle 11 Sekunden fand 2021 eine Ransomware-Attacke auf Unternehmen oder Organisationen statt. Bis 2031 soll diese Zahl auf alle 2 Sekunden steigen.
- 2022 soll der weltweite Schaden durch Cybercrime rund 7 Billionen US-Dollar (entspricht etwa 6,7 Billionen Schweizer Franken) betragen. Bis 2025 wird eine Steigerung auf 10,5 Billionen US-Dollar erwartet.
Ransomware gilt also nicht umsonst als Top-Bedrohung im Bereich Cybercrime. Der Grund: Eine erfolgreiche Attacke mit einer Schadsoftware kann ganze Lieferketten und Geschäftsprozesse, darunter beispielsweise Produktionsstätten lahmlegen. Weitere Zahlen und Fakten zu Cyberkriminalität und Ransomware haben wir in diesem Artikel für Sie zusammengefasst: IT Risiken: Learnings und Vorkehrungen für Ihr Business
Business-Risiko Ransomware
Wer nun glaubt, Cyberkriminelle würden sich vorrangig auf grosse Unternehmen fokussieren, der irrt, denn: Tatsächlich werden auch immer mehr kleine und mittelständische Firmen attackiert. Doch damit nicht genug: Der WatchGuard Internet Security Report registrierte im ersten Quartal 2022 doppelt so viele Angriffe wie im GESAMTEN Jahr 2021!
Ein Grund für diese Häufigkeit ist neben dem Russland-Ukraine-Krieg auch die Sicherheitslücke Log4Shell in der Java-Codebibliothek. Diese tauchte bereits im Dezember 2021 erstmals auf und lässt sich nicht nur leicht ausnutzen, sondern auch über verschiedene System-Codes ausführen. Da Java in vielen Programmen und Applikationen zur Anwendung kommt, ist das Risiko eines Angriffs deutlich erhöht. Dieses Beispiel zeigt auch sehr gut: Selbst die beste Vorbereitung und interne IT-Sicherheit kann nutzlos sein, wenn der Angriff über eine Schwachstelle in einem System oder Programm erfolgt.
Mehr zu Sicherheitslücken in Betriebssystemen oder Programmen erfahren Sie in unserem Artikel Kritische Schwachstellen im Betriebssystem oder in Software – so sichern Sie sich ab.
Ransomware-Attacken: Nicht nur Unternehmen im Fokus
Das längst nicht „nur“ Unternehmen von Ransomware-Attacken betroffen sind, zeigt der Cyber-Angriff auf die Landeskreisverwaltung Anhalt-Bitterfeld im Juli 2021. Für diesen Fall wurde sogar zum ersten Mal in Deutschland der Cyber-Katastrophenfall ausgerufen. Auch hier nutzten die Cyberkriminellen eine Sicherheitslücke in einem Betriebssystem – in diesem Fall war es im Druckersystem von Windows 7 bis 10 – und legten das gesamte IT-System aller Standorte der Kreisverwaltung lahm. Es dauerte mehrere Wochen, bis der Schaden behoben war.
Das auch Gemeinden, Kommunen oder sogar Krankenhäuser, Universitäten oder Organisationen zum Ziel von Cyberkriminellen werden, ist nicht neu. Bereits 2019 wurde die US-Stadt Baltimore über mehrere Jahre hinweg immer wieder von Cyberkriminellen attackiert. Diverse IT-Systeme der Stadt funktionierten nicht richtig. Teilweise war die Telefonnotrufleitung nicht erreichbar, Dokumente konnten nicht ausgestellt werden. Der daraus resultierende Schaden beläuft sich auf etwa CHF 15`000`000.
Ransomware Schutz: Geht das überhaupt?
Die schlechte Nachricht zuerst: Einen Schutz von 100 Prozent gegen Ransomware – sowie andere Cyber-Attacken – gibt es nicht. ABER: Sie können das Risiko zumindest minimieren, in dem Sie zunächst wirksame Sicherheitsstandards in Ihrem Business einführen. Hier sind einige Tipps, wie Sie Ihr Business schützen können:
1. IT-Infrastruktur stärken
Investieren Sie in gute Hardware, geschultes Personal für die IT-Sicherheit und gute Antivirensoftware. Auch wenn Sie dafür ordentlich Geld in die Hand nehmen müssen, es zahlt sich am Ende aus und verhindert hohe Folgekosten.
2. Backups anlegen
Die wichtigste Schutzmassnahme, mit der Sie im Falle einer Ransomware-Attacke wieder an Ihre Daten gelangen und den Betrieb wiederaufnehmen können, ist ein Backup. Deshalb ist es zunächst wichtig, ein Datensicherungskonzept zu haben in dem festgelegt ist, wo Backups hinterlegt werden (beispielsweise in einer Cloud, mit NAS) und auch welche Daten gesichert werden. So kann es zum Beispiel sinnvoll sein, nur Daten auf Servern und Netzlaufwerken zu sichern und Clients im Fall einer Infektion neu aufzusetzen.
Mittlerweile suchen Angreifende, die Administrationsrechte erlangt haben, bei Schadprogramm-Infektionen oft gezielt nach Backups um diese ebenfalls zu verschlüsseln. Daher sollte zumindest eine Kopie offline gesichert werden. Dies kann beispielsweise über getrennte Tapes oder Systeme, die sich wie ein Tape verhalten (zum Beispiel ein RDX-Speichermedium) in einem separaten Archiv mit physischem Zugriff passieren oder auch über einen komplett vom Netz getrennten Cloud-Speicher.
3. Halten Sie die Software aktuell
Achten Sie darauf, dass Sie immer die aktuellste Version Ihrer Software verwenden, egal ob Betriebssystem, Antivirensoftware oder andere Programme. Veraltete Versionen sind für Angreifer:innen ein potenzielles Einfallstor. Die Updates und Patches sind notwendig, um auf aktuelle Schadsoftware reagieren zu können.
4. Remoteunterstützung deaktivieren
Über die Remoteunterstützung kann Ransomware nicht nur einzelne Computer, sondern ganze Netzwerke befallen. Daher sollten Sie das Remote Desktop Protocol (RDP) in den Systemeigenschaften ausschalten. Die Remoteunterstützung ist dazu gedacht, einen entfernten Zugriff von unterwegs auf einen Windows-PC zu ermöglichen.
5. Vorsicht vor gefährlichen E-Mails
Ein oft genutztes Einfallstor für Ransomware ist die E-Mail. Scheinbar vertrauenswürdige Mails enthalten Dateianhänge oder einen Link, die Empfänger:innen öffnen oder anklicken sollen. Dadurch kann Ihr System mit Schadsoftware infiziert werden. Daher sollten Sie niemals E-Mails von unbekannten Absender:innen öffnen. Klicken Sie also auf gar keinen Fall auf Links und öffnen Sie niemals Dateien, wenn Sie nicht absolut sicher sind, dass es sich um einen vertrauenswürdigen Kontakt handelt. Im Zweifelsfall öffnen Sie diese Mail nur in einer geschützten Umgebung, zum Beispiel in einer sogenannten Sandbox. Dabei handelt es sich um einen vom Rest der Systemumgebung isolierten Bereich. Die Vorkommnisse dort haben keinerlei Auswirkung auf die äussere Umgebung. Weniger technisch ist die Möglichkeit, die/den Absender:in telefonisch zu kontaktieren und sich bestätigen zu lassen, dass der Link oder die Datei wirklich notwendig und ungefährlich ist. Besonders vorsichtig sollten Sie sein, wenn eine Mail Dateien mit folgenden Endungen enthält:
- .exe
- .mov
- .avi
- .mpg
- .zip
- .doc
Bei Windows kann es sein, dass bekannte Dateiendungen automatisch ausgeblendet werden. Somit könnte es Ihnen passieren, dass Sie eine Datei erhalten, die „Urlaubsfoto.JPEG“ heisst, in Wahrheit aber als „Urlaubsfoto.JPEG.exe“ benannt ist. Somit wäre es keine Bilddatei, sondern eine ausführbare Anwendung, die Schaden anrichten kann. In den Optionen des Windows Explorers können Sie den Punkt „Erweiterungen bei bekannten Dateientypen ausblenden" deaktivieren. Dann werden Ihnen die vollständigen Dateiendungen angezeigt und Sie vermeiden Verwechslungen.
Was ist ein Drive-by-Angriff?
Bei einem Drive-by-Angriff fangen sich Besucher:innen einer Webseite ohne es zu wissen eine Schadsoftware ein, die beim Aufruf der Seite automatisch heruntergeladen wird. Cyberkriminelle nutzen Sicherheitslücken von gewöhnlichen Webseiten, um dort den gefährlichen Code zu verstecken. Die Betreiber:innen der Seite wissen oft gar nicht, dass ihre Webseite für die Verbreitung von Schadsoftware missbraucht wird. Um sich vor einem Drive-by-Angriff zu schützen, sollten Sie Ihren Browser und sämtliche Programme stets aktuell halten.
6. Mitarbeiter:innen schulen
Gerade in Unternehmen, in denen viel E-Mail-Verkehr stattfindet und viele Mitarbeiter:innen im Internet unterwegs sind, ist es besonders wichtig, dass diese über Cybercrime-Risiken Bescheid wissen. Daher sollten Sie Ihre Mitarbeiter:innen diesbezüglich schulen und ihnen Handlungsempfehlungen mit auf den Weg geben, wie sie Angriffe erkennen können und wie sie in welcher Situation richtig reagieren.
Ransomware: Massnahmen für den Ernstfall
Wie bereits geschrieben: Es gibt leider keinen absoluten Schutz gegen Cyber-Angriffe, ein Restrisiko bleibt immer bestehen. Deshalb ist es wichtig, sich möglichst umfangreich auf eine erfolgreiche Ransomware-Attacke vorzubereiten und dazu gehört vor allem das Durchspielen des Ernstfalls. Was tun, wenn es zu einem Vorfall kommt? Dazu sollten Sie und alle beteiligten Mitarbeiter:innen (IT-Abteilung, Dienstleister:innen, Führungskräfte) wissen, welche Abläufe es gibt und was zu beachten ist. Teil dieser Vorbereitung sind die Antworten auf folgende Fragen:
- Welche Geschäftsprozesse sind kritisch für Ihr Business? Welche Systeme sind für den
- Geschäftsbetrieb zwingend notwendig und wie würde man diese nach einer Kompromittierung wiederherstellen?
- Sind alle für den Geschäftsbetrieb notwendigen Daten aktuell und offline gespeichert und können im Ernstfall relativ schnell auf neue Hardware rückgesichert und zeitnah genutzt werden?
- Welche Prozesse und Reihenfolgen gibt es beim Wiederherstellen von Servern und Daten aus den Backup-Lösungen? Gibt es einen konkreten und aktuellen Business Continuity Plan, der allen Beteiligten bekannt ist?
- Wie viel Zeit nimmt das Wiederherstellen und Neukonfigurieren zwingend notwendiger Hard- und Software in Anspruch?
- Gibt es eine Liste mit Dienstleister:innen, für einen solchen Notfall, die für die Wiederherstellung oder forensische Analyse Ihrer IT-Systeme zuständig sind? Gibt es dazu eine Vereinbarung (zum Beispiel in Form eines Service Level Agreement), wie schnell diese im Notfall reagieren müssen?
- Haben Sie eine Cyber-Versicherung abgeschlossen? In diesem Fall sollten Sie den Vorfall umgehend dem Versicherer melden, damit der Sie bei den weiteren Massnahmen bis hin zu Lösegeldzahlungen unterstützen kann.
- Wie soll im Worst Case auf eine Erpressungsforderung reagiert werden und welche Risiken bestehen, wenn Unternehmensdaten von Cyberkriminellen veröffentlicht werden?
- Wie wird ein Vorfall intern und extern kommuniziert? Es ist wichtig, dass die richtigen Informationen etwa die richtigen Stakeholder zeitnah erreichen. Zu beachten sind ebenfalls nötige rechtliche Meldepflichten zum Beispiel an die zuständige Datenschutzbehörde und die betroffenen Kundinnen, Kunden und Stakeholder.
- Beachten Sie, dass Aufsichtsbehörden eine unmittelbare Prüfung zur Kontrolle der technischen und organisatorischen Massnahmen in Betracht ziehen können. Bereiten Sie sich darauf vor und stellen Sie sicher, dass alle Unterlagen in ausgedruckter Form vorliegen und die Beschäftigten, welche mit Datenschutz-Themen vertraut sind, als Ansprechpartner:in zur Verfügung stehen.
Lösegeldforderung bei Ransomware: Zahlen oder nicht zahlen?
Betroffene, die mit einer Lösegeldforderung konfrontiert werden, wissen oft nicht, ob sie diese bezahlen sollen oder nicht. Eine klare Antwort gibt es auf diese Frage nicht, da es immer auf den Einzelfall ankommt. Je nachdem wie wichtig die betroffenen Daten sind (beispielsweise Gesundheitsdaten von Patientinnen und Patienten im Krankenhaus) kann es sein, dass die betroffene Institution keine Zeit hat zu warten, bis der Verschlüsselungstrojaner beseitigt ist. Oft wird dann das Lösegeld in der Hoffnung gezahlt, dass der Spuk schnell ein Ende hat.
Doch genau hier liegt das Problem. Keiner kann garantieren, dass nach der Lösegeldzahlung die Daten wirklich wieder freigegeben werden. Die gängige Meinung unter Expertinnen und Experten ist daher, kein Lösegeld zu bezahlen. Auch der BSI rät dazu, der Lösegeldforderung nicht nachzukommen. Stattdessen sollen Betroffene den Bildschirm inklusive Erpressungstext fotografieren und Anzeige erstatten.
Auch der moralische Aspekt spielt eine Rolle. Schliesslich wollen die Cyberkriminellen mit einem Ransomware-Angriff Geld verdienen. Wenn die Lösegelder in den meisten Fällen bezahlt werden, funktioniert das Geschäftsmodell und dieses wird weiterverfolgt. Mit dem Geld werden weitere Schadprogramme finanziert und die Forderungen werden immer höher, da die Kriminellen erkennen, dass die Opfer zahlungswillig sind.
Das beste Backup: Die Cyber-Versicherung über exali
Immer mehr Unternehmen – unabhängig von ihrer Grösse – geraten ins Visier von Cyberkriminellen und auch wenn Sie alle unsere Tipps umsetzen, bleibt ein erhebliches Restrisiko bestehen. Um dieses abzufangen, gehört zu einem optimalen Risikomanagement heutzutage auch der Abschluss einer Cyber-Versicherung. exali bietet Ihnen einen Basisschutz mit umfassender Absicherung einer Cyber-Betriebsunterbrechung für den Fall eines Cyber- und Dateneigenschadens (bezeichnet einen erfolgreichen Angriff auf Ihre Systeme, Programme oder elektronischen Daten durch Kriminelle).
Im Fall einer erfolgreichen Ransomware-Attacke stellt Ihnen der Versicherer zunächst eine Notfallhilfe zur Seite. Diese beinhaltet neben einer Experteneinschätzung auch die Einleitung von Massnahmen zur Schadensbegrenzung. Um Ihre IT-Systeme, Programme oder elektronischen Daten wiederherzustellen, ermittelt ein:e vom Versicherer beauftragte:r IT-Forensiker:in die Schadensursache und erarbeitet für Sie einen Aktionsplan für das weitere Vorgehen. Der Versicherer übernimmt dann die Kosten für die Wiederherstellung oder Reparatur der betroffenen IT-Systeme, Programme oder Daten, sowie die Wiederherstellung der eigenen Webseite und der Reparatur und Neuanschaffung von Hardware. Der Zusatzbaustein Cyber-Betriebsunterbrechung sichert Sie zudem gegen den in dieser Zeit angefallenen finanziellen Schaden (Ertragsausfall) ab.
Um alle Risiken Ihres Businessmodells umfassend und passgenau abzusichern, bietet die Cyber-Versicherung über exali zudem weitere optional wählbare Zusatzbausteine, die Sie zum Basisschutz ganz einfach im Online-Antrag hinzubuchen können. Sie haben Fragen? Gerne beraten Sie unsere Kundenservice-Mitarbeiter:innen telefonisch (unter der +41 (0) 58 255 60 00, Montag bis Freitag 09:00 Uhr bis 18:00 Uhr) oder per E-Mail über unser Kontaktformular.