RANSOMWARE

Sie heissen WannaCray, NotPetya, Emotet oder Ryuk: Ransomware (von engl. „ransom“ für Lösegeld) ist eine Schadsoftware, die alle Daten auf dem infizierten System verschlüsselt und für die Entschlüsselung ein Lösegeld fordert. Sie gelangt z.B. über fingierte Email-Anhänge, Sicherheitslücken in Browsern und Programmen oder über Downloads ins System. Informationen zum Ablauf von Ransomware-Infektionen finden sich z.B. bei der MELANI (1). 

Besonders Emotet verbreitet sich aktuell wieder massiv (2). Technisch handelt es sich bei der Malware zwar um einen Trojaner. Da Emotet bei Infektion aber weitere Schadprogramme, z.B. Ransomware, auf den infizierten Rechnern nachlädt, wird er häufig auch zur Ransomware gezählt. Die Schadsoftware gelangt über infizierte Mail-Anhänge auf den Rechner, liest dort Kontaktdaten und Nachrichten aus und verbreitet sich so weiter.

In letzter Zeit ist zunehmend zu beobachten, dass Ransomware gezielt gegen Unternehmen eingesetzt wird (3, 4). Die schlechte Nachricht: Es gibt keinen allgemeinen Schutz vor einem Ransomware-Befall. Sie können jedoch das Risiko senken und den potentiellen Schaden minimieren. Neben einer aktuellen Firewall und Antiviren-Software sowie regelmässigen Updates aller Systeme helfen folgende Massnahmen: 

• Informieren und Bewusstsein schaffen
  Verschaffen Sie sich einen Überblick über die aktuelle Bedrohungslage sowie die Wege, auf denen Systeme infiziert werden, und schulen Sie die Anwender entsprechend. Mitarbeiter auf Phishing-Emails bzw. auf die generelle Gefahr von Ransomware in Email-Anhängen hin zu sensibilisieren, ist z.B. ein erster Schritt.
• Systemanmeldungen sicher gestalten
  Generell sollten Anwender genügend komplexe Kennwörter für Ihre Accounts verwenden und diese regelmässig ändern. Dies kann durch entsprechend konfigurierte Passwortrichtlinien auf den Systemen sichergestellt werden. Prozesse rund um die Datensicherung müssen unbedingt mit unterschiedlichen Credentials ablaufen.
  Systeme, die von extern erreichbar sind (Terminal-Server, Citrix Worker Server, …), sollten durch 2-Faktor-Authentifizierung gesichert werden. Das kann z.B. eine Kombination aus Password und Handy-TAN oder einem physischen USB-Key sein. 
• Regelmässige Offline-Datensicherung vornehmen
  Breitet sich die Ransomware im Netzwerk aus, können Backups innerhalb des Netzwerks ebenfalls betroffen sein. Es muss daher eine aktuelle Offline-Datensicherung vorhanden sein (z.B. USB Disk, Tape). Die Integrität dieser Sicherungen muss regelmässig geprüft werden, damit das Backup im Notfall sicher eingespielt werden kann.
• Notfallplan erstellen
  Ein Notfallplan ist kein Schutz, aber eine wichtige Vorbereitungsmassnahme. Er ermöglicht, im Ernstfall schnell koordinierte Massnahmen zu treffen. Für Ransomware deckt der Plan z.B. folgende Fragen ab: Was ist bei einem Totalausfall der IT Infrastruktur zu tun? Wie können die Geschäftsprozesse trotzdem aufrechterhalten werden? Wer ist für welche Prozesse verantwortlich? Wie wird die Situation nach innen und aussen kommuniziert?
  Es empfiehlt sich, die Szenarien im Notfallplan mit den verantwortlichen Personen durchzuspielen. So ist sichergestellt, dass dieser im Ernstfall auch umgesetzt werden kann. Der Plan kann auch weitere Szenarien, wie Cyberangriffe oder Elementarschäden, abdecken.
  

Zusätzlich zu diesen Massnahmen empfehlen wir, Logfiles von Firewall oder Netscaler einige Zeit aufzubewahren (bspw. 30 Tage). Ist trotz aller Massnahmen ein Befall eingetreten, können diese Daten den Ermittlungsbehörden zur Verfügung gestellt werden, und auch weitere Schwachstellen in der Infrastruktur können so erkannt und behoben werden. 

Hat eine Infektion stattgefunden, sind schlimmstenfalls alle IT-Systeme betroffen. Dies führt oftmals dazu, dass der Betrieb komplett still steht und kann schnell existenzbedrohende Ausmasse annehmen. Hier zählt es, schnell Gegenmassnahmen zu ergreifen:

1. Firmennetz vom Internet trennen
   So stellen Sie sicher, dass sich die Ransomware nicht weiter ausbreitet. Ausserdem kann nicht noch mehr Schadsoftware heruntergeladen werden, und es wird verhindert, dass im Hintergrund Daten vom System entwendet werden.
2. Ransomware-Befall melden
   Stellen Sie Anzeige bei der Polizei und melden Sie den Befall an die MELANI sowie eventuell Ihre Versicherung. Zahlen Sie das geforderte Lösegeld nicht: Es ist unklar, ob Sie wirklich einen Key für die Entschlüsselung erhalten. Ausserdem wird das Geschäftsmodell so immer lukrativer, womit die Gefahr für weitere Ransomware-Attacken steigt.
3. IT-Partner informieren
   Ihre IT-Partner können Sie bei der Eingrenzung und beim Wiederaufbau nach der Attacke unterstützen. Je nach Ausmass des Befalls kann es auch hilfreich sein, eine dedizierte IT Security-Firma beizuziehen, die Sie auf der Suche nach dem Auslöser unterstützt und auf effektive Bekämpfung der Ransomware spezialisiert ist.
4. Notfall-Pläne in Kraft setzen
   Setzen Sie die vordefinierten Notfallpläne in Kraft, um den Betrieb bestmöglich aufrecht zu erhalten. Dazu gehört auch die Information von Kunden und Lieferanten.
5. Planung und Umsetzung des Restores
   Vor der Wiederherstellung bzw. dem Wiederaufbau der Systeme müssen diese unbedingt komplett bereinigt worden sein. Ansonsten besteht das Risiko eines erneuten Befalls. Im Anschluss kann mit der Planung des Restores und Neubau der Server und Systeme begonnen werden. 

Ransomware ist keine exotische Bedrohung und kann jedes Unternehmen treffen, trotz aller vorbeugenden Massnahmen. Auch die besten Massnahmen schaffen keine absolute Sicherheit - umso wichtiger ist es, eine verlässliche Backup-Struktur sowie einen Plan für den Ernstfall zu haben.

Sehen Sie Handlungsbedarf bei der IT-Sicherheit in Ihrem Unternehmen? Unsere Experten unterstützen Sie gerne.