Ransomware – Lösegeld für Daten

Wie wir in unserer Serie zu Cybersicherheit bereits berichteten, belaufen sich dieses Jahr die Schäden durch Cyberattacken auf einen Rekordwert von 225 Mrd. Euro – allein in Deutschland. Dabei sei vor allem der Mittelstand betroffen, da es dort deutliche Zuwächse bei den Attacken gab. Und diese werden immer ausgefeilter, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) schreibt: „In der jüngsten Zeit haben sich die Expertinnen und Experten im BSI-Lagezentrum und bei CERT-Bund zunehmend mit ausgefeilten Angriffstechniken auseinandersetzen müssen: Neue fortschrittliche Angriffe stellen ein vielfach höheres Bedrohungspotenzial dar, wenn sie beispielsweise in ein Unternehmensnetzwerk eindringen konnten“, heißt es auf der BSI-Website und nennt einen mit Ransomware klaren Trend bei diesen Angriffen: „Das Vorgehen der Täter zählt zu den fortschrittlichen Angriffen, deren Weiterentwicklung das BSI seit Jahren beobachtet. Nachdem Daten verschlüsselt wurden, wird ein Lösegeld erpresst. Die Daten werden erst nach Zahlung des meist digitalen Lösegelds wieder freigegeben. Mit Ransomware wurden bereits die unterschiedlichsten Organisationen Opfer eines Erpressungsversuchs: Großkonzerne, mittelständische Unternehmen bis hin zu Krankenhäusern.“

 

Automatisierte Erpressung mit Daten

Bei einer Attacke mit Ransomware wird in der Regel ein Teil der Daten oder Systeme des Opfers verschlüsselt. Für die Freigabe verlangen die Angreifer dann Lösegeld (englisch: ransom). 19 Prozent der gut 1.000 befragten deutschen Firmen erklärten in einer Studie von Bitkom, in den vergangenen zwölf Monaten von Ransomware angegriffen worden zu sein. Schäden durch Erpressung und Systemausfälle nennt die Studie Wirtschaftsschutz 2021 als treibende Faktoren.

Der Trend lässt sich erklären, wie das BSI die Entwicklung seit Jahren beobachtet. Angriffe, die noch vor kurzem vor allem manuell gestartet wurden, könnten heute breitflächig und halbautomatisiert eingesetzt werden. Ziele, wie Lösegelder werden gezielter. „Während vor einiger Zeit noch einzelne Computer verschlüsselt wurden und Lösegeld pro verschlüsseltem PC verlangt wurde, werden heute betroffene Unternehmensnetzwerke zunächst gezielt ausspionier. Die Verschlüsselung erfolgt oftmals gezielt und kann dabei auch vorhandene Back-ups umfassen,“ so das BSI. Die hohen Schäden ließen sich erklären, da die Täter ihre Lösegeldforderung der Organisation anpassen.

 

Ransomware vs. DDoS: Direkter Kontakt zu Opfern

Aus der Sicht der Kriminellen haben Cyberangriffe mittels Ransomware im Gegensatz zu DDoS-Attacken, die wir in Teil 2 vorgestellt haben, den Vorteil, dass es zu einem direkten Geldtransfer zwischen Opfer und Täter über anonyme Zahlungsmittel wie Bitcoin kommt. Der Angriff kann sich ohne Mittelmänner monetarisieren.

Die meisten Motivationen für die Verbreitung von Ransomware sind laut BKI:

  • Finanzielle Gewinne
  • Politisch oder wirtschaftlich motivierte Sabotage
  • Ablenkung
  • Aufmerksamkeit und Werbung
  • Erreichung von Zielen von Hacktivisten

Aus Sicht der Opfer ist der Schaden und die Bedrohung unmittelbar – von abhanden gekommenen Daten, verlorenen Kontakten bis hin zu ungewollt veröffentlichten internen Daten.

 

Backups helfen, brauchen aber ein dringendes Upgrade

Im Whitepaper „Ransomware- Bedrohung, Prävention und Reaktion“ warnt das BSI, dass nachlässige Prävention sich schnell zeigen kann. Vor allem umfangreiche Backups, die aktuell und lückenlos sind und schnell wieder zurückgespielt werden können, sind eine Maßnahme, die Angreifern die Grundlage für die Erpressung nehmen können. „Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann. Jede Institution sollte über ein Datensicherungskonzept (IT Grundschutz Kompendium: CON.3. Datensicherungskonzept) verfügen und dieses auch umsetzen“, so die Experten.

Ein Datensicherungskonzept und Backups gegen Ransomware abzusichern ist jedoch keine einfache Aufgabe. Nicht jeder hat das nötige Know-how, das auch ständig auf Stand sein muss, welche Angriffe gerade im Umlauf sind, wie auch die Technologie inhouse. Ein externer Partner kann hier eine schnelle wie kostengünstige Lösung sein. Wir bieten bei GlobalConnect Kunden Sicherheitslösungen wie DDoS-Rundumschutz und auch die Absicherung von Backup-Daten gegen Ransomware an.

Wie schon erwähnt ist durch die Angriffe ein stärkerer Fokus auf die Sicherheit von Backup-Daten wichtig. Wenn Sie zum Beispiel schon die Lösung Veeam Backup & Replication nutzen, können wir ein Upgrade auf Veeam Cloud Connect vornehmen. Das bietet sicheren Schutz Ihrer Backup-Daten mit Insider Protection von GlobalConnect. Durch Cloud Connect können Daten aus Ihrer Veeam-Backup-&-Replication-Installation an GlobalConnect gesendet werden, wo sie stets in sicheren Händen sind. Die Lösung basiert auf der Best-Practice-Strategie 3-2-1-Backup, bei der Ihre Daten auf mindestens drei Plattformen verteilt werden. Zwei Kopien speichern Sie lokal in Ihrem Unternehmen und die dritte auf einer sicheren Offsite-Plattform über Veeam Cloud Connect – in einem der sicheren Datenzentren von GlobalConnect. Übrigens sind ihre Daten damit nicht nur gegen Hacker geschützt – auch im Fall von Brand oder Überschwemmung sind die Daten sicher.

 

Es gilt schnell zu handeln

Es gilt jedenfalls zu handeln und nicht mehr abzuwarten. „In den kommenden Monaten wird die Bedrohungslage durch Cyberattacken noch ernster, lautet die in der deutschen Wirtschaft dominierende Meinung: 83 Prozent der Unternehmen befürchten, die Zahl der Angriffe werde bis Ende dieses Jahres zunehmen, 45 Prozent rechnen dabei mit einer starken Zunahme“, kommentiert Heise.de die Entwicklung.