Ransomware gehört im Bereich der Cyberkriminalität aktuell zu den größten Bedrohungen für Unternehmen. Cyberkriminelle erbeuten jährlich viele Millionen Euro. Wer die Vorgehensweise der Angreifer versteht, kann jedoch gezielte Gegenmaßnahmen ergreifen – und damit die Wahrscheinlichkeit eines erfolgreichen Angriffs verringern.

Das dunkle Geschäft mit Ransomware hat eine neue Dimension erreicht. Cyberkriminelle legen nicht nur die IT-Infrastruktur lahm, indem sie mit einer speziellen Software möglichst viele Daten verschlüsseln und ein Lösegeld (englisch „Ransom“) zur Wiederherstellung verlangen. Sie entwenden auch gezielt sensible Daten wie die Passwörter und Finanzdaten von Kunden, Konstruktionspläne oder Rezepturen. Den betroffenen Unternehmen drohen durch die unfreiwillige Veröffentlichung der gestohlenen Daten große Imageschäden und der Verlust geistigen Eigentums.

Diese neue Form der Ransomware ist außerordentlich erfolgreich. Die Gruppe hinter der Schadsoftware NetWalker soll innerhalb von vier Monaten 20,6 Mill. Euro erbeutet haben. Mittlerweile gibt es eine zunehmend ausdifferenzierte kriminelle Wertschöpfungskette. Sie besteht aus Ak­teuren, die jeweils auf bestimmte Cybercrime-Aspekte spezialisiert sind – sei es die Bereitstellung der Verschlüsselungssoftware als „Ransomware-as-a-Service“ oder die Kommunikation mit betroffenen Unternehmen zwecks Lösegeldforderung nach einem erfolgreichen Angriff. Die Angriffe laufen dabei immer nach einem ähnlichen Schema ab, das sich in vier Phasen untergliedert.

Wie systematisch die Angreifer vorgehen, zeigt bereits die Vorbereitungsphase. Sie identifizieren lukrative Ziele, indem sie nach Unternehmen mit sensiblen Daten und offenkundigen Rückständen in der IT-Security recherchieren. Dafür sichten sie zum Beispiel Finanzberichte, die häufig auch Informationen über IT-Investitionen enthalten, und durchsuchen Stellenanzeigen für Administratoren nach der Nennung veralteter Systeme.

Um sich in dieser Phase zu schützen, sollten Unternehmen darauf achten, keine sensiblen Informationen in öffentlich verfügbaren Berichten preiszugeben. Auch in Stellenanzeigen sollten sie keine Systeme und Versionen nennen, die im Unternehmen zum Einsatz kommen.In der zweiten Phase versuchen die Angreifer, in das Netzwerk des Zielunternehmens einzudringen. Hierbei setzen sie primär auf fingierte E-Mails – sogenannte Phishing Mails –, über die sie Zugänge in das Firmennetzwerk erbeuten. Alternativ testen sie, ob offen über das Internet erreichbare Geräte eine Anmeldung mit Standardzugangsdaten zulassen. Diese Phase läuft weitestgehend automatisiert ab und verursacht auf Seiten der Angreifer wenig Aufwand.

Als Gegenmaßnahme sind alle über das Internet erreichbaren Geräte regelmäßig zu prüfen. Sehr wichtig ist außerdem die Einbindung der Belegschaft als erste Verteidigungs­linie. Die Mitarbeitenden sollten befähigt und unterstützt werden, Betrugsversuche zu erkennen und verdächtige E-Mails zu melden.

In der dritten Phase eines Ransomware-Angriffs weiten die Hacker ihren Zugriff auf das Firmennetz-werk sukzessive aus, um Daten für die Erpressung zu bekommen. Sie übernehmen dafür weitere Accounts und greifen auf weitere Rechner zu. Dabei nutzen sie neu bekannt gewordene Schwachstellen aus.

Das effektivste Mittel in dieser Phase ist das zeitnahe Einspielen von Patches und Sicherheitsupdates. Wichtig ist außerdem ein ausgereiftes Rollen- und Berechtigungsmanagement. Die jeweiligen Nutzergruppen sollten nur Berechtigungen erhalten, die sie auch wirklich brauchen. Das er­schwert es den Angreifern, mit gekaperten Accounts ihren Einfluss im Firmennetzwerk auszuweiten.

In Phase vier sammeln und kopieren die Hacker alle relevanten Daten. Diese Exfiltration von Dokumenten, Datenbankauszügen sowie Zugangs- und Kontaktdaten dauert meist mehrere Tage. Nachdem die Daten exfil­triert sind, verschlüsseln die Angreifer die Daten und melden sich bei den Betroffenen mit der Lösegeldfor­derung.

Auch wenn der Angriff in dieser Phase nicht mehr abzuwenden ist, gibt es eine Reihe sinnvoller Maß-nahmen, um den Schaden zu begrenzen. Mit Monitoring-Lösungen, die kritische Assets im Netzwerk überwachen, lassen sich beispielsweise laufende Angriffe identifizieren und eindämmen.

Die zahlreichen Maßnahmen in jeder der vier Phasen zeigen, dass der Kampf gegen Ransomware nicht aussichtslos ist. Die Angreifer stellen bei der Priorisierung von Zielen stets den möglichen Gewinn dem erwarteten Aufwand gegenüber. Sie gehen in der Regel den Weg des geringsten Widerstands. Je höher der erwartete Aufwand, desto größer ist die Chance, in der Priorisierung der Cyber­kriminellen zurückzufallen. Es gibt zwar keine hundertprozentige Sicherheit. Eine vielschichtige Verteidigung senkt aber deutlich das Risiko, Opfer einer Erpressung zu werden.