Ukraine-Krieg und Erpressungstrojaner verschärfen die angespannte IT-Sicherheitslage
Während des Krieges in der Ukraine hat sich die Cyber-Bedrohungslage verschärft. Insbesondere leiden Unternehmen und Behörden unter sogenannten Ransomware-Angriffen. Solche Cyber-Erpressungen entwickeln sich laut BSI (Bundesamt für Sicherheit in der Informationstechnik) zur größten IT-Sicherheitsbedrohung. Das bestätigt eine Studie des IT-Security-Unternehmens Sophos: Rund 67 Prozent der befragten Firmen in Deutschland (global 66 Prozent) waren im Jahr 2021 von Ransomware betroffen, im Jahr 2020 waren es nur 46 Prozent. Die Studie „The State of Ransomware 2022″ beziffert das durchschnittlich gezahlte Lösegeld auf 253.160 EUR – doppelt so viel wie im Jahr zuvor.
„Die organisierte Ransomware-Kriminalität verdient mit Attacken Milliarden“, sagt Prof. Norbert Pohlmann, Vorstand IT-Sicherheit im eco – Verband der Internetwirtschaft e. V. „Cyberkriminelle nutzen aktuell die generelle Verunsicherung der Menschen aus, um über Phishing-Attacken in die IT-Systeme einzudringen.“ Viele der professionell organisierten Hackergruppen agieren dabei von China oder Russland aus. „Das gilt grundsätzlich auch für Kritische Infrastrukturen. Durch die aktuelle Krise auf den Energiemärkten kommt den Branchen Strom, Gas und Mineralöl eine außergewöhnliche Relevanz zu, diese müssen besonders von Cyber-Attacken geschützt werden“, so Prof. Pohlmann.
Das BSI bewertet die Sicherheitslage als angespannt bis kritisch, zum Teil gilt die Alarmstufe rot
Die Angriffsvektoren der Attacken ähneln sich. Im Visier der Geiselnehmer sind vor allem Administratoren, deren Passwörter ausgekundschaftet werden. Das gelingt meist über Phishing-Attacken, sprich über eine E-Mail mit einem gefährlichen Anhang oder Link. Über öffentlich zugängliche Informationen auf Webseiten und in sozialen Medien kundschaften die Kriminellen vorab aus, wie man die Mitarbeiter der IT-Abteilung erreichen und am besten täuschen kann.
Erlangen die Angreifer Zugang zu den Unternehmenssystemen, agieren sie zunächst unauffällig und bereiten die Verschlüsselung aller Daten und Systeme vor oder kopieren Daten von Kunden mit dem Ziel, diese als Druckmittel zu nutzen. Am Tattag schlagen sie dann zu, verschlüsseln die Daten und stelle eine Lösegeldforderung.
Viele Hackergruppen agieren aus Russland und China
Das BSI empfiehlt, die geforderten Lösegelder nicht zu zahlen. Doch 42 Prozent (global 46 Prozent) der deutschen Unternehmen, deren Daten verschlüsselt wurden, zahlten das Lösegeld dennoch, um ihre Daten zurückzubekommen, zeigt die Sophos Studie. Ein Versicherer in USA soll bis zu 40 Millionen Dollar gezahlt haben, um die Kontrolle über die eigenen Systeme wiederzuerlangen. „Gehen Sie auf Lösegeldzahlungen nicht ein, sagt BSI Präsident Arne Schönbohm im eco Podcast Das Ohr am Netz. „Wer einmal gezahlt hat, zahlt wiederholt und feuert Nachahmungstäter an.“
Das IT-Sicherheitsgesetz schreibt Unternehmen, die kritische Infrastrukturen betreiben, vor Cybervorfälle zu melden. BSI Präsident Arne Schönbohm appelliert auch an alle anderen Unternehmen, das BSI bei Cybersicherheits-Vorfällen umgehend zu kontaktieren: „Wer Opfer einer Ransomware-Attacke wird, braucht schnell Hilfe – dabei können wir unterstützen. Das Opfer einer Straftat zu werden ist nicht ehrenrührig.“ Das BSI behandelt solche Meldungen vertraulich.
Am besten ist es jedoch, alles zu tun, um das Risiko einer erfolgreichen Ransomware-Attacke von vorneherein zu minimieren. Die Unternehmen Sophos, Microsoft und Rhode & Schwarz haben sich mit dem Ziel, dafür praktische Hilfestellung zu leisten, zur Initiative Ransomware unter dem Dach des eco – Verbands der Internetwirtschaft e. V. zusammengeschlossen. Die Initiative empfiehlt dringen diese technischen und organisatorischen Vorkehrungen:
- Schaffen Sie ein Bewusstsein für Cybersicherheit bei Ihren Angestellten. Phishing, sei es per Mail oder per Telefon, ist eines der erfolgreichsten Werkzeuge der Cyberkriminellen.
- Verwenden Sie starke Passwörter und wo es möglich ist, eine starke Multi-Faktor-Authentifizierung.
- Lassen Sie externe Verbindungen auf interne Systeme nur von festgelegten IP-Adressen oder über VPN zu.
- Gehen Sie sparsam mit der Vergabe von Benutzerrechten vor. Insbesondere Administrator-Rechte sollten ausschließlich dem fachkundigen IT-Personal vorbehalten sein.
- Lassen Sie die Installation von Apps nur von vertrauenswürdigen Quellen aus zu.
- Ungewöhnliche Netzwerkaktivitäten sind ein eindeutiges Alarmsignal, reagieren Sie auf Warnungen Ihrer Monitoring-Software.
- Deaktivieren Sie Scripting-Umgebungen und Makros aus externen Quellen. Die Mehrzahl der Schadprogramme wird über Office Dateien eingeschleppt.
- Installieren Sie zeitnah Updates für die verwendete Software und Betriebssysteme.
- Prüfen Sie ihre Business Continuity Management (BCM) und IT-Notfallpläne und bereiten Sie sich darauf vor, bei einem großflächigen Cyber-Angriff zeitweise ohne externe Dienstleister auskommen zu müssen.
- Überprüfen und testen Sie Ihre Backup Strategie. Von allen geschäftskritischen Systemen sollten Backups existieren und auch das Wiedereinspielen derselbigen getestet sein.