Ransomware: Jeder hat Daten, die eine Erpressung wert sind

Unbenutzbare Systeme, verlorene Daten und Schaden in Millionenhöhe: Wie ich einen Emotet-Angriff erlebt habe.

Ein Erfahrungsbericht von Lutz Olav Däumling veröffentlicht am
Jedem droht eine Ransomware-Attacke
Jedem droht eine Ransomware-Attacke (Bild: Pixabay / Montage: Golem.de)

Die Frage ist nicht, ob man gehackt wird, sondern wann. Jetzt höre ich viele dagegenhalten: Ich bin doch viel zu klein als Unternehmen. Das lohnt sich nicht für Kriminelle. Unsere Security ist doch mehr als ausreichend. Und ich bin sicher überhaupt nicht im Fokus! Aber das stimmt nicht. Jeder läuft Gefahr, gehackt zu werden. Ich habe es als IT-Consultant eines Providers selbst erlebt.

Inhalt:
  1. Ransomware: Jeder hat Daten, die eine Erpressung wert sind
  2. Ein Angriff - und die gesamte IT ist unbrauchbar
  3. Emotet: Nur eine Mail geöffnet

Ich lebe in der Schweiz, wo sich in den letzten Jahren viele Unternehmen sicher gewähnt haben: Ich bin ja gar nicht interessant genug, um gehackt zu werden. Das hat sich geändert, nicht nur in der Schweiz. Aktuell sind in Deutschland Media Markt und Saturn Opfer einer Ransomware-Attacke geworden und haben große Schwierigkeiten, damit zurechtzukommen. Sie sind damit in einem immer größeren und gar nicht mehr so exklusiven Club, deren Mitglieder genau das erlebt haben und die sich teilweise kaum davon erholen können.

Händler, Produzenten, Behörden, und - besonders perfide - Krankenhäuser wie zum Beispiel ein paar Spitäler in der Schweiz sind nach einem Angriff handlungsunfähig. Auch eine Zahlung des Lösegeldes bietet keine absolute Garantie, dass die Daten wieder entschlüsselt werden.

Der Fokus der Ransomware-Gruppen hat sich verbreitert. Es ist eine Industrie geworden, die gewerbsmäßig nach Möglichkeiten sucht, Unternehmen zu erpressen. Sie sucht nach Wegen, in ungepatchte System einzudringen. Sie versucht, die Userdaten wie Logindaten mittels Phishing-Mails abzugreifen oder über mit Makroviren verseuchte E-Mail-Anhänge in Systeme einzudringen. Es ist eine gut geschmierte und gewinnbringende Industrie, in der viele mitmischen.

Stellenmarkt
  1. IT-Strategiemanager*in (m/w/d)
    Stadtwerke München GmbH, München
  2. System Administrator Infrastructure (m/f/d)
    CETITEC GmbH, Pforzheim
Detailsuche

Der Verlust der Daten ist ein Problem für betroffene Unternehmen, schwerer wiegt aber der Verlust des Kundenvertrauens, das nur schwer wiederherzustellen ist. Oder im Fall der Krankenhäuser der Verlust unwiederbringlicher wichtiger Gesundheitsdaten - gerade in einer Pandemie mehr als gefährlich.

Hier spielen die Kriminellen tatsächlich mit Menschenleben. Die Daten werden verschlüsselt und der Zugriff darauf ist nur gegen Zahlung hoher Lösegeldsummen möglich, mit denen die Zusendung des Keys zur Entschlüsselung versprochen wird. Oder sie greifen auf die inzwischen weit verbreitete Methodik der Double Extortion zurück: Die Daten werden verschlüsselt, kopiert und es wird damit gedroht, sie zu veröffentlichen.

Sicherheit ist oft unbequem

Ich arbeitete vor einiger Zeit für einen Hosting-Provider in der Schweiz, der eigentlich alles richtig gemacht hatte. Er hatte den Kunden auf mögliche Sicherheitslücken hingewiesen, regelmäßig daran erinnert, Patches und Konfigurationsupdates auf die Infrastruktur und ihre Komponenten aufzuspielen, regelmäßige Meetings mit dem Kunden abgehalten, in denen immer wieder auf die Gefahren hingewiesen wurde.

Der Provider betrieb sämtliche mehrere Hundert Systeme des Kunden in der privaten Cloud (also im Rechenzentrum) und kümmerte sich um die Stabilität, Backups und die Sicherheit der Systeme. Der Kunde erlag genau dem Irrtum, dass er zu klein zum Hacken sei. Er unternahm exakt nichts, denn es hätte ja noch mehr Geld gekostet, Systeme zu härten, den administrativen Zugriff einzuschränken und so die Sicherheit der Systeme und der gesamten Umgebung deutlich zu steigern.

Und es wäre unbequemer im Tagesgeschäft geworden, die Systeme zu nutzen, denn Sicherheit vereinfacht die Prozesse nicht unbedingt. Im Gegenteil, sie ist in vielen Fällen und besonders in komplexeren Business-Umgebungen unbequem und schwer umzusetzen - speziell die Administration der Systeme wird erheblich komplexer, zeitaufwendiger und damit natürlich auch teurer.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch die Härtung von Systemen durch Erschwerung der Zugänge wie etwa IAM-Systeme (Identity and Access Management IAM - Systeme, die administrative Zugriffe verwalten und die Vergabe von höheren Rechten nur temporär beschränkt zulassen, zum Beispiel Cyberark), Active Directory Tiering (scharfe Trennung der Zugriffsebenen durch Policies) bedeutet einen erheblichen finanziellen und zeitlichen Aufwand in Planung, Umsetzung und täglichem Betrieb.

So wurden auch von diesem Kunden nur die einfacheren, günstigeren Sicherheitsmaßnahmen umgesetzt. Speziell die Terminalserver-Umgebung war hier Opfer der Einsparungen, eine bekannte Sicherheitslücke in der Konfiguration wurde nicht durch Härtung beseitigt, sondern in Kauf genommen. Der Kunde war der Meinung, dass diese sowieso nicht ausgenutzt werden könnte.

Ein Anruf am Abend

Und so saß ich eines späten Abends gemütlich vor dem Fernseher, als mich mein Kollege anrief und unsanft aus der Feierabendlaune riss. Die Server des Kunden wiesen sehr ungewöhnliche Tätigkeitsspitzen auf: Das Monitoring monierte zunehmend abgeschaltete Services, starke Aktivitäten in Speicher, CPU und virtuellen Laufwerken.

Ich schaltete mich umgehend auf die Server und wollte in die Eventlogs - und es wurde mir heiß und kalt. Denn auf die Eventlogs ließ sich nicht mehr zugreifen. Der Dienst war abgeschaltet, und ein Neustarten des Dienstes endete im sofortigen erneutem Abschalten. War da noch jemand auf dem System?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ein Angriff - und die gesamte IT ist unbrauchbar 
  1. 1
  2. 2
  3. 3
  4.  


Engel 21. Jan 2022

Nein, du übersiehst nichts. Eigentlich hatte ich genau das mit meinem ersten Satz von...

Mnt 20. Jan 2022

Ja seltsamer Tipp. Ich stehe definitiv dahinter, wenn Mail- und andere Endusersysteme in...

win.ini 20. Jan 2022

Es wurde doch geschildert, das kein Geld für die zusätzliche Härtung bereitgestellt...

phade 20. Jan 2022

Exakt. Das falsche Konzept stammt jedoch von einem Entscheider. - falsche...



Aktuell auf der Startseite von Golem.de
Entwickler im Ukrainekrieg
"Es ist schwierig, aber das Team unterstützt mich"

Bereits im März sprach Golem.de mit zwei IT-Fachkräften aus Kyjiw. So geht es ihnen jetzt, mehr als zwei Monate nach Beginn des Ukrainekriegs.
Ein Bericht von Daniel Ziegener

Entwickler im Ukrainekrieg: Es ist schwierig, aber das Team unterstützt mich
Artikel
  1. Raumfahrt: Starliner fliegt nach mehr als zwei Jahren zum zweiten Mal
    Raumfahrt
    Starliner fliegt nach mehr als zwei Jahren zum zweiten Mal

    Nach einem fehlgeschlagenen Testflug, klemmenden Treibstoffventilen und vielen Verzögerungen ist Boeings Starliner erfolgreich abgehoben.
    Von Frank Wunderlich-Pfeiffer

  2. Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
    Kitty Lixo
    Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

    Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

  3. Fehler in Huaweis App Gallery: Bezahl-Apps für Android gibt es kostenlos
    Fehler in Huaweis App Gallery
    Bezahl-Apps für Android gibt es kostenlos

    Eine Schwachstelle in Huaweis App Gallery wird es noch etwa eine Woche lang ermöglichen, kostenpflichtige Android-Apps gratis zu beziehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • Inno3D RTX 3070 günstig wie nie: 614€ • Kingston SSD 2TB günstig wie nie: 129,90€ • MindStar (u. a. Palit RTX 3050 339€) • Samsung Soundbar + Subwoofer 3.1.2 wireless günstig wie nie: 228,52€ • PNY RTX 3080 12GB günstig wie nie: 974€ • Dualsense + 1TB-SSD 176,58€ [Werbung]
    •  /