Ransomware: Jeder hat Daten, die eine Erpressung wert sind

Die Frage ist nicht, ob man gehackt wird, sondern wann. Jetzt höre ich viele dagegenhalten: Ich bin doch viel zu klein als Unternehmen. Das lohnt sich nicht für Kriminelle. Unsere Security ist doch mehr als ausreichend. Und ich bin sicher überhaupt nicht im Fokus! Aber das stimmt nicht. Jeder läuft Gefahr, gehackt zu werden. Ich habe es als IT-Consultant eines Providers selbst erlebt.

Ich lebe in der Schweiz, wo sich in den letzten Jahren viele Unternehmen sicher gewähnt haben: Ich bin ja gar nicht interessant genug, um gehackt zu werden. Das hat sich geändert, nicht nur in der Schweiz. Aktuell sind in Deutschland Media Markt und Saturn Opfer einer Ransomware-Attacke geworden und haben große Schwierigkeiten, damit zurechtzukommen. Sie sind damit in einem immer größeren und gar nicht mehr so exklusiven Club, deren Mitglieder genau das erlebt haben und die sich teilweise kaum davon erholen können.

Händler, Produzenten, Behörden, und - besonders perfide - Krankenhäuser wie zum Beispiel ein paar Spitäler in der Schweiz sind nach einem Angriff handlungsunfähig. Auch eine Zahlung des Lösegeldes bietet keine absolute Garantie, dass die Daten wieder entschlüsselt werden.

Der Fokus der Ransomware-Gruppen hat sich verbreitert. Es ist eine Industrie geworden, die gewerbsmäßig nach Möglichkeiten sucht, Unternehmen zu erpressen. Sie sucht nach Wegen, in ungepatchte System einzudringen. Sie versucht, die Userdaten wie Logindaten mittels Phishing-Mails abzugreifen oder über mit Makroviren verseuchte E-Mail-Anhänge in Systeme einzudringen. Es ist eine gut geschmierte und gewinnbringende Industrie, in der viele mitmischen.

Der Verlust der Daten ist ein Problem für betroffene Unternehmen, schwerer wiegt aber der Verlust des Kundenvertrauens, das nur schwer wiederherzustellen ist. Oder im Fall der Krankenhäuser der Verlust unwiederbringlicher wichtiger Gesundheitsdaten - gerade in einer Pandemie mehr als gefährlich.

Hier spielen die Kriminellen tatsächlich mit Menschenleben. Die Daten werden verschlüsselt und der Zugriff darauf ist nur gegen Zahlung hoher Lösegeldsummen möglich, mit denen die Zusendung des Keys zur Entschlüsselung versprochen wird. Oder sie greifen auf die inzwischen weit verbreitete Methodik der Double Extortion zurück: Die Daten werden verschlüsselt, kopiert und es wird damit gedroht, sie zu veröffentlichen.

Sicherheit ist oft unbequem

Ich arbeitete vor einiger Zeit für einen Hosting-Provider in der Schweiz, der eigentlich alles richtig gemacht hatte. Er hatte den Kunden auf mögliche Sicherheitslücken hingewiesen, regelmäßig daran erinnert, Patches und Konfigurationsupdates auf die Infrastruktur und ihre Komponenten aufzuspielen, regelmäßige Meetings mit dem Kunden abgehalten, in denen immer wieder auf die Gefahren hingewiesen wurde.

Der Provider betrieb sämtliche mehrere Hundert Systeme des Kunden in der privaten Cloud (also im Rechenzentrum) und kümmerte sich um die Stabilität, Backups und die Sicherheit der Systeme. Der Kunde erlag genau dem Irrtum, dass er zu klein zum Hacken sei. Er unternahm exakt nichts, denn es hätte ja noch mehr Geld gekostet, Systeme zu härten, den administrativen Zugriff einzuschränken und so die Sicherheit der Systeme und der gesamten Umgebung deutlich zu steigern.

Und es wäre unbequemer im Tagesgeschäft geworden, die Systeme zu nutzen, denn Sicherheit vereinfacht die Prozesse nicht unbedingt. Im Gegenteil, sie ist in vielen Fällen und besonders in komplexeren Business-Umgebungen unbequem und schwer umzusetzen - speziell die Administration der Systeme wird erheblich komplexer, zeitaufwendiger und damit natürlich auch teurer.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch die Härtung von Systemen durch Erschwerung der Zugänge wie etwa IAM-Systeme (Identity and Access Management IAM - Systeme, die administrative Zugriffe verwalten und die Vergabe von höheren Rechten nur temporär beschränkt zulassen, zum Beispiel Cyberark), Active Directory Tiering (scharfe Trennung der Zugriffsebenen durch Policies) bedeutet einen erheblichen finanziellen und zeitlichen Aufwand in Planung, Umsetzung und täglichem Betrieb.

So wurden auch von diesem Kunden nur die einfacheren, günstigeren Sicherheitsmaßnahmen umgesetzt. Speziell die Terminalserver-Umgebung war hier Opfer der Einsparungen, eine bekannte Sicherheitslücke in der Konfiguration wurde nicht durch Härtung beseitigt, sondern in Kauf genommen. Der Kunde war der Meinung, dass diese sowieso nicht ausgenutzt werden könnte.

Ein Anruf am Abend

Und so saß ich eines späten Abends gemütlich vor dem Fernseher, als mich mein Kollege anrief und unsanft aus der Feierabendlaune riss. Die Server des Kunden wiesen sehr ungewöhnliche Tätigkeitsspitzen auf: Das Monitoring monierte zunehmend abgeschaltete Services, starke Aktivitäten in Speicher, CPU und virtuellen Laufwerken.

Ich schaltete mich umgehend auf die Server und wollte in die Eventlogs - und es wurde mir heiß und kalt. Denn auf die Eventlogs ließ sich nicht mehr zugreifen. Der Dienst war abgeschaltet, und ein Neustarten des Dienstes endete im sofortigen erneutem Abschalten. War da noch jemand auf dem System?