Ransomware: Jeder hat Daten, die eine Erpressung wert sind

Unbenutzbare Systeme, verlorene Daten und Schaden in Millionenhöhe: Wie ich einen Emotet-Angriff erlebt habe.

Ein Erfahrungsbericht von Lutz Olav Däumling veröffentlicht am
Jedem droht eine Ransomware-Attacke
Jedem droht eine Ransomware-Attacke (Bild: Pixabay / Montage: Golem.de)

Die Frage ist nicht, ob man gehackt wird, sondern wann. Jetzt höre ich viele dagegenhalten: Ich bin doch viel zu klein als Unternehmen. Das lohnt sich nicht für Kriminelle. Unsere Security ist doch mehr als ausreichend. Und ich bin sicher überhaupt nicht im Fokus! Aber das stimmt nicht. Jeder läuft Gefahr, gehackt zu werden. Ich habe es als IT-Consultant eines Providers selbst erlebt.

Inhalt:
  1. Ransomware: Jeder hat Daten, die eine Erpressung wert sind
  2. Ein Angriff - und die gesamte IT ist unbrauchbar
  3. Emotet: Nur eine Mail geöffnet

Ich lebe in der Schweiz, wo sich in den letzten Jahren viele Unternehmen sicher gewähnt haben: Ich bin ja gar nicht interessant genug, um gehackt zu werden. Das hat sich geändert, nicht nur in der Schweiz. Aktuell sind in Deutschland Media Markt und Saturn Opfer einer Ransomware-Attacke geworden und haben große Schwierigkeiten, damit zurechtzukommen. Sie sind damit in einem immer größeren und gar nicht mehr so exklusiven Club, deren Mitglieder genau das erlebt haben und die sich teilweise kaum davon erholen können.

Händler, Produzenten, Behörden, und - besonders perfide - Krankenhäuser wie zum Beispiel ein paar Spitäler in der Schweiz sind nach einem Angriff handlungsunfähig. Auch eine Zahlung des Lösegeldes bietet keine absolute Garantie, dass die Daten wieder entschlüsselt werden.

Der Fokus der Ransomware-Gruppen hat sich verbreitert. Es ist eine Industrie geworden, die gewerbsmäßig nach Möglichkeiten sucht, Unternehmen zu erpressen. Sie sucht nach Wegen, in ungepatchte System einzudringen. Sie versucht, die Userdaten wie Logindaten mittels Phishing-Mails abzugreifen oder über mit Makroviren verseuchte E-Mail-Anhänge in Systeme einzudringen. Es ist eine gut geschmierte und gewinnbringende Industrie, in der viele mitmischen.

Stellenmarkt
  1. Anwendungs- und Systembetreuer (m/w/d) mit Schwerpunkt RIS / PACS
    Niels-Stensen-Kliniken GmbH, Georgsmarienhütte
  2. Microsoft Office 365 & Power Platform Developer (m/w)
    Marc Cain GmbH, Bodelshausen
Detailsuche

Der Verlust der Daten ist ein Problem für betroffene Unternehmen, schwerer wiegt aber der Verlust des Kundenvertrauens, das nur schwer wiederherzustellen ist. Oder im Fall der Krankenhäuser der Verlust unwiederbringlicher wichtiger Gesundheitsdaten - gerade in einer Pandemie mehr als gefährlich.

Hier spielen die Kriminellen tatsächlich mit Menschenleben. Die Daten werden verschlüsselt und der Zugriff darauf ist nur gegen Zahlung hoher Lösegeldsummen möglich, mit denen die Zusendung des Keys zur Entschlüsselung versprochen wird. Oder sie greifen auf die inzwischen weit verbreitete Methodik der Double Extortion zurück: Die Daten werden verschlüsselt, kopiert und es wird damit gedroht, sie zu veröffentlichen.

Sicherheit ist oft unbequem

Ich arbeitete vor einiger Zeit für einen Hosting-Provider in der Schweiz, der eigentlich alles richtig gemacht hatte. Er hatte den Kunden auf mögliche Sicherheitslücken hingewiesen, regelmäßig daran erinnert, Patches und Konfigurationsupdates auf die Infrastruktur und ihre Komponenten aufzuspielen, regelmäßige Meetings mit dem Kunden abgehalten, in denen immer wieder auf die Gefahren hingewiesen wurde.

Der Provider betrieb sämtliche mehrere Hundert Systeme des Kunden in der privaten Cloud (also im Rechenzentrum) und kümmerte sich um die Stabilität, Backups und die Sicherheit der Systeme. Der Kunde erlag genau dem Irrtum, dass er zu klein zum Hacken sei. Er unternahm exakt nichts, denn es hätte ja noch mehr Geld gekostet, Systeme zu härten, den administrativen Zugriff einzuschränken und so die Sicherheit der Systeme und der gesamten Umgebung deutlich zu steigern.

Und es wäre unbequemer im Tagesgeschäft geworden, die Systeme zu nutzen, denn Sicherheit vereinfacht die Prozesse nicht unbedingt. Im Gegenteil, sie ist in vielen Fällen und besonders in komplexeren Business-Umgebungen unbequem und schwer umzusetzen - speziell die Administration der Systeme wird erheblich komplexer, zeitaufwendiger und damit natürlich auch teurer.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auch die Härtung von Systemen durch Erschwerung der Zugänge wie etwa IAM-Systeme (Identity and Access Management IAM - Systeme, die administrative Zugriffe verwalten und die Vergabe von höheren Rechten nur temporär beschränkt zulassen, zum Beispiel Cyberark), Active Directory Tiering (scharfe Trennung der Zugriffsebenen durch Policies) bedeutet einen erheblichen finanziellen und zeitlichen Aufwand in Planung, Umsetzung und täglichem Betrieb.

So wurden auch von diesem Kunden nur die einfacheren, günstigeren Sicherheitsmaßnahmen umgesetzt. Speziell die Terminalserver-Umgebung war hier Opfer der Einsparungen, eine bekannte Sicherheitslücke in der Konfiguration wurde nicht durch Härtung beseitigt, sondern in Kauf genommen. Der Kunde war der Meinung, dass diese sowieso nicht ausgenutzt werden könnte.

Ein Anruf am Abend

Und so saß ich eines späten Abends gemütlich vor dem Fernseher, als mich mein Kollege anrief und unsanft aus der Feierabendlaune riss. Die Server des Kunden wiesen sehr ungewöhnliche Tätigkeitsspitzen auf: Das Monitoring monierte zunehmend abgeschaltete Services, starke Aktivitäten in Speicher, CPU und virtuellen Laufwerken.

Ich schaltete mich umgehend auf die Server und wollte in die Eventlogs - und es wurde mir heiß und kalt. Denn auf die Eventlogs ließ sich nicht mehr zugreifen. Der Dienst war abgeschaltet, und ein Neustarten des Dienstes endete im sofortigen erneutem Abschalten. War da noch jemand auf dem System?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ein Angriff - und die gesamte IT ist unbrauchbar 
  1. 1
  2. 2
  3. 3
  4.  


Engel 21. Jan 2022

Nein, du übersiehst nichts. Eigentlich hatte ich genau das mit meinem ersten Satz von...

Mnt 20. Jan 2022

Ja seltsamer Tipp. Ich stehe definitiv dahinter, wenn Mail- und andere Endusersysteme in...

win.ini 20. Jan 2022

Es wurde doch geschildert, das kein Geld für die zusätzliche Härtung bereitgestellt...

phade 20. Jan 2022

Exakt. Das falsche Konzept stammt jedoch von einem Entscheider. - falsche...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  2. The Valiant: Ritterliche Strategie mit Theoderich von Akenburg
    The Valiant
    Ritterliche Strategie mit Theoderich von Akenburg

    Actionlastige PC-Echtzeit-Strategie im mittelalterlichen Szenario will The Valiant bieten - und eine Handlung rund um ein mythisches Relikt.

  3. Milliarden-Übernahme: Musk spricht von günstigerem Übernahmeangebot für Twitter
    Milliarden-Übernahme  
    Musk spricht von günstigerem Übernahmeangebot für Twitter

    Mit Blick auf die Zählung von Spam-Konten bei Twitter hat Elon Musk gefragt, ob die mehr als 200 Millionen Twitter-Nutzer angerufen worden seien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /