Worldwide China Indien

Cyber-Sicherheit

Bundesbehörde warnt Unternehmen vor gezielten Ransomware-Angriffen

| Redakteur: Alexander Stark

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor gezielten Ransomware-Angriffen auf Unternehmen.
Bildergalerie: 1 Bild
Das Bundesamt für Sicherheit in der Informationstechnik warnt vor gezielten Ransomware-Angriffen auf Unternehmen. (Bild: gemeinfrei / Pixabay)

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden.

Bonn – BSI-Präsident Arne Schönbohm berichtet, dass seine Behörde derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität registriert. Diese Angriffe seien bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten gewesen. Er rät deshalb, dass Unternehmen auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen sollten, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann.

Die Angreifer verschaffen sich mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Back-ups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus. Dies führt teilweise zu erheblichen Störungen der Betriebsabläufe. Durch dieses aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat über Cert-Bund und die Allianz für Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.

Seminar: Risikoermittlung in der Anlagensicherheit In unserem Semiar „Risikoermittlung in der Anlagensicherheit“ lernen Sie mit welchen Methoden die Risiko- und Gefährdungsermittlung bei Prozess- und Chemieanlagen erfolgen kann und welche Tools dazu geeignet sind. Anhand eines konkreten Beispiels der Risikoanalyse einer Betriebsvorlage (Behälter) wird mit den vorgestellten Tools unter Anwendung der Mehtose PAAG-/LOPA eine Risikoanalyse durchgeführt.

Bedrohungslage

Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (z.B. "Trickbot") nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware Gand Crab beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, Rescue Assist, Log MeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.

Gehen Chefs zu sorglos mit der IT-Sicherheit um?

IT-Sicherheit

Gehen Chefs zu sorglos mit der IT-Sicherheit um?

18.04.19 - Cyberattacken auf Energieversorger, Wasserwerke oder Telekommunikationsnetze gehören zu den Schreckensszenarien dieser Tage. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) verzeichnet 2018 deutlich mehr IT-Sicherheitsvorfälle als 2017. Warum sinkt das Risikobewusstsein von Führungskräften dennoch? lesen

Bewertung der Behörde

Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten.

Hierbei sind insbesondere die folgenden drei Aspekte zu berücksichtigen:

Jede einfache Infektion kann zu einem gezielten Angriff führen

Da die Angreifer sich zunächst über groß-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede Primär-Infektion (z.B. mit Emotet) später weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern.

Es droht ein kompletter Datenverlust

Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuten diese manuell ausgeführten Angriffe einen deutlich höheren Arbeitsaufwand für die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese nicht mehr zur Wiederherstellung der Systeme zur Verfügung stehen, können die Angreifer wesentlich höhere Lösegeldbeträge fordern. Unternehmen, die über keine Offline-Backups verfügen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere Fälle bekannt, bei denen die Verschlüsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben.

Gefahr für deutsche Unternehmen steigt

Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet. Aufgrund der aktuellen Zunahme solcher Vorfälle weist das BSI auf die bestehende besondere Bedrohung hin.

Fachbuch „Industrie 4.0“Das Fachbuch „Industrie 4.0: Potenziale erkennen und umsetzen" bietet Professionals einen umfassenden und praxisorientierten Einblick in die Digitalisierung von Fertigung und Produktion. Das Buch „Industrie 4.0“ kann hier versandkostenfrei oder als eBook bestellt werden.

Maßnahmen zum Schutz vor Ransom-Angriffen

  • Schutz vor Primär-Infektionen: (siehe bestehende Empfehlungen zu Emotet)
  • Überprüfung von Verbindungen von Dienstleistern zu Kunden: Unternehmen, die eine Malware-Infektion erlitten haben, sollten Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten Absenderadressen Ihrer Organisation hinweisen. Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst z.B. über existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.
  • Schutz vor Ransomware: Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen. Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.

Ausführlichere Informationen zum grundsätzlichen Schutz vor Ransomware-Angriffen können den weiteren Publikationen des BSI entnommen werden:

Schutz vor Ransomware v2.0

Ransomware - Bedrohungslage, Prävention & Reaktion

Lagedossier Ransomware

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45888476 / Management)