Ransomware

Ransomware ist das unangenehmste Szenario der Cyberkriminalität. Einmal durch unaufmerksame Benutzeraktivität ausgelöst kann diese Schadware binnen weniger Minuten die Speichermedien ganzer Computernetze oder zumindest wesentlicher Teile davon verschlüsseln. Die Täter haben in der Regel ihre Opfer vor dem Angriff gründlich ausgespäht, um sich ein Bild über eine realistische Lösegeldforderung zu verschaffen. Das Geld für den Schlüssel zur Wiederherstellung der Daten soll dann in einer Kryptowährung bezahlt werden. Dank der Blockchain-Technologie ist es schwierig, die Identität der Kriminellen zu ermitteln. Es ist nicht sicher, ob nach Bezahlung der Schlüssel für die Entschlüsselung herausgerückt wird. Betroffenen Unternehmenwird geraten, nicht zu zahlen.

Ein Ransomware-Angriff erfolgt normalerweise über einen E-Mail-Anhang (eine ausführbare Datei, ein Archiv oder ein Bild). Sobald der Benutzer die Anlage öffnet,, wird die Malware in das System des Benutzers eingeschleust.Sie kann aber auch auf einer Webseite platziert werden.

Für den Benutzer ist die Infektion nicht sofort ersichtlich. Die Malware arbeitet zunächst still im Hintergrund. Dann erscheint eine Dialogbox, die dem Benutzer mitteilt, dass ein Lösegeld eerforderlich ist, um die Daten wieder freizugeben.

Abwehrmaßnahmen

In einschlägigen Ratgebern findet man überwiegend technische Ratschläge. Aber ganz wichtig ist das Verhalten der Benutzerinnen und Benutzer.

Benutzerverhalten
 

Die Benutzerinnen und Benutzer sollten die Gefahren kennen und mit Verhaltensregeln vertraut sein, was man tun kann und was tunlicht unterlassen werden sollte. Sie sollten nicht nur diese Verhaltensregeln kennen, sondern auch spezielle Trainings dazu erhalten.

Technische Unterstützung des Benutzerverhaltens
 

An erster Stelle sind hier Firewalls und Virenscanner zu nennen. Blacklists können als nicht vertrauenswürdig erkannte Quellen ausschließen, entsprechende Services sind von mehreren Anbietern erhältlich. Filter können fragwürdige Internet-Seiten sperren. Besondere Trainingsprogramme können die Aufmerksamkeit der Beenutzerinnen und Benutzer in unregelmäßigen Abständen testen und bei leichtsinnigem Verhalten mit Hinweisen dienen.

Strukturelle Sicherheit
 

In erster Linie ist das Unternehmen für die Sicherheit seines Netzwerkes verantwortlich. Ein flaches Netz, in dem jemand, der einmal drin ist, überall hinkommt, ist ein El Dorade für jeden Eindringling. Das Computernetz kann in verschiedene Zonen aufgegliedert werden, wobei zwischen den Übergängen besondere Kontrollen des Datenverkehrs erfolgen. Dies leisten Intrusion Detection oder Intrusion Prevention-Systeme. Erstere senden an einen besonderenLeitstand Alarmmeldungen, letztere können bestimmte Schutzmaßnahmen automatisch vornehmen, z.B. einen verdächtigen Rechner sofort vom Netz nehmen.Diese Router können so eingerichtet werden, dass sie z.B. nur ausgewählte Verbindungen über dafür vorgesehne Ports zulassen.

Einen hundertprozentigen Schutz wurd es kaum geben, jedenfalls nicht, so lange die gängigen Betriebssysteme in ihrer Überkomplexität genügend Fehler aufweisen (die vermutlich auch den Herstellern nicht bekannt sind). Skandalös ist in diesem Zusammenhang der blühende Handel mit den Zero-Day-Fehlern, entdeckten Fehlern, für deren Behebung man sich künstlich Zeit lässt, damit die Kundschaft (u.a. staatliche Stellen wie Nachrichtendienste) ihre speziellen Ziele verfolgen können.

Jedes Unternehmen ist deshalb gut beraten, wie in Fällen solcher Angriffe die Wiederherstellung der Daten gemanagt werden kann.

Wiederherstellung

Die Unternehmen verfügen über unterschiedliche Backup-Strategien.

Backup-Verfahren
 

Traditionelle Backup-Verfahren speichern nur die Daten auf besonderen Speichermedien, die außerhalb des Backup-Prozesses nicht mit dem Unternehmensnetz verbunden sind.

Verbesserte Verfahren verfügen über die Fähigkeit, Daten mit unveränderlichen, unzerstörbaren und sequestrierten Snapshots zu schützen. Snapshots sind in kurzen Zeitabständen erfolgende Momenmtaufnahmen

 

Recovery
 

Neuere Verfahren bieten die Möglichkeit, große Datenvolumina schnell wiederherzustellen, mit Wiederherstellungsraten, die zehnmal schneller sind als bei herkömmlichen Verfahren, die zwar die Wiederherstellung der Daten bewerkstelligen, jedoch nicht an ihrem ursprünglichen Ort. Dies ist ein umso größeres Problem je umfangreicher das Computernetz des betroffenen Unternehmens ist. Neuere Verfahren leistengenau dieses, nämlich Daten schnell auch an ihrem ursprünglichen Ort wieder verfügbar zu machen.

Technische Details finden Sie hier unter Backup-Verfahren.

Karl Schmitz März 2022