Immer häufiger werden Unternehmen und Institutionen Opfer von Cyber-Erpressern. Der Grund: wertvolle Daten mit minimaler bis keiner Sicherung bieten den Kriminellen ein lohnendes Geschäft.
Ransomware erlebt seit vielen Monaten eine gefährliche Wiedergeburt. Die Cyber-Erpresser sind seit Ende 2014 auf Wachstumskurs und haben dieses Jahr ihre Ziele deutlich ausgeweitet. Es vergeht kaum eine Woche, in der nicht Meldungen über betroffene Krankenhäuser, Behörden und Unternehmen veröffentlicht werden. Jedesmal wurden Daten verschlüsselt und Lösegeld gefordert. Auch in Deutschland wird die Situation immer akuter. Sehr bekannt ist beispielsweise der Fall des Lukaskrankenhauses in Neuss, welches weitgehend lahmgelegt wurde. Aber auch Behörden wurden schon Opfer: Die Stadtverwaltung im unterfränkischen Dettelbach zahlte nach einer Infektion mit dem Trojaner Tesla Crypt sogar das verlangte Lösegeld.
Dabei ist der Fokus auf den Gesundheitsbereich bzw. Behörden und Verwaltungen fast naheliegend: Hier lagern große Mengen wertvoller Daten und diese sind oftmals nur minimal gesichert. Dies zeigt ein logisches und lukratives Geschäftsmodell auf: Cyber-Kriminelle finden hier die wehrlosesten Opfer mit der höchsten Zahlungsbereitschaft.
Doch warum sind beispielsweise Krankenhäuser, Behörden und Verwaltungen so schlecht vorbereitet? Im Hinblick auf die fatalen Auswirkungen eines erfolgreichen Angriffs, sollte Sicherheit (wie eigentlich immer) an erster Stelle stehen. Im Ernstfall sorgt Ransomware einerseits dafür, dass Institute bei Systemausfällen oder -einschränkungen ihre eigentliche Tätigkeit nicht mehr ausüben können und verursacht andererseits Kosten, welche wesentlich höher sind als das reine Lösegeld.
Wie teuer kommt ein Ransomware-Angriff für das Opfer?
Das Ponemon Institute berichtet in seiner Studie "Cost of Data Breach“, dass ein einziger Datensatz, welcher einem Krankenhaus durch Ransomware bzw. Malware verloren geht, 325 Euro kostet. Hinzu kommen aber weitere Kosten durch Ausfallzeiten und durch die manuelle Arbeit, welche anfällt, um widerhergestellte Daten duch die Daten zu ergänzen, welche zwischenzeitlich bei aktuellen Patienten neu angefallen sind.
Nach einem Angriff muss die betroffene Behörde oder Institution zuerst einmal herausfinden, welches Ausmaß der Angriff hatte, welche Systeme betroffen und welche Daten nun verschlüsselt sind – und vor allem, wie der Angreifer ins System eindringen konnte. Oft kann dies nur von externen Dienstleistern erledigt werden, da die Opfer nur in den seltensten Fällen eigene Spezialisten dazu haben. Ein eingekauftes Team aber kann leicht bis zu zehn Tage für seine Untersuchung benötigen. Die dabei entstehenden Kosten erreichen dann schnell Summen im mittleren fünfstelligen Bereich. Schließlich werden noch Audit und Abschlussprüfung berechnet, auch diese Rechnung bewegt sich im mittleren fünfstelligen Bereich.
Diese ganzen Kosten enthalten aber immer noch nicht das Lösegeld, Anwalts- und Gerichtskosten, sowie Kosten für die Benachrichtigung von Öffentlichkeit und beispielsweise Patienten, die Datenrettung, die zu zahlende Strafen an Regulierungsinstitutionen oder die Überstunden für Angestellte – um nur einige Posten zu nennen. Überschlägt man nun diese einzelnen Faktoren, so kann sich der Schaden durch einen Ransomware-Angriff innerhalb von nur einer Woche zwischen 650.000 Euro und 1,5 Millionen Euro bewegen. Die Variablen hierzu sind beispielsweise Größe des betroffenen Opfers sowie der Verfügbarkeit von Backups.
Der größte Posten ist aber bislang nicht aufgeführt - Reputationsschäden ergeben sich für eine Organisation, wenn in Folge eines Angriffs das Ansehen der Organisation sinkt oder aber Kunden abwandern und so wirtschaftliche Nachteile entstehen (z. B. fallende Aktienkurse). Um die Reputation wieder neu aufzubauen, muss massiv in Werbung, Kundenbindungskampagnen, Image etc. investiert werden.
Vor und nach einem Angriff
Nach einem Angriff muss umgehend ein "Incident Response“ durchgeführt werden, also Schäden müssen katalogisiert und behoben werden. Auch wenn nur wenige Behörden und Unternehmen ein eigenes Team für die Reaktion auf einen solchen Angriff vorhalten, können eigene Mitarbeiter in ein eingekauftes Team integriert werden, um KOsten zu senken: Nach den Berechnungen des Ponemon Instituts sparen Institutionen etwa 11,30 Euro pro Datensatz durch ein gemeinsames Incident-Response-Team. Wer vorher die Verwaltung an Bord holt um sich auf Attacken vorzubereiten kann knapp fünf Euro pro Datensatz einsparen; eine Cyber-Versicherung reduziert die Kosten immerhin um knapp vier Euro.
Cyber-Kriminelle suchen nach "soft targets", welche wenig Schutz bieten und leichte Beute sind. Niemand sollte also in diese Kategorie fallen.
Auswege aus der Krise
Wie also verwandelt man ein "soft target" in ein "hard target", welches so gut wie nicht nicht getroffen werden kann? Es gibt patternbasierte Anti-Ransomware (vergleichbar zu Antivirensoftware), welche aber als eigene Komponente lokal auf dem Client installiert und auf Stand gehalten werden muss. Also eher also für privat genutzte Rechner anwendbar.
Für Unternehmen bietet sich eine sinnvolle Alternative: Automatisierte Überwachung der Aktivitäten der Benutzer im Active Directory oder LDAP, um bei Überschreiten von individuellen Grenzwerten (nach einer Einlernphase) oder festgelegten allgemeinen Grenzwerten automatisiert einen Ausschluss aus Active Directory oder LDAP vorzunehmen.
Die Nutzer haben also nicht eine weitere Überwachungssoftware auf Ihrem Rechner, welche Resourcen benötigt, sondern bei verdächtigen Aktivitäten (beispielsweise 10 Dateizugriffe pro Sekunde im Netzwerk) wird der verdächtige Rechner automatisiert aus dem Active Directory oder LDAP entfernt und der Schaden und damit der Aufwand zur Widerherstelleng dieser Dateien bleibt überschaubar.
Der infizierte Client kann ebenso wie die verschlüsselten Dateien leicht über Backup wiederhergestellt werden, Arbeitsaufwand bleibt in der Regel unter 30 Minuten.
Weitere Information dazu unter
