Der Verschlüsselungstrojaner – ein Geschäftsmodell für Cyber-Kriminelle
Alarmstufe Rot
Unlängst hat das BSI, das Bundesamt für Sicherheit in der Informationstechnik, erstmals seit über einem Jahrzehnt die Alarmstufe Rot ausgerufen, die IT-Sicherheitslage war also „extrem kritisch“ (heißt: Regelbetrieb kann nicht aufrechterhalten werden). Am 17.3.2021 wurde diese Einschätzung aufgrund verschiedener veröffentlichter Patches auf Alarmstufe Orange reduziert. Die IT-Welt geht also nicht mehr unter, aber ein Grund zum Aufatmen ist das noch lange nicht: Die Sicherheitslage ist immer noch „geschäftskritisch“, der Regelbetrieb „beeinträchtigt“. Die Gefahr ist real, aber im wahrsten Sinne des Wortes unsichtbar. Sicherheitslücken werden durch Ransonware zu barem Geld gemacht. Der Verschlüsselungstrojaner ist ein traumhaftes Geschäftsmodell für Cyber-Kriminelle!
Hackergruppe Hafnium
Ausgelöst wurde die Katastrophe durch Schwachstellen im Microsoft-Exchange-Server. Hacker konnten sich als Admins ausweisen und sich, richtig, frei auf den Rechnern bewegen, Schadsoftware installieren, Kundendaten abfragen — das ganze Paket eben. Gerade durch die Verlagerung von echten Arbeitsgruppen auf virtuelle Meetings und digital organisierte Gruppen sind besagte Exchange-Services beinahe lebensnotwendig für Firmen geworden – und damit perfekte Ziele für Hacker. Die Lücke wurde mutmaßlich am stärksten durch die von China aus agierende Gruppe Hafnium ausgenutzt und hat zu mehreren außerplanmäßigen Sicherheitsupdates von Microsoft geführt, die aber bereits entstandene Hintertüren durch einen Hack nicht schließen.
Erpressung: Schlüssel gegen Lösegeld mit Ransomware
Derartige Lücken (durch diesen sehr präsenten oder andere, kleinere Hacks) kann man wiederum durch eine bestimme Art von Schadsoftware, sogenannte Verschlüsselungstrojaner (Ransomware), zu barem Geld machen. Natürlich kann ein Hacker, sobald er Zugang zu einem System hat, Kundendaten klauen und direkt (durch Nutzung beispielsweise der Konten) Profit daraus schlagen — oder die Daten weiterverkaufen (dann haben die Betroffenen Unternehmer und deren Kunden in jedem Fall ein Datenschutzproblem). Die dritte Möglichkeit ist, die Mitarbeiter- und Kundendaten sowie weitere Informationen (Buchhaltung, Unterlagen, Kalender, usf.) zu verschlüsseln und dem Unternehmen dadurch den Zugriff auf diese notwendigen Daten zu verwehren … bis ein mehr oder weniger hohes Lösegeld gezahlt wurde, das zur Freigabe der (möglicherweise, aber nicht unbedingt) unversehrten Daten führt. Dadurch ist der Verschlüsselungstrojaner ist ein traumhaftes Geschäftsmodell für Cyber-Kriminelle! Dieses Problem betrifft längst nicht mehr nur große Weltkonzerne, sondern kann auch mittelgroße oder sogar kleine Unternehmen bedrohen und für zwei Wochen oder länger lahmlegen.
Die unsichtbare Gefahr
Die Gefahr ist real, aber im wahrsten Sinne des Wortes unsichtbar, denn die Infektionsketten von Servern und Rechnen sind längst nicht mehr nachzuverfolgen. Während die Menschen wegen steigender Corona-Inzidenzen nur noch mit FFP-2-Masken vor die Tür gehen, das öffentliche Leben quasi zum Stillstand gekommen ist und wir die Hände desinfizieren in einem Ausmaß, das vor drei Jahren noch belächelt worden wäre, geht das digitale Leben weiter wie zuvor. Masken? Kontaktbeschränkungen? Keine Spur. Klassische Antivirenprogramme sind bei dieser Parallele am ehesten damit gleichzusetzen, dass man keine wildfremden Personen in die eigene Wohnung lässt. Man sieht: Von einem richtigen Rundum-Schutz ist man damit als Unternehmen weit entfernt.
Updates zeitnah einspielen
Bei aller Vor- und Umsicht gilt allerdings: Wird eine Schwachstelle entdeckt (und dagegen ist angesichts der Komplexität der Programme leider kein Kraut gewachsen), sind Hacker bestrebt, diese so schnell wie möglich zu nutzen. In der Regel dauert es aber einige Zeit, bis Sicherheitsupdates zum Download angeboten werden — und selbst dann werden solche Verbesserungen aus Zeitmangel weggeklickt oder erst beim einmal wöchentlichen großen Update wirklich installiert … Hacker haben also im schlimmsten Fall eine Menge Zeit, um sich Zugang zur Unternehmens-IT zu verschaffen.
Wie kann man sich bestmöglich schützen?
- IT-Security und Business-Continuity müssen zur Chefsache gemacht werden: Kriminelle kommen über Sicherheitslücken in der IT in ein Unternehmen, nicht mit vorgehaltener Waffe in Person. Wird auch noch die Business-Continuity vernachlässigt, bedeuten die Schäden möglicherweise das Aus für das betroffene Unternehmen.
- Hacks kann man nicht komplett verhindern, aber durch eine ganzheitliche Security und den aktuellen Stand der Unternehmens-IT zumindest umständlich und damit wenig lohnenswert für Kriminelle machen.
- Absolut notwendig ist ein funktionierendes, aktuelles und gesichertes Backup, damit nach einem Angriff und einer erfolglosen Säuberung (das kann passieren!) schnell wieder an die Arbeit gegangen werden kann.
- Um im Notfall schnell um kompetent zu reagieren, muss Knowhow intern oder extern vorgehalten werden – anders gesagt: Die Ansprechpartner für den Fall der Fälle müssen bekannt sein!
- Unabhängig von all diesen Punkten sollten Unternehmer wirtschaftlich durch Versicherungen oder eine entsprechende Liquidität immer auf den Worst-Case vorbereitet sein.
Technische Vernetzung Grundlage für den Unternehmenserfolg
Weil eine gute Vernetzung mittlerweile kein Unternehmensvorteil, sondern die Grundlage für wirtschaftlichen Erfolg ist, ist auch IT-Sicherheit nicht mehr nur für eine Handvoll besonders fortschrittlicher Unternehmen, sondern für alle wichtig. Viele Unternehmer scheinen das immer noch zu ignorieren. Abwarten und Teetrinken ist hierbei keine Lösung: Es wird keine Impfung gegen Hacks geben, dieses Jahr nicht und auch nicht in einem Jahrzehnt. Möglichkeiten, die unternehmenseigene IT widerstandfähiger gegen unautorisierte Zugriffe zu machen, gibt es bereits, bloß werden sie aus Nachlässigkeit oder Unwissenheit nicht genutzt.
Täglich IT-Sicherheit leben
Die Alarmstufe Rot oder, aktuell (Stand 17.03.2021), Orange des BSI sollte ein deutliches Signal dafür sein, die unternehmenseigene IT-Sicherheit auf den neusten Stand zu bringen und auch auf diesem neusten Stand zu halten – nicht einmal in der Woche, sondern täglich. Die zeitlichen und finanziellen Investitionen sollten dabei kein Hinderungsgrund sein, denn: Investieren Unternehmer nicht in ihre Security, wandert das „eingesparte“ Geld bloß mit einiger Verzögerung in den Lebensunterhalt der Hacker, die aus den Sparmaßnahmen Profit schlagen.
Der Autor
Seit Anfang der 1990iger Jahre arbeitet Andreas Holzhammer mit der IT-Technik. Er hat wesentlich am Aufbau der grundlegenden Strukturen großer, internationaler Rechenzentrumsbetreiber mitgearbeitet und hat fundierte Kenntnisse im Bereich der Internet-Infrastruktur und der Internet-Backbones. Nach einer erfolgreichen Karriere bei einem großen deutschen Systemhaus hat er sich zusammen mit einem Geschäftspartner mit der Kernkompetenz-IT ein eigenes Unternehmen geschaffen, mit dem er mittelständische Unternehmen im Bereich IT und EDV berät und betreut. Mit seinem aktuellen Artikel Der Verschlüsselungstrojaner – ein Geschäftsmodell für Cyber-Kriminelle klärt er interessierte Unternehmer über die Gefahren für die Unternehmens-IT auf.
Über Kernkompetenz-IT
Die Kernkompetenz-IT ist ein innovatives IT-Systemhaus und IT-Dienstleister mit den Schwerpunkten IT-Infrastruktur, IT-Services und IT-Security. Mit einem kompetenten Team von fünf Mitarbeitern beraten und betreuen wir Unternehmen und Unternehmer im Bereich IT, EDV, Digitalisierung und Organisation. Unsere Expertise sichert die Verfügbarkeit der IT und den Erfolg des Unternehmens bei Planung und Aufbau, der Wartung, der Betreuung und dem täglichen Betrieb von IT-Infrastruktur und digitalen Prozessen. Unsere Kunden sind kleine und mittlere Unternehmen im Raum Ostbayern. Wir informieren über Grundlagen der IT-Sicherheit für kleine und mittlere Unternehmen (KMU)
