Das Schlechteste aus beiden Welten- APT meets Ransomware

Es ist ein offenes Geheimnis in IT und Politik, dass es vor allem Hacker aus China sind, die in westliche Unternehmen und Organisationen digital einbrechen und Daten stehlen. Dies weiß man nicht erst seit dem Aufsehen erregendem Bericht über APT1 von Mandiant, der eindeutig die staatlich-militärische Unterstützung dieser Gruppe belegen konnte. In den USA ist man sich auch sehr sicher, dass sowohl der verheerende Hack des OPM als auch der Einbruch bei der Krankenversicherung Anthem ihren Ursprung im Reich der Mitte haben. Nicht zuletzt diese beiden gravierenden IT-Sicherheitsvorfälle haben zu einem „digitalem Nichtangriffspakt“ zwischen China und den USA geführt, der im September 2015 von den Präsidenten Obama und Jinping unterzeichnet wurde. Die Chinesen haben zugesichert, zumindest nicht mehr aus wirtschaftlichen Gründen in US-amerikanische Unternehmen einzudringen.

Und wie sieht es mit Deutschland und Europa aus? Diese Frage stellt sich fast automatisch, denn was werden nun die zahlreichen Hacker künftig tun, wenn Angriffe auf US-amerikanische Unternehmen neuerdings tabu sind? Auf wen zielen nun diese APT?

Was bedeutet die Abkürzung APT?

Aus der Definition eines APT fallen alle Familien von Schadsoftware heraus. Viren, Trojaner und Würmer gelten weder als besonders gewieft, anspruchsvoll in der Entwicklung oder persistent: sie lassen sich durch die Hilfe von fertigen „Baukästen“ ohne Programmierkenntnisse zusammenklicken und es reicht theoretisch ein kostenloser Virenscanner, um sich ihrer zu entledigen. Eine besondere Familie von Schadsoftware aber, die in letzter Zeit zu großer Aufmerksamkeit gelangte und enormen finanziellen Schaden verursacht, ist RansomwareIn meinem letzten Artikel bin ich bereits darauf eingegangen; nach der Veröffentlichung meines Blogartikels erschien überdies eine neue Variante  namens Locky, die für zahlreiche erfolgreiche Erpressungen von Gemeinden, Krankenhäusern und tausenden Privatleuten eingesetzt wurde. Und nun kommt das Schlechteste aus beiden Welten zusammen, wie die Unternehmen Dell SecureWorks und Attack Research berichten:

Arbeitslose chinesische Hacker, hochqualifiziert und erfahren beim Hacken westlicher Unternehmen, haben die Erpressung durch Verschlüsselung als neue Einnahmequelle entdeckt.

Beides zusammen ergibt eine völlig neue Qualität der Bedrohung. Unternehmen und Organisationen, die starke Barrieren gegen Viren und Trojaner aufgebaut haben, sehen sich nun Angreifern gegenüber, die jahrelange Erfahrung im „Knacken“ westlicher IT-Sicherheitsarchitekturen haben. Die APT-Gruppen verschaffen sich Zugang zum Unternehmen durch die bekannten Wege (Spear Phishing, Waterhole Attacks, Social Enginering), diesmal aber stehlen sie keine Firmengeheimnisse oder Intellectual Property und verschwinden wieder lautlos. Sie verseuchen die Notebooks und Server des Unternehmens, definieren einen exakten Zeitpunkt für die Verschlüsselung und gehen wieder. Wenn dann zeitgleich die Dateiserver, Datenbanken und E-Mailserver verschlüsselt werden, ist die Organisation chancenlos.  Sie würde Wochen brauchen und Personal, das rund um die Uhr arbeitet, um wieder handlungsfähig zu werden- falls überhaupt jemals wieder. Die Zahlung eines Lösegeldes bedeutet in vielen Fällen für die betroffene Organisation die einzige Chance auf ihr wirtschaftliches Überleben.

Die Zukunft sieht düster aus

Diese Entwicklung verheißt nichts Gutes. Europäische Unternehmen sind schon vor dem Pakt zwischen den USA und China verstärkt in den Fokus chinesischer Hacker geraten. Die großen amerikanischen Unternehmen haben einen Reifegrad in der Erkennung und Abwehr von Cybercrime entwickelt, der Angreifern immer größere Aufwände für einen erfolgreichen Hack abverlangte. Europäische Unternehmen – vielleicht von einigen Banken und DAX-Konzernen abgesehen – sind von diesem Reifegrad ihrer US-amerikanischen Mitbewerber sprichwörtlich noch meilenweit entfernt. Das amerikanisch-chinesische Vertragswerk erhöht den Druck auf Firmen der hiesigen Wirtschaft noch weiter. Und viele von Ihnen sind und bleiben leichte Opfer für einen professionellen Angreifer.

Unternehmen sehen sich von nun an mit drei möglichen Verhaltensweisen von Hackern konfrontiert, nachdem diese in das Unternehmen eingedrungen sind:

  • Informationen werden gestohlen und gewinnbringend weiterverkauft
  • Daten auf Arbeitsplatzrechnern und Servern werden verschlüsselt und gegen Lösegeld wieder freigegeben
  • Hardware und/ oder Daten werden umfassend zerstört
    (demonstriert bei der Shamoon Attacke auf die Saudi Aramco)
Hardware zerstören?

Perfiderweise können die zweite oder dritte Option auf die erste folgen: Sie werden also zuerst (unerkannt) digital beraubt und später von den gleichen Tätern erpresst.

Eine umfassende Vorbereitung auf diese Angriffsmöglichkeiten ist das A und O dieser Stunde. Unternehmen benötigen nicht nur einen Data Breach Response Plan, sie brauchen auch einen Data Destruction Response Plan und einen Ransom Attack Reponse Plan. Sie müssen in der Lage sein, jede dieser Bedrohungen rechtzeitig zu erkennen, korrekt zu reagieren und die Bedrohung zu beseitigen. Der erste Schritt in diese Richtung ist bereits die Einsicht, dass es auch ihr Unternehmen treffen kann. Und die Wahrscheinlichkeit dafür ist im Jahre 2016 größer als jemals zuvor.