Ransomware ist ein Symptom 

Die Furcht vor Ransomware, also vor der ungewollten Verschlüsselung eigener Daten durch kriminelle Erpresser, hat momentan Organisationen und Unternehmen aller Größen erfaßt. Die Erpresser veröffentlichen in immer kürzer werdenden Abständen neue Varianten ihrer Software, setzen auf immer stärkere Verschlüsselung und werden in ihrem kriminellen Verhalten immer perfider. Es vergeht kaum ein Monat ohne ein Release einer neuen Variante eines Verschlüsselungstrojaners. In diesem Blog soll es diesmal um zwei Fragen gehen: Wie kommt die Ransomware überhaupt auf den Rechner und wie kann man sich vor der Infektion schützen?

Locky, TeslaCrypt, Cryptolocker und Co. fallen nicht einfach „vom Himmel“ und sind plötzlich auf dem Notebook. Eine Zwangsverschlüsselung kann nur auf einem kompromittierten Computersystem ausgeführt werden, über dass Sie ihre Autorität längst verloren haben. Ransomware ist nicht nur ärgerlich und teuer, es ist vor allem ein Symptom für den Kontrollverlust über ihre eigenen IT-Systeme!
Ich möchte hier betonen, dass  Ransomware kein eigener Angriffsvektor ist. Ransomware kann nur ausgeführt werden, wenn ein anderer Sicherheitsmechanismus zuvor ausgehebelt wurde. Allerdings ist die zwangsweise Verschlüsselung als Folge eines Hacks besonders teuer: mit den verschlüsselten Daten können Sie vorerst nicht arbeiten und müssen – haben Sie kein Backup – obendrein noch das Lösegeld zahlen.

Es gibt zwei dominierende Angriffsarten, über die Ransomware auf Rechner kommt, dies sind sogenannte „Drive by Downloads“ und via E-Mail. Die Infektion via E-Mail ist hinlänglich bekannt und wird so auch schon seit Jahrzehnten praktiziert: ein angeblich wichtiges Dokument (Kontoauszug, Mahnung, Bewerbung) wird Ihnen zugeschickt und im Anhang befindet sich dann ein Trojaner statt des versprochenen Dokuments. Fallen Sie drauf herein, infizieren Sie ihren Rechner und verlieren die Autorität über den PC. Sie sind einfach nicht mehr Herr über das eigene Gerät, ohne dass es Ihnen auffällt.  Früher hat der Trojaner von ihrem Rechner aus Spam E-Mails versendet. Heute verschlüsselt er ihre Dokumente und möchte Geld erpressen. Andere Symptome, aber gleicher Weg zum Kontrollverlust.

Völlig unwirksam und dennoch tausendfach wiederholt ist folgender Ratschlag:
„Erklären Sie ihren Anwendern, sie sollen bei E-Mails von fremden Absendern skeptisch sein, verdächtige E-Mails löschen und keinesfalls den Anhang öffnen“.

Dieser Ratschlag ist genauso richtig, wie er alt und erfolglos ist. Die Erfahrung zeigt, dass es immer jemanden im Unternehmen gibt, bei dem auch die siebte „Awareness Kampagne“ in einem Jahr nicht zündet und trotzdem auf den Anhang klickt. Ist auch nur ein einziger Computer in ihrem Netzwerk kompromittiert, ist für einen Hacker das Tor zu allen anderen Geräten offen. Auch, aber nicht nur, für die Verschlüsselung von Daten. Ein Paradebeispiel dafür ist der Hack des Bundestages, bei dem der Einbruch in einen einzigen Computer ausreichte, um die Neuinstallation der Domain des Bundestages notwendig zu machen. Hat ihr Unternehmen eigentlich auch eine parlamentarische Sommerpause und Zugriff auf das Geld der Steuerzahler?

Hilfreich sind aber folgende Maßnahmen:

  • Nutzen Sie Windows Applocker und arbeiten Sie mit einer Positivliste von bekannter Software. Ist eine Software nicht auf dieser Liste, wird sie nicht ausgeführt. Einfaches Prinzip, leider sehr aufwendig in der Implementierung, aber sehr effektiv.
  • Filtern Sie eingehende E-Mails und ihre Anhänge aufgrund ihres Verhaltens und nicht anhand einer Signatur einer Virendatenbank. Hat ihr Unternehmen genug Budget, sollten Sie sich die Lösungen aus dem Hause FireEye oder von CrowdStrike anschauen. Wer den beiden Großen aus den USA nicht traut, findet beim deutschen Anbieter Payload Security eine sehr gute Alternative, die ebenfalls technisch ausgereift ist und heimischem Datenschutzrecht unterliegt.

Aber um Himmels Willen übergeben Sie die IT-Sicherheit ihres Unternehmens nicht an einen ihrer Mitarbeiter, der nun in seinem Postfach einen Trojaner erkennen soll, bei dem zuvor schon ihr Virenscanner versagt hat!

Im Vorbeifahren gehackt

Der zweite Infektionsweg für Verschlüsselungstrojaner ist der Drive by Download. Dabei besuchen Sie eine zuvor gehackte und präparierte Webseite mit einem Webbrowser, der selbst eine Sicherheitslücke hat. Die Webseite erkennt diese Sicherheitslücke und infiziert den PC mit dem Verschlüsselungstrojaner, ohne das der Mensch vor dem Monitor etwas davon mitbekommt.

Hat ihr Webbrowser keine Sicherheitslücken, schlägt dieser Angriff fehl. Um einen unsicheren Webbrowser wieder sicher zu machen, muss er aktualisiert, also gepatcht werden. Seit ich selbst in der IT tätig bin, also seit knapp zwanzig Jahren, ist „patchen, patchen, patchen“ immer wieder von der IT-Sicherheitsindustrie und den Softwareunternehmen gepredigt worden. Trotzdem ist der Angriff über bekannte Sicherheitslücken immer noch so häufig und einfach wie vor zwanzig Jahren. Zum Teil kann man Unternehmen und private Anwender gleichermaßen selbst dafür verantwortlich machen, denn diese aktualisieren ihre Softwareprodukte und Betriebssysteme einfach nicht schnell genug. In aller Regel vergehen nur wenige Stunden zwischen dem Bekanntwerden der Sicherheitslücke und der Programmierung von Software, die genau diese Schwachstelle ausnutzt.
Da ist das Problem: die Kriminellen rechnen in Stunden, bis sie aus dem Wissen um die Lücke ein Stück Software programmiert haben, welche genau diese Lücke ausnutzt. Bei zahlreichen Unternehmen, für die ich tätig war, liegt der Zeitrahmen zwischen der Veröffentlichung eines Patches und seiner Installation zwischen 3 Wochen bis 3 Monaten. Manchmal vergehen bis zu 6 Monate, bis die Fachabteilungen getestet und die notwendige Freigabe im Rahmen eines ITIL-konformen Change Managements erteilt haben.

Flash, Silverlight und andere Katastrophen

Oftmals aber werden Webbrowser und die darunterliegenden Betriebssysteme von Schadsoftware infiziert und das Unternehmen ist völlig machtlos dagegen. Bei  einem sogenannten Zero-Day Exploit existiert nur die von den Kriminellen ausgenutzte Sicherheitslücke, aber (noch) nicht der dazu passende Patch, mit dem man die Lücke stopfen könnte. Hier nun lohnt besonders der Blick auf die Software, die besonders häufig von Sicherheitslücken und Zero-Day Exploits betroffen ist: Flash von Adobe, der Internet Explorer von Microsoft und Java aus dem Hause Oracle. Besonders Flash und der gesamte Webbrowser Internet Explorer mit seinem integriertem Silverlight und Active X sind echte Sicherheitskatastrophen. Es vergeht fast keine Woche, in der nicht eine neue, hochkritische Sicherheitslücke in Adobe Flash entdeckt wird.

Kritische Sicherheitslücken in Webbrowsern, entnommen aus dem „HP Cyber Risk Report 2016“, Seite 31. Auf Flash und den Internet Explorer (inclusive Silverlight) entfallen 13 der 20 Top Sicherheitslücken des Jahres 2015

Meine Empfehlung dazu: Deinstallieren, samt aller Plugins. Deinstallieren Sie Adobe Flash, den Internet Explorer (ausnahmslos alle Versionen) und versuchen Sie auch, soweit wie möglich, auf Java zu verzichten. Damit ist der kausale Zusammenhang offensichtlich: wollen Sie sich vor Verschlüsselungstrojanern schützen, sollten Sie die bekanntermaßen für Sicherheitslücken anfällige Software löschen. Mit dem Patchen kommen Sie sowieso nicht hinterher und bei Zero-Day Sicherheitslücken prinzipiell nicht.

Den Webbrowser Internet Explorer sollten Sie durch seinen Nachfolger Microsoft Edge oder – noch sicherer- Google Chrome ersetzen. Auch für Google Chrome existieren sehr gut dokumentierte Group Policy Templates, die den unternehmensweiten Einsatz in einem Active Directory sehr vereinfachen und eine datenschutzkonforme Nutzung im Sinne des BDSG erlauben. Man kann Chrome durchaus so bändigen, dass er nicht mehr „nach Hause telefoniert“ und Google an ihrem Surfverhalten teilhaben lässt.

Flash wird in den nächsten Jahren sicherlich von HTML5 verdrängt werden, doch von dieser Software sollten Sie sich schon heute trennen und keinesfalls damit noch einige Jahre warten. Mit Java ist die Situation eine andere, da der Verbreitungsgrad (manche Verfasser schreiben auch von Durchseuchungsgrad) in zahlreichen Business Applikationen sehr hoch ist. Der komplette Verzicht auf Java ist nur selten möglich, allerdings kann der Angriffsvektor erheblich verringert werden, wenn man Java im Browser abschaltet.

In aller Kürze

Fazit: Wenn Sie sich plötzlich mit verschlüsselten Festplatten konfrontiert sehen, ist bereits vorher etwas gehörig schiefgelaufen. Es gibt viele Schutzmöglichkeiten gegen Cyberangriffe, die mehr oder weniger wirksam, kostspielig und einfach umsetzbar sind. Ransomware nutzt Wege auf ihre Client- und Serverbetriebssysteme, die seit vielen Jahren bekannt sind und ist in erster Linie ein Symptom für das Versagen existierender IT-Sicherheit. Wenn ihr IT-Budget es hergibt, sind Sie mit einer eigenen verhaltensbasierten Erkennung von Malware bestens beraten. Für KMU existieren schon heute günstige, cloudbasierende Lösungen zur Erkennung von Malware, die in keiner Virendatenbank zu finden sind. Die Hybrid Analysis Technologie von Payload Security ist eine klare Empfehlung, wenn es ein Unternehmen aus Deutschland sein soll. Privatnutzern bleibt leider wirklich nur die Hoffnung auf die Erkennungsleistung ihres Virenscanners und eine funktionierende Datensicherung.

In meinem nächsten Artikel wird es deutlich technischer werden: die Nutzung von Windows 10 PE (PreBoot Environment) für den IT-forensisch korrekten Zugriff auf Offline Datenträger. Eine große Rolle wird der Zugriff auf von Bitlocker geschützte Festplatten spielen, denn auch dieser ist mit Windows PE problemlos möglich.