Im Ransomware-Zeitalter muss Datensicherheit kompromisslos sein.

Die meisten Experten, die Strafverfolgungsbehörden und die Öffentlichkeit sind sich einig: Erpresser sollte man, aus naheliegenden Gründen, nicht bezahlen. Das sieht offensichtlich auch Peter Spuhler, der Chef der Stadler Rail AG so. Nachdem sein Unternehmen diesen Frühling von Kriminellen mit Ransomware angegriffen worden war - sie verlangten 6 Millionen Dollar in Bitcoin - liess man sich nicht auf Verhandlungen mit den Erpressern ein, obwohl diese, um den Druck zu erhöhen, auch noch gestohlene Daten per Twitter veröffentlichten. “Stadler ist und war zu keinem Zeitpunkt bereit, Zahlungen an die Erpresser zu leisten und ist nicht in die Verhandlungen eingetreten“, gab das Unternehmen bekannt. Man verfüge über funktionierende Backup-Daten. Deshalb könne die Produktion und die Erbringung von Serviceleistungen wie gewohnt weitergehen.

Ein teurer Totalausfall

Im Falle des Navigationsspezialisten Garmin lief die Erpressung anders ab[1]. Das Unternehmen sei von einem "Ausfall" betroffen worden, gab Garmin Ende Juli bekannt. Tatsächlich war es ein Totalausfall. Cloud-basierte Geräte, Telefonzentralen, E-Mail-Server und Online-Chats funktionierten nicht mehr. Ausser den Connect-Apps wurden auch Garmin Express und FlyGarmin lahmgelegt. Betroffen waren sogar die Fertigungsanlagen. Eine Katastrophe also, verursacht durch eine Attacke mit der Ransomware WastedLocker. Erst anfangs August normalisierte sich die Lage bei Garmin langsam wieder. Gemäss Presseberichten hatte das Unternehmen in der Zwischenzeit einen Millionenbeitrag an die Erpresser bezahlt[2] und als Gegenleistung den Schlüssel erhalten, um die Geschäftsdaten wieder brauchbar zu machen.

Garmin ist natürlich nicht das einzige Unternehmen, das sich seine Daten von Erpressern zurückgekauft hat. Für diesen Fall gibt es inzwischen sogar Versicherungen[3]. Man darf davon ausgehen, dass derartige Transaktionen in vielen Fällen nie ans Tageslicht kommen, vor allem wenn die Kunden der erpressten Unternehmen nicht direkt betroffen sind. Bei der auf Entschlüsselung spezialisierte US-Firma Emsisoft schätzt man den Gesamtumsatz der Ransomware-Branche im letzten Jahr auf 25 Milliarden(!) Dollar.

Doppelerpressungen liegen im Trend

In zwei Fällen, die in den letzten Monaten bekannt wurden flossen jedenfalls, wie bei Garmin, ebenfalls Millionen: Der Devisenumtauschdienst Travelex zahlte im Januar 2,3 Millionen Dollar Lösegeld an kriminelle Erpresser, nachdem die Hacker die Dateien des Unternehmens verschlüsselt hatten. Und Blackbaud, ein Anbieter von Software- und Cloud-Hosting-Lösungen, gab an, im Mai eine Ransomware-Attacke gestoppt zu haben. Das Unternehmen zahlte aber trotzdem Lösegeld, weil die Hacker Daten aus dem Firmennetzwerk gestohlen und damit gedroht hatten, sie online zu veröffentlichen. Der Blackbaud-Vorfall ist, wie auch Stadler Rail, ein Paradebeispiel für die heutigen Doppelerpressungen mit Lösegeldforderungen. Die Kriminellen versuchen, erst in den Unternehmensnetzwerken Fuss zu fassen und dort Daten zu stehlen, bevor sie die lokalen Dateien verschlüsseln. Die betroffenen Unternehmen werden dann aufgefordert, eine Lösegeldforderung zu zahlen - entweder für die Freischaltung der Dateien oder für die Verhinderung einer Veröffentlichung der gestohlenen Daten – sozusagen als Rückversicherung für den Fall, dass das Opfer sich weigert, zu zahlen und sich dafür entscheidet, die Systeme zu rekonstruieren.

Covid-19 ist ein wirksamer Köder

Cyberkriminelle benutzen laut Experten immer öfter COVID-19 -Themen für ihre Phishing-Expeditionen, um die diesbezüglichen Sorgen der User auszunutzen. Einige aktuelle Themen, bei denen Vorsicht geboten ist, sind Informationen über Impfstoffe, Masken und Desinfektionsmittel sowie finanzielle Hilfsprogramme. Vorsicht ist auch geboten, wenn kostenlose Downloads oder Updates für populäre Technologielösungen, zum Beispiel Video oder Audiokonferenzplattformen oder Social Media angeboten werden[4]. Dieser Trend schlägt sich auch statistisch nieder: Laut dem Sonic Wall Cyber Threat Report 2020 haben Ransomware-Attacken massiv zugenommen, insbesondere in den USA, wo sie sich im Vergleich zum Vorjahr mehr als verdoppelt haben[5].

Private Geräte für private Aktivitäten

Deshalb ist es wichtig, das Risiko, das von den eigenen Mitarbeitern ausgeht, zu minimieren. E-Mails, die von ausserhalb kommen, sollten automatisch gekennzeichnet werden. Mitarbeiter müssen verdächtige E-Mails unkompliziert melden können (zum Beispiel via Report Message Add-On in Outlook). Eingebettete E-Mail-Links sollten gründlich überprüft werden. Die Beschränkung verschiedener Skriptsprachen und Makros auf Benutzer, die diese Funktionalität benötigen, kann das Risiko verringern. Auch die Beschränkung und Definition von Software, die für die Produktivität und die Kommunikation von Homeoffice-Mitarbeitern notwendig sind, sollte in Betracht gezogen werden. Sehr wichtig ist eine strikte Trennung von persönlichen und Firmengeräten - Mitarbeiter sollten für persönliche E-Mails und Surfaktivitäten ausschließlich ihre privaten Geräte nutzen.  

Drei Kopien, zwei Medientypen, eine Kopie auswärts

Um sich auf der Datenschutzseite so gut wie möglich gegen Ransomware abzusichern, empfiehlt Veeam, ein global führender Cloud-Management und Backup-Spezialist, die 3-2-1-Regel anzuwenden[6]: 3 Kopien der Daten, 2 verschiedene Speichermedientypen, mindestens 1 Kopie ausserhalb des Standorts. Durch die Verteilung der Daten auf verschiedene Medien wird es für Ransomware schwieriger, alles zu infizieren. Damit dieses Konzept funktioniert braucht es regelmässige Tests; Fehler sind nicht erlaubt.

Natürlich gibt es zahlreiche verschiedene Möglichkeiten, Daten zu sichern. Backup as a Service durch einen auswärtigen Provider ist nur eine davon. In diesem Fall werden Kopien der Backups an einen anderen Standort geschickt, der von einem externen Anbieter betrieben wird. Das kann eine gute Lösung für Kunden sein, die keinen sekundären Geschäftsstandort haben oder es sich nicht leisten können, ihre Backups dorthin auszulagern. Die grösste Hemmschwelle bei dieser Option besteht darin, die Kontrolle über die Daten an eine dritte Partei abzugeben.
Für die sekundäre Datensicherung und das Datenarchiv ist die Magnetbandspeicherung eine interessante, oft unterschätzte Möglichkeit. Gemäss Veeam ist diese Art der Datensicherung am günstigsten (5 – 8 USD per TB) und ist gleichzeitig einer der widerstandsfähigsten Speichertypen gegen Ransomware-Attacken; Magnetbänder können unkompliziert an einem sicheren Ort ausgelagert werden. Was die 1-2-3-Regel betrifft ist es wichtig, dass jede Sicherungskopie der Daten auf einem unterschiedlichen Speicher abgelegt wird. Wenn zwei Sicherungskopien auf demselben Speichergerät liegen und die Hardware ausfällt, wird keine der beiden Sicherungen funktionieren.  Wenn die Backups auf dem gleichen Speicher wie die primären VMs gespeichert sind und dieser Speicher ausfällt, sind die primären VMs und Ihre Backups verloren.

UMB und VEEAM: Partner mit Erfahrung und Kompetenz

Lassen Sie sich nicht in die Enge treiben! Wir verfügen über das notwendige Fachwissen um in Ihrem Unternehmen Leading-Edge-Datensicherheit zu gewährleisten. UMB ist Platinum-Partner im Veeam® ProPartner-Programm und erreicht damit die höchste Veeam®-Partnerstufe. Die Auszeichnung steht für Erfahrung und Kompetenz bei der Bereitstellung eines einfachen, zuverlässigen und flexiblen Veeam-basierten Cloud-Datenmanagements für Unternehmen, die immer verfügbar sein wollen. Kontaktieren Sie uns für Ihre Datensicherheit.

[1] http://digital-society-report.blogspot.com/2020/07/garmin-attacke-es-muss-nicht-immer-ein.html

[2] https://news.sky.com/story/garmin-obtains-decryption-key-after-ransomware-attack-12036761

[3] https://www.cbc.ca/news/technology/ransomware-cyber-insurance-pros-and-cons-1.5453619

[4] https://home.kpmg/xx/en/home/insights/2020/05/rise-of-ransomware-during-covid-19.html

[5] https://threatpost.com/sharp-spike-ransomware-pandemic-inspires-attackers/157689/

[6] https://www.veeam.com/blog/3-2-1-rule-for-ransomware-protection.html