Cyberangriffe auf Unternehmen

Davor hatten Sicherheitsexperten lange gewarnt, jetzt hat sich die Bedrohungslage durch Ransomware (Erpressungs-Schadprogramme) nicht nur in Deutschland deutlich verschärft. Datenhacker und Cyberkriminelle greifen gezielt Unternehmen oder staatliche Einrichtungen an – wie jüngst mit Ransomware-Trojanern wie „WannaCry“ oder „Petya“.

Die Trojaner verschlüsseln wichtige Nutzerdateien und zeigen eine nicht übersehbare Warnmeldung an – entweder den Bildschirm überdeckend, als Desktop-Hintergrund oder in einer Textdatei. Die Opfer haben dann erst wieder Datenzugriff, wenn sie eine geforderte Geldsumme überweisen – so zumindest das Versprechen der Hacker. Da die Verschlüsselungen oft ausgefeilt sind, kommen Betroffene kaum an ihre Daten heran.

Wissen Ransomware

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes (engl. „ransom“) wieder freigeben. Es handelt sich dabei um eine gravierende Einschränkung der Datenverfügbarkeit und gilt als besonders perfide Form der digitalen Erpressung.

>> Direkter Link zur BSI-Veröffentlichung: Bedrohungslage, Prävention & Reaktion.

>> Direkter Link zum BSI-Lagedossier Ransomware

Weil der Leidensdruck für die betroffenen Unternehmen hoch ist, zahlen Opfer in vielen Fällen das geforderte Lösegeld. Dieser Erfolg der Täter führt dazu, dass mittlerweile Kapazitäten aus dem „Banking-Trojaner-Geschäft“ abgezogen werden und die Botnetze nun Ransomware verteilen.

Empfehlungen des BSI zu den aktuellen Cyberangriffswellen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt Ransomware-Opfern, die in der Internetwährung Bitcoin geforderte Geldsumme keinesfalls zu begleichen. Sie würden sonst den Hintermännern in die Hände spielen und die hätten ihr Ziel erreicht.

Arne Schönbohm Arne Schönbohm (© 2017 Cyber-Sicherheitsrat Deutschland e.V)

„Die durch Ransomware verursachten IT-Sicherheitsvorfälle der letzten Wochen zeigen, wie abhängig Unternehmen und andere Institutionen von Informationstechnologie sind.“

Arne Schönbohm
Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Wie funktionieren Cyberangriffe mit Erpressungstrojanern?

Der Angriff richtet sich gegen Computersysteme mit Microsoft Betriebssystem ab Windows XP. Zur Verbreitung werden unter anderem dabei zwei Schwachstellen genutzt („EternalBlue“ und „EternalRomance“), die, so vermuten Experten, aus dem Werkzeugkasten des US-amerikanischen Auslandsgeheimdienstes NSA stammen. Betroffen sind hauptsächlich Unternehmen in Russland. Auch in der Ukraine sind Regierungsstellen, die Zentralbank, Kiews Flughafen sowie weitere Unternehmen betroffen.

Eine der Schwachstellen wurde bereits bei dem weltweiten Cyberangriff WannaCry ausgenutzt. Dass der jüngste Angriff mit NotPetya/Nyetya trotzdem so erfolgreich ist, liegt nicht zuletzt daran, dass zusätzliche Infektionswege für die Verbreitung genutzt werden.

Befallene Systeme werden von dem Erpressungstrojaner mit starken Verschlüsselungsverfahren (AES-128, RSA) gesichert. Im Fokus stehen bestimmte Dateitypen wie komprimierte Archive, PDF-Dokumente, Office-Dateien, Mail-Ordner, virtuelle Maschinen und Backup-Dateien. Ein kostenloses Entschlüsselungstool ist derzeit nicht verfügbar.

Wolfgang Ischinger Wolfgang Ischinger (© 2017 MSC)

„Durch die Cyberattacken steht die Sicherheit des Gemeinwesens auf dem Spiel, etwa durch das Manipulieren von Wahlergebnissen.“

Wolfgang Ischinger
Vorsitzender der Münchner Sicherheitskonferenz (MSC)

Expertenbefragung zum Thema Cyberattacken

Statista-Expertenbefragung Ergebnisse einer Statista-Expertenbefragung im Mai 2017 zu den Verantwortlichen für die Vermeidung von globalen Cyberangriffen (© 2017 Statista)

 

Video: Thomas Tschersich Cybersecurity-Experte der Deutschen Telekom zum Cyberangriff durch Petya/NotPetya

 

Weiterführende Links zum Thema

>> Schutz vor Ransomware: Das können Sie tun

>> Deutsche Telekom Cyber Defense: So bleiben Sie Angreifern immer einen Schritt voraus

>> Deutsche Telekom: Welche Gegenmaßnahmen helfen gegen NotPetya?