Das »Geschäftsmodell« Ransomware

»Zahlen Sie, oder Sie sehen Ihre Daten nie wieder«

14. Juli 2022, 15:05 Uhr | Dr. Oliver Becker
Die einzelnen Schritte einer Cyberattacke und ihre Elemente
Die einzelnen Schritte einer Cyberattacke und ihre Elemente
© Arvato Systems

Mehr denn je sind Firmen jeder Branche und Größenordnung von Hackern bedroht. Ein Schwerpunkt der Cyberkriminalität ist die Erpressung von Firmen. Ein beliebtes Ziel sind Industrieunternehmen, bei denen der Produktionsstillstand für hohen Leidensdruck sorgt. Ein Einblick in die dunkle Seite der IT.

Hacker sind blasse Gesellen, die in verdunkelten Zimmern nächtelang versuchen, sich unrechtmäßig Zugang zu Computersystemen zu verschaffen – weil sie es können, weil sie sich Geltung verschaffen wollen, weil sie ideologische Ziele verfolgen. Das ist immer noch das Bild, das sich weite Teile der Öffentlichkeit von Hackern machen – und auch wenn es solche Charaktere immer noch geben mag, so ist der Einbruch in IT-Systeme doch längst zu einem Business mit professionellen Strukturen avanciert.

Die Motivation für Hackerangriffe ist vielfältig. Manchen geht es, aus welchen Gründen auch immer, nur darum, den Opfern Schaden zuzufügen. Ein zweiter Grund ist das Ausspionieren von Geschäftsgeheimnissen. Eine dritte Triebfeder ist schlicht und einfach Geldgier – Daten von Unternehmen werden über eine eingeschleuste Schadsoftware, so genannte Ransomware, verschlüsselt und nur nach Zahlung eines Lösegeldes wieder freigegeben. Die IDC-Studie Cybersecurity in Deutschland 2021 zeigt auf, dass 70 Prozent der befragten Unternehmen bereits Opfer einer solchen Erpressung waren.

Anbieter zum Thema

zu Matchmaker+

Produzierende Unternehmen sind beliebte Ziele

Immer wieder werden auch produzierende Unternehmen Ziel solcher Erpressungen, immer wieder werden deren produktionsrelevante Systeme lahmgelegt. In der Presse wird fast wöchentlich von solchen Fällen berichtet, sei es ein Unternehmen für Automatisierungstechnik, ein Hersteller von Druckfarben oder ein Produzent von Pumpen und Armaturen. Der Grund für die Vorliebe der Cyberkriminellen für die produzierende Industrie liegt auf der Hand: Der oft mehrere Wochen andauernde Produktionsausfall mit seinen direkten finanziellen Folgen, der Abwanderung von Kunden und dem Imageverlust sorgt für hohen Leidensdruck. Interessant ist, dass laut einer Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft 56 Prozent der befragten produzierenden Unternehmen das Risiko für Cyberkriminalität für ihre Branche zwar mindestens als hoch einschätzen, aber nur 42 Prozent eine Gefahr für ihr eigenes Unternehmen sehen.

Professionalisierung der »Branche«

Dr. Oliver Becker, Vice President IMC bei Arvato Systems
Dr. Oliver Becker ist Vice President IMC bei Arvato Systems.
© Arvato Systems

Die Cyberkriminellen suchen sich ihre Opfer auch nicht zufällig aus, sondern entsprechend ihrer Zielsetzung. Im Falle der Erpressung wird beispielsweise die finanzielle Situation des Opfers recherchiert und das Lösegeld entsprechend angepasst. Bei der Auswahl spielen weder die Branche noch die Größe des Unternehmens oder die Art der Daten eine Rolle.

Das »Business« hat sich also, das ist in der Breite kaum bekannt, stark »professionalisiert«. Ebenso wenig ausgeprägt ist das öffentliche Bewusstsein dafür, wie Hacker vorgehen, um die Computersysteme ihrer Opferunternehmen einzunehmen. Dabei ist dieses Wissen äußerst hilfreich, wenn es darum geht, sich gegen Hackerangriffe zu wappnen.

Bei einer geplanten Erpressung geht es den Hackern schlussendlich darum, die Ransomware möglichst breit gestreut in die Systeme des Unternehmens einzuschleusen. Gestrafft sieht die so genannte »Attack Chain« etwa wie folgt aus:

- Informationsbeschaffung
- Initialer Zugriff
- Ausführung erster Schadsoftware
- Ausbreitung im Firmennetzwerk (IT und OT, Operational Technology)
- Ausführung der Ransomware und Verschlüsselung der Systeme

Der erste Schritt umfasst die Beobachtung des Zielunternehmens und die Sammlung von Informationen. Meist wird dazu nicht nur der Hauptsitz angegriffen, sondern die Niederlassungen im In- und Ausland werden auch gleich attackiert. Der initiale Zugriff erfolgt zwar normalerweise über einen einzelnen Rechner – »richtig spannend« wird es für Cyberkriminelle aber meist erst dann, wenn sie sich in der kompletten IT- und gegebenenfalls auch OT-Umgebung ausgebreitet haben.

Ausgespähte Daten verschaffen Zugang

Für den initialen Zugriff werden zunächst die nötigen Zugangsdaten ausgespäht. Das funktioniert beispielsweise über die bekannten Phishing-Mails, die E-Mails von Unternehmen wie Banken, IT-Dienstleistern oder Kurierdiensten täuschend ähnlich sind. Die Links in den E-Mails führen wiederum zu gefälschten Websites, die Besucher dazu verleiten, sensible Daten anzugeben.

Das Aussehen der kriminellen E-Mails ist immer professioneller geworden; selbst geübten Personen fällt es oft schwer, sie als das zu erkennen, was sie sind. Auch E-Mails der bekannten Karrierenetzwerke sind mittlerweile mit Vorsicht zu genießen – sie können ebenfalls gefälscht sein. Berühmt-berüchtigt sind auch Anrufe vermeintlicher Mitarbeiter großer Softwareunternehmen, die vorgeben, die Systeme aktualisieren und dazu Daten abfragen zu müssen. Eine weitere kriminelle Praxis ist der Kauf kompromittierter Accounts etwa im Darknet.

Schadsoftware nutzt Schwachstellen aus

Eine andere beliebte, weil einfache Methode ist die Verbreitung von Schadsoftware, so genannten Exploits, als unverdächtiger Anhang in einer E-Mail. Beim Öffnen des Anhangs wird die Schadsoftware ausgeführt. Sie findet Sicherheitslücken und nutzt sie aus, womit sich die Hacker im betreffenden Rechner einnisten können.

Eine häufige Methode sind auch Fälschungen bekannter Softwareprodukte, arglistigerweise oft von Antivirensoftware. Entweder enthält die Software die Malware direkt, oder diese wird beim ersten Update heruntergeladen – schließlich ist ein Virenschutzprogramm ja fortlaufend zu aktualisieren. Software sollte daher wirklich nur aus bekannten Quellen bezogen werden.

Oft attackieren Cyberkriminelle auch Firewalls, Systeme zur Erkennung von Eindringlingen (Intrusion Detection Systems) und Systeme zur Abwehr entdeckter Angriffe (Intrusion Prevention Systems) direkt, um sie zu kompromittieren und Zugang zu Computersystemen hinter diesen Schutzmechanismen zu erhalten.

Erschleichen von Administratorrechten

All diese Informationen und Daten helfen den Cyberkriminellen, sich im Unternehmen Zugriff auf weitere Systeme zu verschaffen. Dazu wird meist auch versucht, sich zusätzliche Rechte zu erschleichen, um beispielsweise als vermeintlicher Administrator aufzutreten. Auch dafür gibt es spezielle Software, sogenannte Root Kits.

Dann stehen Tür und Tor offen, die eigentliche Ransomware zu verbreiten und auszuführen – meist unbemerkt von den Mitarbeitern. Sobald eine kritische Zahl von Geräten damit befallen ist, wird die Druckkulisse aufgebaut – entweder über die Androhung der Veröffentlichung der Daten oder durch deren Verschlüsselung, wodurch das Unternehmen lahmgelegt wird. Sozusagen »zur Sicherheit« werden oft beide Wege beschritten.

Schwachstellen-Management als Business-Prozess

In Kenntnis der Methoden von Cyberkriminellen stehen Unternehmen eine Reihe von Schutzmaßnahmen zur Verfügung. Zunächst gilt es, die bestehenden Sicherheitslücken konsequent zu identifizieren und zu schließen, bevor sie von Hackern erkannt und für Cyberattacken ausgenutzt werden können. Dies darf keine einmalige Angelegenheit sein – das Management der Schwachstellen (Vulnerability Management) sollte ein kontinuierlicher Business-Prozess sein. Auf Basis der Ergebnisse regelmäßiger Sicherheits-Audits der IT- und OT-Systeme werden notwendige Maßnahmen entwickelt, umgesetzt und kontrolliert. Wichtige Aspekte sind die Sicherstellung der Qualität und Aktualität der eingesetzten Softwarelösungen, das profunde Management von Zugriffsrechten und die Implementierung einer Sicherheitslösung, die auf dem neuesten Stand der Technik ist.

Als Grundlage empfiehlt sich die Definition einer langfristigen Security Roadmap. Nützliche Handlungsempfehlungen hierzu bieten die weltweit anerkannten »CIS Controls«. Dieses Set von derzeit 18 priorisierten Handlungsschritten wird vom Center for Internet Security (www.cisecurity.org) gepflegt. Es beschreibt, wie sich Unternehmen in Bezug auf Cybersecurity aufstellen sollten.

Bewusstsein für Cybersecurity schaffen

Von großer Bedeutung in diesem Zusammenhang ist auch, das Bewusstsein der Mitarbeiter für Fragen der IT-Sicherheit zu schärfen und zu fördern. Diese Aufmerksamkeit und die Definition der Prozesse für den Schutz vor Cyberangriffen und im Ernstfall die Verteidigung der Systeme sind meist wichtiger als die Technologie, die dafür eingesetzt wird. Unbedingt vermieden werden muss die sogenannte Alert Fatique – angesichts der enormen Zahl sicherheitsrelevanter Meldungen und Warnungen drohen wirkliche Bedrohungen schlicht unterzugehen.

Sehr empfehlenswert ist die Schaffung oder Beauftragung eines Security Operations Center (SOC). Hier fließen alle sicherheitsrelevanten Informationen aller IT- und OT-Systeme zentral zusammen. Das SOC-Team besteht aus Sicherheitsexperten, die rund um die Uhr alle Aktivitäten auf Servern, Websites, in Datenbanken und Netzwerken überwachen mit dem Ziel, mögliche Angriffe so früh wie möglich zu erkennen und abzuwehren.

Bedrohungslage ändert sich ständig

Wichtig für das Verständnis: Auch »die dunkle Seite der IT« arbeitet daran, ihre Methoden weiter zu perfektionieren – die Bedrohungslage ändert sich ständig. Cybersecurity sollte als Business-Prozess gesehen werden, der wie jeder andere Geschäftsprozess im Unternehmen fortlaufend überprüft und an neue Gegebenheiten angepasst werden sollte.

Es ist dabei nicht die Frage, ob ein Cyberangriff erfolgt, sondern nur wann – und technisch gesehen werden Hacker immer in der Lage sein, in das System einzudringen. Das Ziel aller Maßnahmen sollte daher sein, dass es für Cyberkriminelle wegen des zu treibenden Aufwands schlichtweg unrentabel wird, die Systeme zu hacken.

 

Der Autor:
Dr. Oliver Becker ist Vice President IMC bei Arvato Systems. In dieser Rolle verantwortet er die Beziehungen des Unternehmens zu den Kunden der Fertigungsindustrie.