Im Januar 2021 verkündeten die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und das Bundeskriminalamt (BKA) das Ende einer der weltweit gefährlichsten Schadsoftware. Allein in Deutschland hatte der Trojaner Emotet bis dahin einen Schaden von mindestens 14,5 Millionen Euro verursacht. Ob das Klinikum Fürth, das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben (BImA) oder die Stadt Frankfurt am Main: Der König der Schadsoftware spähte gespeicherte Passwörter aus oder verschlüsselte Systeme, um von seinen Opfern Geld zu erpressen.
Jetzt drohen neue Angriffe, denn Emotet scheint zurückgekehrt zu sein. So warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte November 2021. „Nach übereinstimmenden Berichten wurde bereits der Versand von Spam-Mails zur weiteren Verbreitung der Schadsoftware über ein neues Emotet-Botnetz bestätigt. Es könnte laut BSI wieder zu „Kompromittierungen von Netzwerken von Behörden und Unternehmen kommen, bei denen von den Tätern nachfolgend Ransomware zur Verschlüsselung von Daten ausgerollt wird.“
Digitale Pandemie durch Ransomware
Emotet ist allerdings nur die Spitze eines Eisbergs. Täglich fluten zigtausende mit Schadcode identifizierte Webseiten das Internet. Und in einem aktuellen Bericht stellt der Cyberversicherer „Allianz Global Corporate & Specialty“ fest, dass während der Covid-19-Krise eine „digitale Pandemie durch Ransomware“ ausgebrochen sei. Cyberangriffe auf Unternehmen, die Daten und Systeme verschlüsseln und für die Freigabe ein Lösegeld verlangen, würden weltweit zunehmen. „Die Zahl der Ransomware-Angriffe könnte sogar noch zunehmen, bevor sich die Lage bessert“, sagt Scott Sayce, Global Head of Cyber bei AGCS.
Mitte November 2021 traf es den weltgrößten Windturbinenhersteller Vestas. Der Wert der Aktie fiel nach Bekanntwerden des Angriffs um rund vier Prozent. In welchem Umfang die Angreifer Daten abziehen konnten, bleibt unklar. Einer der spektakulärsten Ransomware-Angriffe fand zwei Wochen vor der Vesta-Attacke auf IT-Systeme von MediaMarkt statt. Die Lösegelderpresser forderten zunächst 240 Millionen US-Dollar. Rund 3.000 Server des Händlers waren von dem Angriff betroffen. Zwar funktionierte der Online-Verkauf weiter, aber an den Kassen in den betroffenen Filialen konnten die Kunden nicht mit Kreditkarten bezahlen und die Kassierer keine Quittungen drucken. Zunächst war unklar, ob die Angreifergruppe „Hive“ Daten nicht nur verschlüsselt, sondern vorher gestohlen haben. „Die Hive-Gruppe fährt einen dualen Ansatz. Bevor sie verschlüsseln, stehlen sie die Daten und bieten sie über ihre eigene Website Hiveleaks sogar kostenlos an“, sagt Clemens Schulz, Experte für Desktop-Security von Rohde & Schwarz Cybersecurity. Das führe dazu, dass die gehackten Unternehmen schneller handeln müssen als bei der reinen Verschlüsselung von Daten.
Datenverkauf im Darknet
Der Trend zum Abziehen der Daten erhöht dagegen den Druck der Angreifer auf die attackierten Unternehmen. Wenn sie sensible, personenbezogene Informationen oder geheime Strategiedokumente veröffentlichen oder verkaufen, sind die Folgen für die angegriffenen Unternehmen noch höher als bei der reinen Verschlüsselung von Daten. Die Stadt Witten war Mitte Oktober von einem IT-Angriff betroffen. Die Stadtverwaltung war nicht erreichbar. Einen Monat später tauchten dann Daten im Darknet auf, die die Angreifer beim Angriff abgezogen hatten. In einer Videobotschaft sagte der Bürgermeister der Stadt Witten, „man bemühe sich da, wo besonders sensible Daten betroffen sind, die Menschen direkt zu kontaktieren“. Dies sei nicht einfach, da die Daten aus einer Vielzahl von Textdokumenten bestehen würden. Solche Daten können allerdings personenbezogene Informationen enthalten, die über reine Kundendaten wie im Fall von MediaMarkt hinausgehen. „In den USA hat ein Healthcare-Unternehmen bei Hive angebissen. Dabei sind Patientendaten abgegriffen worden, was weitaus kritischer sein kann als Namen und Adressen von Kunden“, sagt Schulz.
Warum gelingt es Angreifern immer wieder in IT-Systeme ihrer Opfer einzudringen, obwohl sich der weitaus größte Anteil der Unternehmen inzwischen laut diversen Befragungen mit Antivirus-Software und Firewalls schützt. „Die Bedrohung Internet wird immer noch viel zu selten gesehen“, warnt der Security-Experte von Rohde & Schwarz Cybersecurity. „Rein reaktive Ansätze wie ein Proxy reichen nicht aus. Unternehmen brauchen einen proaktiven Schutz, was Emotet schon gezeigt hat. Solche Baukasten-Malware verändert sich ständig. Es reicht schon eine kleine Komponente aus, damit Antiviren-Scanner vielleicht auch nur kurzfristig die Malware nicht mehr erkennen.“
Gesperrte Internetzugänge senkt Produktivität
Unternehmen brauchen einen anderen konzeptionellen Ansatz, um den Bedrohungen zu begegnen. Den Internet-Zugang aus Angst vor Angriffen ganz zu verbieten, kann keine Alternative sein, wie die aktuelle Techconsult-Studie „Sichere Internetnutzung in KRITIS-Unternehmen“ im Auftrag von Rohde & Schwarz Cybersecurity zeigt. Mehr als ein Viertel der Unternehmen, die zu den kritischen Infrastrukturen zählen, schränken die Internetnutzung ein. Unter anderem sperren sie Flash, ActiveX oder JavaScript. Dadurch können Mitarbeiter von 40 Prozent der befragten Unternehmen nur noch wenige relevante Internetseiten für ihre Arbeit nutzen.
Eine Schutzmaßnahme mit proaktivem Ansatz sind virtuelle Browser, die vor die Standard-Webbrowser wie Safari, Firefox oder Chrome geschaltet werden. Sie schließen die Sicherheitslücke Internet, indem sie eine digitale Quarantäne für Hackerangriffe aufbauen. Solche Browser bieten im Wesentlichen zwei Sicherheitsfunktionen. Sie identifizieren verseuchte Webseiten oder Webseitenelemente wie Bilder oder Links bevor ein Nutzer auf die Website klicken kann. Die Ransomware-Software wird isoliert, bevor sie ausgeführt werden kann. Dieser Mechanismus schützt auch vor Angriffen via E-Mail-Anhängen oder Webkonferenzen mit Mikrofonnutzung und Webcam-Unterstützung.
Zugang zu Internet und Intranet trennen
„Da sich die Angriffsvektoren aber ändern, gehen Lösungen wie der Browser in Box einen Schritt weiter. Sie isolieren den Rechner auf Netzwerkebene, so dass mögliche Schadsoftware vom restlichen Rechner ferngehalten wird“, erklärt Schulz. Zusätzlich werde auf Netzwerkebene der Zugang zum Internet vom Intranet getrennt. Aufgrund der Zwei-Browser-Strategie habe der Rechner über den üblichen Browser nur noch Zugriff auf das Intranet. Ins Internet könne der Nutzer aber nur über den virtuellen Browser. „Dadurch wird verhindert, dass sich grundsätzlich keine Malware an eine zentrale Stelle zurückmelden kann, um weitere Befehle zu erhalten – einschließlich des Runterladens des eigentlichen Angriffs“, so Schulz. Damit bleibe die Schadsoftware quasi dumm und kann nichts mehr machen. „Und es kann dadurch einfach kein Datendiebstahl stattfinden.“
Auch wenn Unternehmen eine Lösung wie Browser in the Box installieren, können sie nicht komplett auf Antiviren- und Firewall-Systeme verzichten. Antiviren-Lösungen erkennen klassische Viren, die virtuelle Browser nicht rausfiltern können. Laut Security-Experte Schulz können Unternehmen aber die Komplexität ihrer Security-Lösungen reduzieren. „Manche haben mehrere Antiviren-Lösungen installiert, um die Sicherheit zu erhöhen. Häufig führt dies aber zu erheblichen Performance-Verlusten beim Surfen. Mit dem virtuellen Browser verringert sich die Performance dagegen je nach Alter des Rechners nur um durchschnittlich zehn Prozent – die Sicherheit steigt gleichzeitig jedoch erheblich.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…