BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Dienstag, 30. April 2019

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet aktuell einen besorgniserregend hohen Anstieg von Systemangriffen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden.

Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der betroffenen Unternehmen.

Laut BSI versuchen die Angreifer dabei etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus. Dabei komme es teilweise zu erheblichen Störungen der Betriebsabläufe.

Durch dieses aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen seien zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen.

„Auch kleine IT-Sicherheitsvorfälle ernst nehmen“

"Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann. Nur wenn wir Informationssicherheit als Voraussetzung der Digitalisierung begreifen, werden wir langfristig von ihr profitieren können. Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz für Cyber-Sicherheit unterstützen. IT-Sicherheit muss zum neuen Made in Germany in der Digitalisierung werden", so BSI-Präsident Arne Schönbohm.

Bei dem beschriebenen Szenario werden prinzipiell keine neuartigen Angriffstechniken verwendet. Dennoch, warnt das BSI, waren derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Hierbei seien insbesondere die folgenden drei Aspekte zu berücksichtigen:

1. Jede einfache Infektion kann zu einem gezielten Angriff führen

Da die Angreifer sich zunächst über groß-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, könne jede Primär-Infektion (z.B. mit "Emotet") später weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern.

2. Es droht ein kompletter Datenverlust

Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuteten diese manuell ausgeführten Angriffe einen deutlich höheren Arbeitsaufwand für die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese nicht mehr zur Wiederherstellung der Systeme zur Verfügung stünden, können die Angreifer wesentlich höhere Lösegeldbeträge fordern. Unternehmen, die über keine Offline-Backups verfügen, verlören bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI seien mehrere Fälle bekannt, bei denen die Verschlüsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben.

3. Gefahr für deutsche Unternehmen steigt

Das BSI beobachte einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet.

Wie kann ich mein Unternehmen schützen?

1.
Schutz vor Primär-Infektionen

Sehen Sie sich hierzu die Empfehlungen des BSI zu "Emotet" an.

2. Überprüfung von Verbindungen von Dienstleistern zu Kunden

Unternehmen, die eine Malware-Infektion erlitten haben, sollten Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten Absenderadressen Ihrer Organisation hinweisen.

Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst z.B. über existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.

3. Schutz vor Ransomware

Grundsätzlich gilt: Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen. Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.

Quelle:

Pressemitteilung des BSI vom 24.04.2019: BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen