"Gegen Cyberangriffe ist Prävention unverzichtbar."

Hackerangriffe auf kleine und mittlere Unternehmen (KMU) nehmen stark zu. Cyberkriminelle entwickeln laufend neue Schadprogramme, die existenzbedrohende Auswirkungen haben können. Besonders lukrativ für Hacker ist Erpressersoftware, die sogenannte Ransomware, die Daten verschlüsselt und für deren Freigabe ein Lösegeld einfordert. Cybersecurity-Experte Peter Lachenmair erklärt im DMB-Interview, was eine Ransomware-Attacke ausmacht und wie sich Unternehmen bestmöglich schützen können.

DMB: Sehr geehrter Herr Lachenmair, die Datenverschlüsselungen durch Ransomware haben in letzter Zeit stark zu genommen. Was sind aus Ihrer Sicht die Gründe für diesen Anstieg?

Lachenmair: Der Grund liegt in der Einfachheit und Effektivität dieser Methode, mit der bei geringem Aufwand viel Geld gemacht werden kann. Begünstigt wird das Phänomen Ransomware sicherlich auch durch das vermehrt auftretende Arbeiten aus dem Home-Office, wodurch neue Angriffspunkte entstanden sind. Cyberkriminelle profitieren allgemein von mangelhaften IT-Sicherheitsstrukturen – gerade bei KMU. Auch sind die Mitarbeiter häufig nicht ausreichend geschult und sensibilisiert. Bei der Erpressung von Lösegeld spielt es den Angreifern zudem in die Karten, dass Transaktionen über Kryptowährungen anonym vollzogen werden können. Ein weiterer Punkt für den Anstieg ist die Automatisierung der Attacken mithilfe von intelligenten Algorithmen und Deep Learning*.

Können Sie bitte einmal skizzieren, was Ransomware ausmacht und wie ein Angriff abläuft?

Ransomware versucht sich im angegriffenen Netzwerk zu verbreiten und den Zugang zu Daten zu blockieren. Das bekannteste Szenario ist die Festplattenverschlüsselung. Das Verfahren ist mittlerweile sehr professionell und wird fortwährend optimiert. Die Betroffenen wenden sich an die Angreifer, diese beweisen häufig anhand der Freigabe von einigen Dateien, dass sie in der Lage sind die Daten wieder zu entschlüsseln. Häufig kommt es dann dazu, dass die Betroffenen das geforderte Lösegeld zahlen. In manchen Fällen befand sich die Ransomware bereits eine längere Zeit im angegriffenen Netzwerk und hat auch Back-ups bereits infiziert.

Welche Angriffsvektoren gibt es? Wie wird die Schadsoftware eingeschleust?

Der verbreitetste Angriffsvektor ist nach wie vor die E-Mail. Darüber nötigt man den Nutzer letztlich zu einer Aktion. Die klassischen Phishing-Mails werden automatisiert an etliche Postfächer verschickt. Hinzu kommt das sogenannte „Spear-Phishing“. Hierbei wird eine individualisierte E-Mail generiert, die sehr echt wirkt und sich gezielt an der Realität des Empfängers orientiert. Diese E-Mails beziehen sich häufig auf Dokumente oder Kontakte des Unternehmens. Bei der Erkennung von Spear-Phishing-Attacken haben natürlich auch Phishing-Filter ihre Probleme, sodass letztendlich der Mensch die Entscheidung treffen muss. Leider werden in vielen Fällen die E-Mails als echt eingestuft und deren gefährliche Anhänge angeklickt.  

Sind gute Datensicherungssysteme in der Lage, den Schaden im Falle eines Angriffs auf ein Minimum zu reduzieren?

Ein gutes Datensicherungssystem ist in jedem Fall unerlässlich. Leider kommt es jedoch inzwischen vermehrt vor, dass Hacker mit der Veröffentlichung von Daten drohen. Das passiert unter anderem dann, wenn mit der Entschlüsselung kein Lösegeld erzielt werden konnte, da das Unternehmen möglicherweise ausreichende Back-ups hat. Die Daten werden dann nach „Kronjuwelen“ durchsucht, die entweder dem Unternehmen schaden oder die Konkurrenz stärken. Man sollte sicherlich auch berücksichtigen, dass mit einer Attacke, die häufig presseseitig aufgegriffen wird, ein erheblicher Reputationsverlust einhergehen kann. Kunden und Geschäftspartner sorgen sich um ihre eigenen Systeme und es entsteht ein großer Vertrauensverlust.

Welche Strategien sind notwendig, damit es erst gar nicht zu einer Attacke kommt?

Gegen Cyberangriffe aller Art ist Prävention unverzichtbar. Das IT-System sollte ständig überprüft und auf dem aktuellen Stand gehalten werden. Regelmäßige Updates und Patches sollten selbstverständlich sein. Das gilt auch für Phishing-Filter und Firewalls. Zudem empfiehlt es sich einen guten IT-Informations- und Notfallplan aufzustellen. Das schafft eine gute Übersichtlichkeit über den Zustand des Systems und den erforderlichen Maßnahmen. Letztlich ist aber die Sensibilisierung der Mitarbeiter eine der wichtigsten Säulen. Trotz modernster IT-Sicherheitsinfrastruktur ist ein hundertprozentiger Schutz nie gegeben. Schadsoftware wird auch in Zukunft irgendwann beim Benutzer landen. Daher ist dort – beim Mitarbeiter – der Stärkungseffekt am größten. Es wird davon ausgegangen, dass 90% aller Cybervorfälle durch menschliche Fehler entstanden sind. Gleichzeitig ist der gesunde Menschenverstand immer noch eine der besten Schutzmaßnahmen.

Wie kann das Schutzniveau innerhalb der Belegschaft erhöht werden? Wie schafft man es, die Mitarbeiter ausreichend zu sensibilisieren?

Regelmäßige Awareness-Schulungen sind das effektivste Mittel gegen Ransomware-Attacken. Die Regelmäßigkeit ist hier besonders wichtig, da sich die Methoden ständig verändern. Zusätzlich sollte man auch in Erwägung ziehen, einen Dienstleister in Anspruch zu nehmen, der Phishing-Tests durchführt. Nur so kann der Schulungsbedarf gut ermittelt werde. Mithilfe einer simulierten Phishing-Attacke lässt sich herausfinden, wie viele Mitarbeiter tatsächlich die E-Mails anklicken oder auf Fake-Websites ihre Benutzerdaten eingegeben. Grundsätzlich lässt sich sagen, dass die Werte bei solchen Tests besser werden, aber immer noch auf einem zu hohen Level sind. Besonders wichtig ist es, dass der positive Trainingseffekt in den Vordergrund gerückt werden sollte, anstatt die Mitarbeiter für ihre Fehler zu rügen.

Neben der menschlichen Kompetenz ist auch eine gute IT-Sicherheitsinfrastruktur zentral, um Ransomware-Attacken abzuwehren. Wie kann diese auch durch KMU kostengünstig umgesetzt werden?

Häufig ist es natürlich so, dass KMU angesichts des Fachkräftemangels und geringer Budgets, nicht die Ressourcen haben, sich eine IT-Sicherheitsabteilung mit Spezialisten vorzuhalten. Jedes Unternehmen sollte sich daher zunächst in einer Selbstanalyse fragen, was man stemmen kann, was man stemmen möchte und wofür man externe Partner suchen muss. Mittlerweile lassen sich fast alle Bereiche über Managed Services** auslagern. Dadurch kann das Sicherheitsniveau im Unternehmen auch ohne IT-Fachkräfte erhöht werden. Zudem ist es kostengünstiger und kalkulierbarer und man greift auf einen extrem breiten Wissensschatz zurück. Dezentrale Dienstleister können hunderte Unternehmen auf einem Niveau schützen, welches ein einzelnes Unternehmen niemals betriebsintern erreichen könnte.

Welche Entwicklungen erwarten Sie im Bereich der Ransomware in den kommenden Monaten und Jahren?

Deep Learning und intelligente Algorithmen werden die Angriffe in der Breite vereinfachen und vermehren. Das ist vergleichbar mit den Spam-Mails vor 20 Jahren. Irgendwann war auch dort eine Automatisierung möglich, wodurch das Ausmaß viel größer wurde. Letztlich werden die Verteidiger den Angreifern immer hinterherlaufen müssen. Es gibt nun einmal diese zeitliche Lücke bis auf neue Entwicklungen auch eine Sicherheitslösung gefunden wird. Diese Lücke kann man nur durch den menschlichen Verstand schließen.

Vielen Dank für das Gespräch!

*Deep Learning ist eine spezielle Methode der Informationsverarbeitung und ein Teilbereich des Machine Learnings. Deep Learning nutzt neuronale Netze, um große Datensätze zu analysieren.

**Managed Services sind IT-Dienstleistungen, bei denen Anbieter die Verantwortung für die Bereitstellung einer definierten Reihe von Dienstleistungen für ihre Kunden übernehmen und verwalten.