Ransomware: Die Wahrheit hinter den Schlagzeilen

Werbung
Ransomware:
Die Wahrheit hinter
den Schlagzeilen
Die Wahrheit hinter
den Schlagzeilen
Innerhalb kürzester Zeit hat sich Ransomware zu einer der größten Bedrohungen für
Unternehmen in Deutschland entwickelt. Kaum ein Tag vergeht ohne Nachrichten über eine
neue, schlimme Infektion, eine neue Variante oder weitere dringende Warnungen von
Behördenseite. Und doch: Trotz der Ausmaße, die das Problem mittlerweile angenommen hat,
mangelt es den Unternehmen an Bewusstsein dafür und entsprechend auch an Möglichkeiten,
die Angriffe abzuwehren.
Dieser Bericht möchte die Wahrheit hinter den Schlagzeilen aufdecken und genauer
beleuchten, wie ernst die Bedrohung durch Ransomware heute eigentlich ist und was
deutsche Unternehmen tun, um sich davor zu schützen. Daneben liefert der Bericht
IT-Entscheidungsträgern praktische Tipps und Best Practices, mit denen sich das Risiko einer
Infektion verringern lässt und die Systeme im Unternehmen vor der wachsenden Bedrohung
geschützt werden können. Wenn es um Ransomware geht, ist Prävention das A und O.
Ransomware-Varianten
Der Begriff Ransomware bezieht sich auf alle Arten von Malware, die Benutzer aus ihren
IT-Systemen aussperren. Normalerweise sperrt die Malware dazu den Bildschirm oder
Dateien oder verschlüsselt bestimmte Dateitypen. Dem Benutzer wird eine Frist für eine
Lösegeldzahlung gesetzt und versprochen, nach der Zahlung einen Entschlüsselungs-Key
zu senden und/oder den Zugriff auf die Systeme wieder freizugeben.
Dabei gibt es eine unübersichtliche Vielzahl von Varianten, die meisten davon sogenannte
„Crypto-Ransomware“. Dies ist Malware, die Dateien verschlüsselt. Zunächst wurden mit
Ransomware hauptsächlich Privatanwender angegriffen. Sehr schnell erkannten Cyberkriminelle aber, dass sich mit Angriffen auf Unternehmen noch viel mehr Geld machen lässt.
Meist ist es für eine Infektion schon ausreichend, wenn Mitarbeiter einen gefährlichen Anhang
öffnen, auf einen bösartigen Link klicken oder eine manipulierte Webseite besuchen. Das
gesamte Unternehmen kann so zum Stillstand gebracht werden, indem Anwendern der
Zugriff auf geschäftskritische Daten verwehrt wird.
Wie der Bericht zeigt, nimmt das Gefahrenbewusstsein in den Unternehmen zu. Trotzdem
herrscht noch Verwirrung hinsichtlich der Hauptinfektionswege sowie der Best Practices zur
Abwehr von Ransomware-Angriffen. Und leider ist die Bedrohung größer denn je: Rund 40 %
der Befragten in unserer Umfrage gaben an, dass es in ihrer Organisation innerhalb der
letzten zwei Jahre Ransomware-Infektionen gegeben hat. Der Malware ist es dabei vollkommen gleich, ob es sich bei Ihrer Organisation um eine Behörde, ein Krankenhaus, ein
Versorgungsunternehmen oder eine Privatfirma handelt – die Risiken sind dieselben.
„Mit unserer Vorhersage, dass 2016 das Jahr der Cyber-Erpressung werden würde, haben
wir zwar leider Recht behalten – die Ausmaße hätten wir aber nie für möglich gehalten.
Während wir beispielsweise im vergangenen Jahr 29 verschiedene Ransomware-Familien
beobachtet haben, ist dieser Wert nun auf über 79 angestiegen. Wohlgemerkt im ersten
Halbjahr. Für noch gravierender halte ich die Qualität – laut FBI betrug der Schaden durch
Ransomware alleine im ersten Quartal 2016 über 200 Millionen US-Dollar – sowie die
Tatsache, dass zunehmend Firmen im Fokus stehen. Das sehen wir an den Dateitypen,
die verschlüsselt werden, ebenso wie an den Verbreitungswegen.“
- Udo Schneider, Security Evangelist Germany, Trend Micro
Anzahl der monatlich hinzukommenden Ransomware-Familien
Zahl der Ransomware-Familien
25
20
15
10
5
0
JAN.
FEB.
MRZ.
APR.
MAI
JUNI
2015
JULI
AUG.
2016
SEP.
OKT.
NOV.
DEZ.
Quelle: Bericht von TrendLabs zur
Sicherheitslage im 1. Halbjahr 2016, S. 26
Problembewusstsein
Es ist positiv, dass die meisten IT-Entscheidungsträger mittlerweile verstehen, welche Gefahr Ransomware darstellt. Knapp
zwei Drittel (62 %) gaben an, von Ransomware gehört zu haben und deren Vorgehensweise zu kennen, während 27 %
sagten, von Ransomware gehört zu haben, wenn sie auch nicht sicher waren, wie die Bedrohung funktioniert. Nur einer
von zehn Befragten (11 %) hatte noch nie von Ransomware gehört.
Rund 77 % Prozent aller Befragten betrachten Ransomware zu Recht als Bedrohung für ihr Unternehmen, aber 23 %
immer noch nicht. Unternehmen, die diese Bedrohung unterschätzen, setzen sich einem höheren Infektionsrisiko aus.
Wenig überraschend: 93 % der Befragten, deren Unternehmen in den letzten zwei Jahren infiziert wurden, sehen Ransomware als ernste Bedrohung. Im Gegensatz dazu sind es bei den Befragten ohne Erfahrungen mit Ransomware nur 63 %.
Halten Sie Ransomware für eine Bedrohung
für Ihr Unternehmen?
25 %
52 %
21 %
Nein, nicht wirklich.
Ja, absolut.
3%
Nein, überhaupt nicht.
Ja, in gewisser Weise.
IT-Entscheidungsträger müssen die Auswirkungen von Ransomware verstehen, bevor es tatsächlich zu einem Angriff kommt.
Eine Infektion bringt nicht nur die Produktivität der Mitarbeiter vollständig zum Erliegen, sondern hat auch schwerwiegende
finanzielle Auswirkungen, die mit der Wiederherstellung und Säuberung einhergehen. Eine größere Infektion und die damit
verbundene Serviceunterbrechung können sich negativ auf die Marke und das Image auswirken – mit langfristigen Folgen.
Insbesondere für Unternehmen in stark umkämpften Branchen kann dies fatal sein.
Auswirkung
Die Studie kommt zu dem Ergebnis, dass 40 % der großen deutschen Unternehmen in den vergangenen 24 Monaten
von Ransomware betroffen waren. Ein Viertel (23 %) wurde sogar mehr als einmal davon heimgesucht. Bei kleineren
Firmen ist die Wahrscheinlichkeit, angegriffen zu werden, höher: 44 % der IT-Entscheidungsträger in Unternehmen
mit weniger als 10.000 Mitarbeitern berichten von einer Ransomware-Infektion, während es bei Firmen mit mehr als
10.000 Mitarbeitern nur 29 % sind.
Gab es in Ihrem Unternehmen in den vergangenen
24 Monaten eine Ransomware-Infektion?
40 % ja
•
•
•
•
0
46 % nein
14 % nicht sicher
17 % einmal
13 % zweimal
6 % dreimal
3 % häufiger als dreimal
10
20
30
40
50
60
70
80
90
100%
Ransomware wirkt sich sowohl auf die inneren als auch auf die äußeren Abläufe eines Unternehmens aus. Die
Befragten, die in den vergangenen zwei Jahren eine Ransomware-Infektion erleben mussten, gaben an, dass ein
Drittel ihrer Mitarbeiter und geschätzte 31 % ihrer Kunden betroffen waren. Darüber hinaus dauerte es im Schnitt
geschätzte 29 Arbeitsstunden, um die verursachten Schäden zu beheben.
46 % der IT-Entscheidungsträger sind zwar bisher von einer Ransomware-Infektion verschont geblieben, doch
diese Zahl sinkt stetig. Angesichts einer Bedrohung diesen Ausmaßes und eines entschlossenen Gegners, der
über das Internet agiert, dürfen wir uns jetzt nicht entspannt zurücklehnen.
„Egal, ob kleines oder großes Unternehmen: Unterschätzen Sie die
Auswirkungen eines Ransomware-Angriffs nicht. Ransomware hat bewiesen,
dass sie ganze Unternehmen in ihrem Griff halten kann.“
- Udo Schneider, Security Evangelist Germany, Trend Micro
Forderungen und Reaktionen
Wie viel kostet Ransomware deutsche Unternehmen genau? Wenn Cyberkriminelle ein Unternehmen ins Fadenkreuz
nehmen, passen sie ihre Forderungen meist an die Art und Größe des Ziels an. Bei einem Krankenhaus kann die
Forderung zum Beispiel höher ausfallen, denn die Angreifer wissen, wie wichtig die reibungslose Funktion der
Systeme ist. In ihrer Verzweiflung sind Verantwortliche hier oftmals bereit, ein höheres Lösegeld zu zahlen.
Laut den Aussagen der Befragten in dieser Studie beträgt die durchschnittliche Forderung 524 Euro. In 13 % der Fälle
waren es allerdings über 1.000 £. Meistens (in 83 % der Fälle) wird den Betroffenen eine Zahlungsfrist gesetzt, die im
Durchschnitt bei 20 Stunden liegt.
Zahlen oder nicht, das ist die Frage
Drei Viertel der befragten IT-Entscheidungsträger, die bislang noch keinerlei Erfahrungen mit RansomwareInfektionen gemacht haben, würden nach eigener Aussage niemals Lösegeld zahlen. Bei den tatsächlich von einer
Infektion Betroffenen haben jedoch letztendlich 60 % gezahlt. Angesichts dieser hohen Erfolgsrate überrascht es
nicht, dass Ransomware mittlerweile eine der beliebtesten Angriffsmethoden von Cyberkriminellen ist, die das
schnelle Geld machen wollen.
Hat Ihr Unternehmen jemals
das geforderte Lösegeld gezahlt?
35 %
Ja, und wir haben
unsere Daten
zurückbekommen.
26 %
Ja, aber wir haben
unsere Daten nicht
zurückbekommen.
40 %
Nein, wir
haben das Lösegeld
nicht gezahlt.
Warum zahlen Unternehmen?
Die vier wichtigsten Gründe
32%
32%
25%
25%
Hochvertrauliche
Daten
Wir brauchten
dringend Zugriff
auf die Dateien
Angst vor
Rufschädigung
aufgrund
verlorener Daten
Die Lösegeldsumme
war niedrig genug,
um nicht weiter ins
Gewicht zu fallen
Trotz allem raten wir deutschen Unternehmen, das Lösegeld AUF KEINEN FALL zu bezahlen. Ein Grund ist, dass Sie
unter Umständen trotzdem nicht mehr auf Ihre Daten zugreifen können. In der Regel händigen die Hacker einen
Entschlüsselungs-Key aus, da sie andernfalls ihr Geschäftsmodell ruinieren würden. Es läuft aber nicht immer alles nach
Plan: Etwa 26 % der Befragten in der Studie erhielten ihre Daten nicht zurück, obwohl sie das Lösegeld gezahlt hatten.
Statt zu zahlen, sollten sich Unternehmen an die Behörden wenden. 72 % der IT-Entscheidungsträger taten dies nach
einem Vorfall auch, aber in weniger als einem Drittel aller Fälle konnten die Behörden helfen.
„Mit unserer Vorhersage, dass 2016 das Jahr der Cyber-Erpressung werden würde, haben wir zwar leider
Recht behalten – die Ausmaße hätten wir aber nie für möglich gehalten. Während wir beispielsweise im
vergangenen Jahr 29 verschiedene Ransomware-Familien beobachtet haben, ist dieser Wert nun auf über
79 angestiegen. Wohlgemerkt im ersten Halbjahr. Für noch gravierender halte ich die Qualität – laut FBI
betrug der Schaden durch Ransomware alleine im ersten Quartal 2016 über 200 Millionen US-Dollar –
sowie die Tatsache, dass zunehmend Firmen im Fokus stehen. Das sehen wir an den Dateitypen,
die verschlüsselt werden, ebenso wie an den Verbreitungswegen.“
- Udo Schneider, Security Evangelist Germany, Trend Micro
Empfehlungen
Die gute Nachricht lautet: Deutsche Unternehmen können einiges tun, um das Risiko einer Ransomware-Infektion zu
mindern bzw. die Folgen besser zu bewältigen, sollte der Fall der Fälle tatsächlich eintreten. Hier sind unsere Empfehlungen:
Dateisicherung
Das ist die sicherste Methode, um Ransomware-Angriffe unwirksam zu machen. Fast alle Befragten (97 %)
wenden automatisierte Sicherungs- und Wiederherstellungstools an. Allerdings muss das regelmäßig getan
werden. Nur etwas mehr als die Hälfte (56 %) gaben an, dies zu tun. Dagegen haben 41 % ihre kritischen
Dateien zuletzt vor mehr als zwei Jahren gesichert.
Trend Micro empfiehlt einen Sicherungsrhythmus nach dem 3-2-1-Prinzip:
Mindestens drei Kopien in zwei unterschiedlichen Formaten, von denen
eine Kopie außerhalb des Standorts/offline aufbewahrt wird.
3
2
1
Kopien der
Sicherungsdateien
Kopien in unterschiedlichen
Formaten
Kopie außerhalb/offline
Sensibilisierung der Anwender
Wenn es um Cybersicherheit geht, sind die Mitarbeiter die größte Schwachstelle im Unternehmen. Gleichzeitig
bilden sie die vorderste Verteidigungslinie. Stärken Sie diese Verteidigungslinie, indem Sie Ihre Mitarbeiter sensibilisieren, sodass sie keine verdächtigen Anhänge öffnen und nicht auf Links in unerwünschten E-Mails klicken.
Über die Hälfte der IT-Entscheidungsträger (53 %), mit denen wir gesprochen haben, betreiben ein Schulungsprogramm. Bei 47 % der Befragten gibt es noch keines, aber 37 % dieser Gruppe haben vor, ein Schulungsprogramm einzuführen.
Anwendungskontrolle
Durch das Whitelisting von Anwendungen können Sie das Risiko, dass Ransomware über bösartige Anwendungen
in Ihr Unternehmen gelangt, verringern. Fast alle IT-Entscheidungsträger (93 %) haben teilweise oder vollständige Kontrolle über die Anwendungen, die Mitarbeiter auf ihren Geräten installieren können – eine bewährte
Präventionsmaßnahme.
Netzwerksegmentierung
Dies kann das Ausmaß eines Angriffs minimieren, da etwaige Infektionen eingegrenzt werden können.
Makros deaktivieren
Bösartige Makros gehören zu den häufigsten Übertragungswegen von Ransomware. Durch Deaktivierung dieser
Funktion lässt sich das Infektionsrisiko für bestimmte Ransomware-Varianten also mindern.
Mehrstufiger Schutz
Vergessen Sie nicht, dass Ransomware-Angreifer diverse Angriffswege nutzen können! Daher sollten Sie sich für
einen Sicherheitsanbieter entscheiden, der Ihnen einen mehrstufigen Schutz liefern kann, und zwar auf Web-,
E-Mail-Gateway-, Endpunkt-, Netzwerk- und Serverebene. Der Schutz auf Netzwerkebene ist besonders wichtig,
da Sie darüber alle Ports und zahlreiche Protokolle überwachen und Ransomware sowie damit verbundene
Angriffe wie Zero-Day-Exploits, C&C-Datenverkehr und laterale Ausbreitung erkennen können.
„Es gibt kein Wundermittel gegen Ransomware. Unternehmen sollten auf einen
risikobasierten Sicherheitsansatz mit Threat-Modelling setzen, um Schwachstellen
aufzudecken (Mitarbeiter, Prozesse und Technologien), und Bedrohungsdaten nutzen,
um aktuelle und neue Bedrohungen anzugehen.“
- Udo Schneider, Security Evangelist Germany, Trend Micro
Fazit
Ransomware verursacht massive Infektionen, die Serviceausfälle, finanzielle Verluste, Produktivitätseinbußen und
Rufschädigung zur Folge haben. Ein Ende ist nur in Sicht, wenn Unternehmen die Lösegeldzahlungen einstellen oder
Maßnahmen ergreifen, damit sich Infektionen erst gar nicht ausbreiten können. Doch damit kann in nächster Zukunft
wohl nicht gerechnet werden.
51 %
Es gibt aber auch gute Nachrichten: Mit einigen wenigen
Best Practices können sich Unternehmen in der Regel
ausreichend vor einer Infektion schützen.
der IT-Entscheidungsträger glauben,
dass ihre Organisation in den nächsten 12 Monaten
von Ransomware angegriffen wird.
Für die Cyberkriminellen geht ihre Strategie bisher perfekt
auf. Aber sie konzentrieren sich auf schnelle und einfache
Gewinne, indem sie auf Unternehmen abzielen, die sich
nicht ausreichend schützen und damit quasi den Weg des
geringsten Widerstands darstellen. Setzen Sie die
Empfehlungen aus diesem Bericht um. Dann wird es für
Hacker zwecklos, Ihr Unternehmen ins Visier zu nehmen.
„Leider wird sich Ransomware in absehbarer Zeit nicht in Luft auflösen – dazu ist sie zurzeit
einfach zu rentabel. Die Cyberkriminellen werden immer raffiniertere und kreativere Wege
finden, um Geld von ihren Opfern zu erpressen. Trotzdem können Unternehmen
die Notwendigkeit einer Lösegeldzahlung minimieren, indem sie zunächst ihre Mitarbeiter
über die Risiken von Ransomware aufklären und darüber hinaus einen mehrstufigen
Sicherheitsansatz implementieren, der auf optimale Risikoabwehr ausgelegt ist.“
- Udo Schneider, Security Evangelist Germany, Trend Micro
Sie möchten erfahren, wie Sie Ihr Unternehmen vor Ransomware schützen können?
Dann besuchen Sie
www.trendmicro.de/enterprise-ransomware
Verfahren: Trend Micro hat das Marktforschungsunternehmen Opinium beauftragt, 304 IT-Entscheidungsträger in deutschen Unternehmen mit über 1.000 Mitarbeitern zu befragen.
Diese Befragungen wurden zwischen dem 29. Juli und dem 8. August 2016 online durchgeführt.
Herunterladen