„Ransomware ist der Kokainhandel des 21. Jahrhunderts“

Robert Lamprecht ist Director IT-Advisory / Cybersecurity bei KPMG Österreich. Im Interview erklärt er, wie sich Ransomware verbreitet und mit welchen Geschäftsmodellen die Cyberkriminellen agieren.

Robert Lamprecht: Ransomware hat sich zu einer Art „Pandemie in der Pandemie“ entwickelt. Das Phänomen gibt es schon länger. Ransomware hat sich historisch entwickelt – Ursprung ist beispielsweise Scareware in Verbindung mit dem Blockieren des Bildschirms. In den Anfängen ging es den Hackern um Ruhm, Anerkennung und Heldentum nach dem Motto „Seht, ich habe das System geknackt.“ In den letzten Jahren hat sich das stark kommerzialisiert. Ransomware-Angreifer haben ihre Methode professionalisiert und erhöhen nun den Druck durch Erpressung. Sie kombinieren die Verschlüsselung von Daten mit der Drohung, die Daten auf öffentlichen Websites zu veröffentlichen.

Lamprecht: Die Einfallstore sind vielfältig. Ein aktuelles Beispiel ist die Log4Shell-Schwachstelle, die auch von staatlichen Akteuren ausgenutzt wird. Grundsätzlich sehen wir drei große Kategorien, wie Ransomware auf Geräte und Systeme gelangt. Erstens über nach außen verfügbare Anwendungen wie SharePoint oder Citrix, zweitens über Phishing-Mails und drittens über externe Remote-Services über Remote-Desktop-Protokolle. Die Corona-Pandemie hat hier die Angriffsfläche dramatisch vergrößert.

Es gibt klare Hinweise darauf, dass Remote-Arbeit das Risiko eines erfolgreichen Ransomware-Angriffs deutlich erhöht. Gründe dafür sind schwächere Sicherheitsstandards der Heim-IT und die höhere Wahrscheinlichkeit, dass Mitarbeiter aufgrund von Ängsten vor Covid-19 Ransomware-Köder-E-Mails anklicken. Mailings mit Infos zu Impfstoffen, Masken oder finanziellen Angeboten sind weitverbreitet. Security-Awareness-Schulungen für die Mitarbeiter sind daher ein klares Muss.

Lamprecht: Die Angreifer gehen mehrstufig vor. Nachdem sie über eine Schwachstelle auf das Gerät gelangt sind, haben sie den initialen Fußabdruck hinterlassen und schaffen die Basis für die weitere Infizierung der Geräte und Systeme. Sie agieren zu Beginn meist noch versteckt und laden die Funktionen der Schad-Software in kleinen Paketen Schritt für Schritt auf das System. Diese Update-Pakete werden von der Antiviren-Software nur sehr selten erkannt.

Lamprecht: Im nächsten Schritt spioniert die Ransomware das System gezielt aus und sucht nach weiteren Schwachstellen wie fehlenden Patches oder frei verfügbaren Anmeldeinformationen von Adminis-tratoren, die beispielsweise im Cache offen gespeichert sind. Ziel ist es, die Berechtigungen über die normalen Benutzerrechte hinaus zu erweitern und damit noch tiefer in den Kern der Systeme einzudringen beziehungsweise die Schad-Software weiter zu verteilen, um Persistenz zu erreichen und den Reboot zu überleben.

Hat sich die Ransomware tief im System eingenistet, gibt es viele Optionen für die Angreifer: Sie können Daten stehlen und veröffentlichen, Backdoors für spätere Angriffe einrichten oder Daten verschlüsseln, um Lösegeld zu erpressen. In der Regel vergehen zwischen dem Eindringen ins System und dem Auslösen der Verschlüsselungs-Ransomware zwei bis sechs Monate. Letzteres geschieht etwa über einen Timer mit Datum und Uhrzeit oder wenn eine neue Domain erstellt wird.

Lamprecht: Wir stellen in den letzten beiden Jahren eine starke Professionalisierung und Kommerzialisierung in der Szene fest. Es ist zu vermuten, dass Staaten, die etwa einem Handelsembargo unterliegen, mithilfe von Ransomware-Angriffen an Devisen kommen wollen. Geschätzte 60 Prozent der Attacken entstammen der Kategorie Ransomware as a Service, 20 Prozent von Ransomware-Gruppen wie Maze, Conti oder REvil, die restlichen 20 Prozent sind schwer zuzuordnen. In unserer jüngsten „KPMG Cyber Security“-Studie aus dem Jahr 2021, die wir gemeinsam mit dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrum Sicheres Österreich (KSÖ) durchgeführt haben, haben wir auch gesehen, dass staatliche Akteure auf dem Vormarsch und nur sehr schwer von kriminellen Organisationen zu unterscheiden sind.

Ist die Ransomware erfolgreich auf dem Zielobjekt installiert, folgt die Erpressung, meistens in vier Stufen: Erste Stufe ist die klassische Verschlüsselung, gefolgt von der Drohung mit Abzug und Veröffentlichung von Daten, um den Druck zu erhöhen und die Zahlungsbereitschaft der erpressten Firmen zu erhöhen. In der dritten Stufe folgt die Drohung mit DOS-Angriffen, um die Geschäftstätigkeit zu blockieren, in der vierten Stufe geht es um den Verkauf von Backdoors für den Zugang ins Unternehmen. Die Kriminellen sind hier sehr kreativ nach dem Motto: „Wir laden Trittbrettfahrer ein, bei euch vorbeizuschauen.“ Aus meiner Sicht ist Ransomware der Kokainhandel des 21. Jahrhunderts.

Lamprecht: Ransomware-Angriffe bieten eine sehr hohe Gewinnmarge sowie einen sehr hohen Umsatz pro Mengeneinheit. Den Kriminellen winkt ein gewaltiger wirtschaftlicher Erfolg bei niedrigen Betriebskosten. Über Ransomware as a Service können sie im Darknet Angriffe quasi von der Stange kaufen. Zudem ist die Wahrscheinlichkeit, verhaftet zu werden, sehr gering. All das zusammen macht diese Angriffsform für Cyberkriminelle so attraktiv. Immerhin verzeichnen Ermittlungsbehörden wie Europol erste Erfolge mit dem Ausheben von Gruppen wie REvil.

Lamprecht: Grundsätzlich sollten Unternehmen auch kleinste Sicherheitsvorfälle ernst nehmen, ihnen nachgehen und sich um die Basisdinge kümmern. Dazu gehören Themen wie der Aufbau von Meldeketten, sichere Software-Entwicklung mit Security by Design, Patch-Management, Netzwerksegmentierung oder ein ausgefeiltes Backup-Konzept. Auch Cloud-Lösungen können die Sicherheit erhöhen. Und Firmen sollten nicht nur an Prävention denken, sondern auch in die Reaktion investieren, um Anomalien schnell erkennen und rasch reagieren zu können. Stichwort Intrusion Detection.

Lamprecht: Die Sensibilisierung der Mitarbeiter für die potenziellen Gefahren von Ransomware-Angriffen spielt eine zentrale Rolle. Es geht dabei nicht nur um die Security-Awareness der Mitarbeiter in den Fachabteilungen, sondern auch um Admins und Software-Entwickler. Sie alle müssen beispielsweise wissen, wie sie Angriffe erkennen, wie besonders kreative Phishing-Mails aussehen und an wen sie sich wenden können, wenn sie einen Verdacht haben.

Darum ist es umso wichtiger, dass wir Sicherheit positiv besetzen, Vertrauen schaffen und Personen nicht verdammen, wenn sie auf eine Phishing-Mail hereinfallen und auf einen Link klicken. Zudem sollten Schulungskonzepte nicht mehr nur auf Einzelpersonen beschränkt sein. Ziel ist es, Netzwerke zu schaffen, Wissensträger in den einzelnen Abteilungen zu identifizieren, die dann in ihren Teams den Dialog rund um das Thema Sicherheit fördern. Es geht darum, das Kollektiv zu stärken, um Angriffe abzuwehren.