#50 – Umgang mit Ransomware

Hallo und herzlich willkommen zu einer neuen Folge HITCAST. Heute Folge 50 und zur Feier des Tages habe ich wieder Dennis dabei. Moin.

Ja, moin Philip. Es ist quasi runder Geburtstag, wenn man so will. Und zur Feier des Tages wollen wir heute nochmal über ein Thema sprechen, das uns in den letzten 50 Folgen nicht losgelassen hat und das uns wahrscheinlich in den nächsten 50 Folgen auch nicht loslassen wird. Nämlich Ransomware und wie können wir uns dagegen schützen.

Genau, ja. Ransomware, wie du schon gesagt hast, hat uns viel beschäftigt und wird uns nicht loslassen. Da bin ich auch relativ sicher.

Vielleicht können wir zum Einstieg für unsere ZuhörerInnen, falls jemand jetzt das erste Mal über die Begrifflichkeit stolpert oder vielleicht schon öfter darüber gestolpert ist, aber noch gar nicht so richtig greifen kann, was das eigentlich ist. Magst du vielleicht nochmal ein paar Sätzen erklären, was ist eigentlich Ransomware?

Ja, Ransomware ist eine der Top-Bedrohungen in den letzten Jahren geworden. Was ist damit gemeint? Letztendlich ein Ransomware-Angriff zeichnet sich dadurch aus, dass ein IT-System, also Server oder Clients oder beides kompromittiert werden. Es wird eine Software durch die Angreifer installiert, die die Daten auf den IT-Systemen verschlüsselt. Und vorher manchmal auch Daten aus dem IT-System abzieht und zu den Angreifern kopiert. Und nach der Verschlüsselung wird dann in Aussicht gestellt, dass durch Zahlung von einem Lösegeld das Ganze wieder entschlüsselt wird. Und das Problem ist natürlich an der Stelle, zum einen haben wir einen Totalausfall in der Regel der Infrastruktur. Wir haben möglicherweise dann den Abfluss von Daten. Was natürlich auch an mehreren Stellen wieder große Probleme mit sich bringt. Und wir haben das große Problem, dass wir schauen müssen, wie kriegen wir die IT-Struktur wieder zum Laufen. Das heißt, die beste Möglichkeit, sich davor zu schützen, ist natürlich zu versuchen, den Angriff generell zu verhindern. Also dafür zu sorgen, dass es gar nicht erst so weit kommt.

Ja, jetzt hast du gesagt, da werden die ganzen Systeme verschlüsselt. Also ich glaube, das ist ja ganz spannend zu sehen. Eigentlich, dass man nicht sagen kann, man selber in Person ist dann im Zweifel Opfer eines solchen Ransomware-Angriffs. Und ich habe dann vielleicht mein Notebook, das ich nicht mehr benutzen kann. Sondern diese Ransomware funktioniert dann tatsächlich so, dass sie sich quasi das Eingangstor sucht eben über mein Notebook, um mal ein Beispiel zu bleiben. Und dann aber quasi blitzschnell auch streut in alle Richtungen, auf die mein System Zugriff hat sozusagen.

Genau, also man spricht eben von mehreren Phasen. Das eine ist der Einbruch selber. Der da passiert, da gibt es verschiedenste Wege für. Der Klassiker ist immer noch das Thema E-Mail. Dann findet an irgendeiner Stelle eine Rechteerweiterung statt. Dafür werden dann häufig andere Sicherheitslücken ausgenutzt. Und mit den dann gewonnenen Rechten breitet sich dieser Verschlüsselungstrujana dann eben im Netzwerk aus. Ja, kann dann eben auch möglicherweise Daten kopieren und verschlüsseln und legt damit eben alles lahm. Ja, klar.

Jetzt leuchtet es natürlich ein. Wenn man sagt, man muss sich im Prinzip ein bisschen damit beschäftigen, wie kann ich solche Angriffe verhindern, abwenden, mich dagegen schützen. Aber bevor man sich darüber Gedanken macht, macht es vielleicht Sinn, vielleicht den Leuten einmal zu erläutern, was sind denn so die häufigsten Einfallstore, sage ich mal. Also es ist eben schon E-Mail gesagt, ist wahrscheinlich durchaus noch unter den Top 3 Einfallstore anzusiedeln. Aber wie kommt denn so eine Ransomware in der Regel in das Unternehmen?

Ja, also genau. Es ist eben gesagt, E-Mail, klar, eines der Haupteinfallstore, kompromittierte Webseiten und Downloads. Was haben wir noch? Wir haben klassisch auch immer natürlich das Thema der Ausnutzung von bekannten Sicherheitslücken. Ja, also Thema Zero-Day-Exploit ist ja auch so ein Buzzword, was da immer rumgeistert. Also letztendlich geht es darum, ich habe natürlich immer Sicherheitslücken in Systemen, die werden gefunden. Die werden vom Hersteller mit Hilfe von Updates geschlossen. Und dann muss aber natürlich auch dieses Update auf dem System installiert werden. Und der Zeitraum dazwischen, also zwischen der Entdeckung der Lücke und der Installation des Updates, da ist diese Lücke natürlich ausnutzbar. Und das ist so das andere Einfallstore, über das solche Ransomware dann eben reinkommen kann.

Also wir müssen im Prinzip dafür sorgen, dass klar die größte Schwachstelle immer der Mensch, dass wir da geschult sind im weitesten Sinne. Vielleicht kommen wir gleich noch mal ganz kurz zu den einzelnen Möglichkeiten dann. Aber ich glaube, so grob für den ersten Step zusammenfassend kann man sagen, dass ja der Mensch immer noch das schwächste Glied ist, das Haupt-Einfallstor, wenn man das so will. Und dann geht es eben im Prinzip auch darum, dass irgendjemand da ist, der dafür sorgt, dass alles, was ich ansonsten benutze an Soft-Hardware etc. immer auf einem gut aktuellen Stand ist, um halt eben das Beste zu geben, das ich tun kann. Genau, richtig. Okay. Okay, was haben wir denn für Möglichkeiten? Also wenn wir sagen, okay, wir haben eben den Menschen, der da sitzt, der E-Mails liest, im Zweifel irgendwelche Links klickt, dann habe ich eben eine Datei, die wie auch immer den Weg in mein Netzwerk findet. Gibt es da Mittel und Wege zu sagen, ich habe Schulung für mein Personal, für meine Mitarbeiter oder ich setze Software ein, die diese Dateien eben vielleicht schon im Ansatz erkennt und quasi gar nicht ins System lässt? Das wäre denn so klar. Klassische Virenscanner etc.

Genau, also es gibt ja verschiedene Varianten davon. Ich kann zum einen und sollte natürlich anfangen, Mitarbeiter zu schulen, zu trainieren, ganz gezielt eben auch darauf zu achten, woran erkenne ich solche E-Mails, die schadhafte Links enthalten oder Programme enthalten? Woran erkenne ich Webseiten, die eben gefährlich sind? Das kann ich trainieren, das kann ich schulen, das sollte ich auch tun. Darüber hinaus kann ich natürlich auch und sollte ich eine Virenschutzsoftware haben, die in der Lage ist, Ransomware-Angriffe zu erkennen. Das kann nicht jede Virenschutzsoftware, da muss man ein bisschen gucken. Und darüber hinaus ist natürlich immer das Thema Administrationsrechte. Administratorrechte im Netzwerk, auf den Geräten, auch immer so ein Thema, weil ein Ransomware-Angriff, der braucht natürlich ein bisschen Rechte auf dem System. Und je weniger Rechte ich den einzelnen Accounts zuweise, desto besser kann ich natürlich auch verhindern, dass sich ein Ransomware ausbreiten kann. Genauso kann ich natürlich auch das Netzwerk unterteilen in verschiedene Bereiche. Ich kann Backups vom Rest des Netzwerks trennen, auch das sollte ich tun, damit eben dann im Fall des Falles die Backups zumindest nicht mit verschlüsselt sind.

Ja, okay, danke erstmal. Vielleicht mal so der Reihe nach zu den einzelnen Möglichkeiten. Also jetzt haben wir gesagt, Mitarbeiter schulen. Absolut wichtiges Thema. Jetzt klingt Schulen ja immer so ein bisschen, da haben wir in der Vergangenheit auch schon mal drüber gesprochen, nach, okay, ich habe hier meine 20 Mitarbeiter, um mal eine Zeit zu sagen, die setze ich jetzt hier Freitagmorgen um 8 in so einen Schulungsraum und dann erzählt da einer was über Ransomware. So, dann fahren die danach ins Wochenende, haben Montag die Hälfte vergessen. Da gibt es ja schon modernere und sinnvollere Methoden, oder?

Ja, ganz klar. Also das bringt gar nichts. Also wir müssen zum einen das Ganze in den Klaren, in den Klaren in den Klaren verpacken. Da gibt es so sogenannte Mikrotrainings, wo jeder in seinem Lerntumpe und seinen freien Zeitslots lernen kann. Und zum anderen ist natürlich immer gut, das Ganze, kennen wir alle, nochmal das Gelernte zu überprüfen. Und da kommen eben sogenannte Phishing-Simulationen dann ins Spiel. Heißt, ich lasse kontrolliert eine Phishing-Mail zum Beispiel simulieren oder auch eine Mail mit schadhaftem Anhang. Schau dann eben, wer klickt da drauf, wer löscht das Ganze und kann darüber eben auch nochmal einen weiteren Trainingseffekt erhalten und kann so gezielt eben das hoffentlich gelernte Wissen dann auch vertiefen.

Ja, da vielleicht ganz kurzer Hinweis zu, das sollen wir jetzt vielleicht auch nicht vertiefen an der Stelle, aber da gibt es mittlerweile schon ganz, ganz gute Phishing-Simulationen, die auch tatsächlich erstmal schauen, was macht ein Mitarbeiter so? Also mit wem schreibt er so Mails? Und sich dann quasi wie so ein Chamäleon da anpassen als Phishing-Test-Mail. Ja. Okay, dann sagst du klassisch Antivirenlösung, da müssen wir aber aufpassen, das kann nicht jeder. Vielleicht mal so in drei bis fünf Stichpunkten meinetwegen, wenn es passt. Wie entscheide ich denn, welche ich dann nehmen muss und was unterscheidet die signifikant?

Ja, das Problem ist, normaler Virenschutz kriegt, da wird ein Erkennungsmuster beigebracht, mit dem er erkennen kann, was ist ein Virus, was nicht. Ransomware ist aber zum einen, da gibt es viele verschiedene Varianten von und zum anderen kann ich durch leichte Modifikationen am Quellcode dieser Trojaner, dieser Ransomware-Trojaner eben quasi einen völlig neuen Virus erschaffen, der dann wieder von den Erkennungsmustern der Virenschutzsoftware nicht erkannt wird. Das heißt, ich brauche also eine Software, eine Antivirensoftware, die in der Lage ist, aufgrund weiterer Parameter, die sie überprüft, zu erkennen, was passiert hier auf dem System, ist das in Ordnung oder ist das eben auffälliges Verhalten und dann eben weitere Maßnahmen ergreift.

Okay, das sind dann so diese klassischen Maßnahmen, wie Datei in Quarantäne etc. oder Löschen, wie auch immer. Ja, es geht sogar noch ein Stück weiter.

Viele der neueren Tools können eben auch die Ausführung dieser Programme dann komplett blockieren oder auch die Ausführung dieser Programme dann komplett blockieren. Oder auch Systeme wirklich isolieren, um zu verhindern, dass sich die Infektion dann weiter ausbreitet.

Dann hätten wir zum Schluss, hattest du auch angesprochen, das ist natürlich wichtig, dass ich immer die aktuellsten Updates für Software habe, die ich benutze. Da hatten wir in der Vergangenheit logischerweise auch darüber gesprochen. Da geht es dann um dieses sogenannte Monitoring. Also, dass ich irgendwie jemand habe, der im Blick hat, was verwende ich hier für Software, was sind vielleicht aktuelle News, worauf muss ich achten, wo muss ich dringend Zero-Day-Patches etc. installieren. Da ist es eben wichtig, dass man jemanden an der Hand hat, der das im Blick hat.

Und das ist das, was ich jetzt hier vorgelegt habe. Also, wenn ich jetzt hier auf die Seite gehe, dann habe ich hier die Anwendung, die ich jetzt hier auf die Seite gegeben habe, die ich jetzt hier auf die Seite gegeben habe. Und das ist die Anwendung, die ich jetzt hier auf die Seite gegeben habe. Und das ist die Anwendung, die ich jetzt hier auf die Seite gegeben habe.