#9 – Ransomware Risiken und Multi-Faktor

Herzlich willkommen zum hagel IT-Podcast, Folge 9. Philip, ich grüße dich. Hallo Dennis. Folge 9 ist die letzte Folge in diesem Jahr, habe ich in unseren beiden Terminkalendern gesehen. Ja, leider.

Richtig. Zwischen Weihnachten und Silvester werden wir es nicht schaffen. Wir haben die zehn Folgen nicht mehr vorgekriegt in diesem Jahr, aber wir sind ja auch relativ spontan gestartet

ohne das vorher abzuzählen. von daher denke ich kann man das verschmerzen. und wir sind mit der

nächsten folge, folge 10 am 5 januar. genau. wir starten quasi mit der null ins neue jahr.

das passt ja auch. sozusagen ja. aber jetzt erst mal nicht mehr so viel reden über das, was nicht noch kommt dieses jahr, sondern was hast du heute mitgebracht? worüber reden wir?

was habe ich heute mitgebracht? ich war tatsächlich lange auf der suche nach dem, was ich heute mitbringen kann und habe aber festgestellt, dass die tagesaktuellen Nachrichten, möchte ich mal nennen, immer noch sehr zugeflastert sind mit der Log4J-Thematik. Und ich habe mir gedacht, das jetzt noch mal aufzugreifen. Das wäre etwas träge und ermüdend vielleicht auch für uns.

Vielleicht machen wir noch einmal ganz kurz. Das hattest du ja schon versprochen, dass wir die nächsten Wochen so ein bisschen dranbleiben. Jetzt ist eine Woche vergangen. seit eineinhalb Wochen ungefähr ist die Lücke jetzt bekannt. Wie ist der aktuelle Stand? Also ich habe gesehen, ganz ganz viele Anbieter haben inzwischen entweder veröffentlicht, dass sie nicht betroffen sind oder haben Updates veröffentlicht. Genau, es haben glücklicherweise

tatsächlich eine Menge Anbieter gepostet auf den üblichen Kanälen, dass sie nicht betroffen sind.

das fand ich sehr schön. Also ein paar sind dabei gewesen und die haben Updates rausgebracht dafür.

Alle durch sind noch nicht. Bei dem einen oder anderen wird es sicherlich vielleicht noch ein bisschen dauern, weil das ganze da durchaus umfangreicher sein wird. Aber im Großen und Ganzen glaube ich, dass das doch relativ zügig bzw. zügiger als vielleicht auch wie erwartet

haben in den Griff bekommen. Schaden ist noch nicht ganz abzusehen, das wird sich noch rausstellen die nächsten Wochen, wie groß der Schaden ist. Ich habe schon jetzt heute morgen auch gerade gelesen, dass wohl zwischen auch teilweise staatliche Stellen diese Lücke ausnutzen, um gezielter Angriff zu fahren, aber wir werden mal gucken, was da noch kommt.

Da mischen wir uns aber nicht ein. Genau, da ist noch nicht alles bekannt,

was da denn so auch auf uns oder andere zukommt. Aber, genau, zurück aus dem kleinen Exkurs in dein Thema, was du heute mitgebracht hast.

Aber im wahrsten Sinne knüpft das so ein bisschen daran an, also an Schwachstellen im System. Und zwar wollte ich mal einen kurzen Überblick geben über statistische Werte zu Ransomware-Angriffen im Jahr 2021, beziehungsweise weitestgehend seit der Covid-19 Pandemie. Ich habe mir gedacht, ich schmeiß einfach mal ein paar Fakten in den Raum und dann können wir vielleicht mal kurz drüber sprechen und am Ende vielleicht einmal versuchen zu erläutern bzw. einen Weg zu finden, wie man sich dann davon schützen kann. Und zwar, ich fange einfach mal an, 600 Prozent Steigerung der Ransomwareangriffe bzw. Cybercrimeangriffe im weitesten Sinne seit Covid-19. Rekordzahlung einer Ransomware-Erpressung 40 Millionen US-Dollar eines US-Versicherungsunternehmens und sehr, sehr, sehr wilziger Effekt tatsächlich. Ich lese einfach mal zitiert vor, Experten schätzen, dass im Jahr 2021 alle 11 Sekunden ein ransomware-angriff stattfinden wird beziehungsweise stattgefunden hat das war nicht

alle alle elf sekunden verliebt sich ein hacker in einen neuen gehackt ja ich hoffe es ist zu

die die durchschnittlichen kosten eines ransomware-angriffs im gesundheitssektor betragen 1,27 Millionen US-Dollar war im Gesundheitssektor, weil das ganz offensichtlich ein sehr, sehr beliebtes Angriffsziel ist. Und in den letzten sechs Jahren sind bereits mehr als 100 deutsche Behörden und öffentliche Einrichtungen Opfer solcher Angriffe geworden.

Genau, das sind nur die Behörden und öffentlichen Einrichtungen. Also wirklich ja. Exakt.

Also wir kennen das ja auch aus unserem Alltagsgeschäft. Man sagt ja gerne, es ist nicht die Frage, ob sie gehackt werden, sondern wann. Und ich finde ganz einfach, dass Zahlen, wenn man die mal so ein bisschen wirken lässt, das Ganze einfach noch so ein bisschen unterstreichen. Und auch wenn man uns jetzt vielleicht ein bisschen ankeilen kann, dass wir doch sehr häufig über das Thema Cyber-Risiko reden, glaube ich einfach, dass es nach wie vor immer noch so akut ist, wie es noch nie war.

Genau, ich glaube, der Grund dafür ist genau das, nämlich dass wir eben ja auch im Jahr 2021 gemerkt haben, dass einfach viel mehr Angriffe stattfinden, das Thema allgemein viel präsenter ist. Das heißt nicht nur in Form von Angriffen, sondern eben auch in der Form, dass es mehr, aber auch mehr Lösungen dafür gibt. Es gibt mehr Möglichkeiten, dem entgegenzuwirken. Und ich glaube, das ist die gute Nachricht, die man bei all diesem negativen Aspekt eben mit reinziehen muss, dass es eben auch mehr Möglichkeiten gibt, sich davor zu schützen. Man muss sie nur halt nutzen. Das ist ja das, worüber wir auch in dem Podcast immer sprechen. Auf der einen Seite, klar, erzählen wir ganz viel davon, was nicht gut läuft und was es für Probleme gibt. Aber ich glaube, wir haben eigentlich auch bisher jede Folge immer irgendeine Lösung dafür mit präsentiert. Und das ist das Entscheidende. Es gibt Lösungen, man muss sie nur finden und

danach umsetzen. Genau, es ist halt ganz ganz wichtig, dass ich aber auch vorbereitet bin. Also ich sage mal, was mache ich, was mache ich eben, wenn ich verschlüsselt werde? Habe ich die Möglichkeit bzw. habe ich eben von vornherein alles dafür getan, um wieder arbeitsfähig zu werden? Ich glaube, das ist ein ganz, ganz elementarer Teil. Und wie du schon sagst, wir haben nun wirklich bisher ja tatsächlich nahezu in jeder Folge ein bisschen was mit an die Hand gegeben, was man machen kann. Aber ich habe mir gedacht, eben zum Abschluss des Jahres das Ganze nochmal vielleicht auch mit ein bisschen Fakten aus der Wirtschaft eben zu untermauern.

Ja, sag nochmal ganz kurz, die erste Zahl, die du hattest, das waren 600 Prozent mehr?

Genau, 600 Prozent Steigerung seit der Pandemie.

Im Vergleich zu vor der Pandemie?

Genau. Da sprechen wir ja gerade über nicht mal zwei Jahre.

Ja, zumal das ja das ist, was man eben auch so sich gedacht hat. Na ja, gut, Homeoffice wird mehr. Und wir hatten es ja auch schon mal in einer Folge als Thema, dass eben ja viele Lücken dafür eben aufgemacht wurden, bewusst aufgemacht wurden, weil eben im Rahmen der ersten Homeoffice-Welle erstmal viele Leute nach Hause mussten. Und viele Unternehmen, die die Möglichkeiten dafür gar nicht geschaffen waren. Man dann ja erstmal gucken musste, wie kriegen wir das denn hin und wie schaffen wir es denn, die Mitarbeiter eben von zu Hause arbeitsfähig zu kriegen. Und auf der anderen Seite natürlich dadurch, dass man zum einen die Lücken aufgemacht hat und zum anderen dann eben auch mehr die Leute voneinander getrennt waren, natürlich der Austausch viel schwieriger war in vielen Fällen. Und das spiegelt sich genau in der Zahl ja auch wieder. Also man sagt, okay, das haben eben andere ausgenutzt, gezielt ausgenutzt, um Cyberangriffe zu fahren, zu starten

und erfolgreich umzusetzen. Die Statistik besagt nämlich auch, dass das Hauptangriffsziel gar nicht mehr die unternehmensinternen Netzwerke sind im weitesten Sinne, sondern eben der einzelne Mitarbeiter, der im Homeoffice sitzt und von zu Hause darauf zugreift, der wird eben als Angriffspunkt ausgemacht. Ja, tatsächlich sehr erschreckend. Und was noch ganz spannend ist, finde ich. Die Zahl derer, die tatsächlich Lösegeld am Ende in Form von meistens ja Bitcoin an die Erpresseangehensicht jetzt einfach mal gezahlt haben, hat sich um fast 20 Prozent erhöht.

Ja, was ja auf der anderen Seite eben auch zeigt, dass durch die wahrscheinlich durch die weitere Verbreitung solcher Angriffe und dass eben mehr Unternehmen betroffen sind, natürlich in Summe auch mehr betroffen sind, die bisher wenig oder gar nichts als Schutzmaßnahmen getroffen haben und die dann möglicherweise auch gar nicht die von uns angesprochenen Möglichkeiten haben, sondern Angriff oder sich nach so einem Angriff wieder neu aufzustellen, Backups wieder einzuspielen

etc. Ja, wirklich erschreckend. Ja, ehrlicherweise war es das so von der Newsseite für diese Woche. wie gesagt, es gab tatsächlich weisesgehend nur noch Updates bezüglich der besagten Log4J-Geschichte. Aber ich fand das, wie gesagt, ganz spannend, vielleicht zum Jahresende einfach das Ganze noch mal ein bisschen mit Fakten zu untermauern, worüber wir hier so seit acht Wochen reden.

Ja, spannend. Vielen Dank. Ich habe witzigerweise ein ähnliches Thema mitgebracht. Nein, nicht ähnliches Thema, aber ein Thema, was da daran mit anschließt. Und zwar geht es ja im Wesentlichen auch darum, wie kann ich meine Zugänge zu Systemen, die ich habe, schützen. Wir haben ganz viel über Passwörter geredet, wie muss ein Passwort aufgebaut sein. Jetzt kam gerade vor kurzem wieder die Analyse vom Hasso-Plattner-Institut raus, die gesagt haben, die Deutschen sind passwortfaul im weitesten Sinne haben viel zu einfache Passwörter. Wir hatten es damals schon genannt 123456, Sonne, Schatz, 12345, Passwort. Das alles sind keine sicheren Passwörter und jetzt gibt es ja eben darüber hinaus noch weitere Möglichkeiten und vor allem sehr sichere Möglichkeiten, seinen Zugriff auf Systeme zu schützen. Die meisten kennen das witzigerweise schon, denn was brauche ich, wenn ich im Geschäft mit meiner EC-Karte bezahlen will oder am Geldautomaten Geld holen will, dann brauche ich ein PIN. Das heißt, in dem Beispiel habe ich ja zwei Dinge. Ich habe einmal eine Karte im Besitz und ich habe einen PIN-Code, den ich eingeben muss. Und nur wenn ich beides habe, funktioniert die Bezahlung oder das Geldabheben. Und ein System gibt es auch für Logins. Das nennt sich dann Zwei-Faktor-Authentifizierung. Manchmal wird es auch Multifaktor-Authentifizierung benannt, MFA, 2FA. Und das meint im Endeffekt genau das. Ich brauche ja typischerweise immer einen Benutzernamen und ein Kennwort. Das ist so der Klassiker. Und das Problem dabei ist, sobald jemand mein Passwort kennt, der Benutzername ist häufig halt leicht rauszufinden, weil das ist in der Regel die E-Mail-Adresse bei vielen Diensten. Das heißt, in dem Moment, wo jemand einen Benutzernamen und Passwort hat, kann er sich anmelden und die Zwei-Faktor-Odentifizierung sorgt dafür, dass er genau das nicht kann. Denn wenn ich mich mit Zwei-Faktor-Odentifizierung anmelden will, dann brauche ich einen weiteren Gegenstand, einen weiteren Faktor, einen Sicherheitsfaktor, der dann dem System signalisiert, ja, der Nutzer, dass ich anmelden will, ist der valide Nutzer. Das ist wirklich diese Person. Und das wird häufig gemacht über zum Beispiel eine Multifaktor-App auf dem Handy. Das ist das coole daran, oder? Also

ich meine, man braucht im Prinzip ja gar nichts. Also das Handy habe ich eh immer dabei. Richtig. Und das macht es halt super smart, oder? Genau. Und es gibt da halt einen relativ weit

verbreiteten Standard, den ganz, ganz viele Online-Dienste unterstützen. Und der basiert auf der Generierung von diesen Schlüsselcodes, die werden alle 30 Sekunden neu erstellt. Und dann kam ich aus meiner App auf dem Handy, diese Codes abrufen und eben beim Login mit eingeben und habe darüber sichergestellt, selbst wenn jemand mein Passwort sonne123 erraten hat, kann er halt nicht zugreifen auf den Dienst, den ich nutzen will oder geschützt habe, weil er hat eben diesen weiteren schlüssel nicht. was mache ich, was mache ich,

wenn ich das Handy verliere? also dazu vielleicht noch mal ganz kurz. also ich denke, ich kann mir vorstellen, dass einige jetzt sagen, okay, alles klar, das klingt super, aber was ist, wenn das Handy weg ist? also gibt es ein backup mechanismus der tokens im weitesten sinne? ja, gute frage,

gibt es auf unterschiedlichen Wegen. Manche Dienste haben das über einfache Backup Codes, heißt, wenn ich die Zwei-Faktor-Odentifizierung einrichte, kann ich mir einen oder mehrere Backup Codes generieren, mit denen ich dann die Zwei-Faktor-Odentifizierung einmalig zurücksetzen kann. Heißt, ich habe mein Handy verloren oder mein Handy wurde gestohlen, ist oder ähnliches, dann kann ich mit diesem Backup-Code die zwei-Faktor-Ordnifizierung zurücksetzen und zum Beispiel auf ein neues Handy einrichten. Oder ich kann, wenn ich mehrere Backup-Codes habe, mich damit an dem Dienst anmelden. Heißt, da gibt es eine Backup-Möglichkeit, um da wieder heranzukommen. Das Schöne, was ich finde, jetzt kann es ja auch sein, dass man sagt, okay, ich will das nicht auf dem Handy haben. Es gibt auch andere Wege dafür. Es gibt auch sogenannte Hardware-Token. Das sind typischerweise USB-Sticks, die ich dann eben einfach an meinen Rechner anschließe und darüber mich dann validiere.

Ich glaube, dass das kann unter Umständen auch den Vorteil haben, dass ich mir jetzt einfach vorstelle, ich habe mehrere Dienste, gerade vielleicht auch im Unternehmensbereich, die ich für die Arbeit brauche, an denen ich mich jeden Morgen einmal annähen muss. Das lassen wir mal fünf, sechs Dienste sein. Jetzt muss ich jeden Dienst da ja im Zweifel den Token aus meinem Handy abtippen und dieser USB-Stick, der nimmt mir diese Arbeit ja weitestgehend ab, oder? Genau, richtig. Also der USB-Stick macht

dann genau das. Der erspart jetzt abtippen und du kannst dann eben auch sagen, selbst wenn das

Handy leer ist, der Akku leer sein sollte oder ähnliches, dann hast du halt diesen USB-Stick

noch als hardware schlüssel da kann der akkundiert hat nämlich kein spannendes thema tatsächlich also

ich glaube dass dass man dass man sich das noch noch viel weiter vor augen führen sollte beziehungsweise jeder sich das einfach mal vor augen führen sollte dass man wirklich mit einem relativ meines erachtens geringen aufwand ein enormes maß an zusätzlicher sicherheit bekommt also ich glaube

da kann man vor allen Dingen mal ganz einfach bei sich selber anfangen, privat. Also ich selber habe für alle Dienste bei mir, die irgendwie relevant sind und bei denen irgendwie mir ein Schaden entstehen könnte, wenn da jemand Zuckerhaut hat, die habe ich mit so einem Multifaktor geschützt. Da kommt keiner ran. Und das unterstützen halt fast auch fast alle Anbieter. Also man muss wirklich einfach mal gucken, mal bei dem jeweiligen Dienst in die Einstellung gehen. Häufig findet sich da ein Punkt für Multi-Faktor. Das haben eigentlich alle Anbieter inzwischen drin. Und das einfach mal aktivieren, mal testen und mal feststellen, das ist eigentlich gar nicht so schlimm. Also da jetzt irgendwie noch einmal am Tag oder auch seltener, je nachdem wie häufig man sich da an abmeldet, also einen weiteren Dienst, einen weiteren Faktor eintippen, ein weiteres Passwort eingeben quasi, da gewöhnt man sich relativ schnell dran. Und der Vorteil ist die massiv gesteigerte Sicherheit. Und wenn ich das privat mal ausprobiert habe, kann ich im nächsten Schritt auch sagen, okay, was habe ich denn beruflich für Dienste in meiner Firma, die ich damit sichern muss oder sichern sollte. Und man kann zum Beispiel auch VPN-Einwahl damit absichern. Weil auch das ist ja ein großes Einfallstor. Denn wenn da jemand drin ist, weil er sich auf welchem Weg auch immer die VPN-Zugangsdaten beschafft hat, dann hat er letztendlich erst mal voll zu Griff in mein Netzwerk.

Ich finde, damit hast du den Kreis sehr gut geschlossen von diesen Fakten, von diesem Ransomware Report bis hin eben zu dem neuen Top-Angriffsziel dem Mitarbeiter im Homeoffice. Wenn du da eben sagst, der muss halt eben diese Multi-Faktor-Authentifizierung vornehmen, bevor überhaupt in das interne Netzwerk der Firma kommt, ist da halt quasi so gut es geht alles

getan. Genau, es hat wieder einen Punkt mehr auf der Absicherungsliste, eine Hürde mehr, die jemand überwinden muss, wenn er Zugriff erlangen möchte auf mein Netzwerk. Und das hatten wir auch schon gesagt, es gibt keinen hundertprozentigen Schutz, aber je mehr ich tue, umso unwahrscheinlicher wird es, dass ich irgendwo mal betroffen bin von sowas.

Genau, und im Zweifel haben wir wieder ein grünes Feld in unserer Cyber-Risiko-Analyse, über die wir letzte Woche gesprochen haben. Und ich glaube, dass ist es auf jeden Fall wert.

Auch das. Alles klar. Dennis, ich glaube, wir sind am Ende dieser Folge angekommen. Vielen Dank.

Ja, sehr gerne. Danke bis hierhin für die ersten neun Folgen nun mittlerweile. Danke an alle ZuhörerInnen. Ja, mir bleibt an dieser Stelle nicht viel zu sagen, außer frohe Weihnachten

und einen guten Rutsch. Von mir auch und bis ins nächste Jahr.