IT-Sicherheit

Zwei Frauen die unter einer Wand mit Sicherheitskameras stehen

Alternative zu Kaspersky als Anti-Virus-Programm für Unternehmen

Alternative zu Kaspersky als Anti-Virus-Programm für Unternehmen 520 347 Jan Roskosch

Warum Unternehmen nach Kaspersky Alternativen suchen: 

Im 21. Jahrhundert ist ein Krieg zwischen Staaten auch einer, der in der digitalen Welt ausgetragen wird und der keine Ländergrenzen kennt. Ein vieldiskutierter Fall ist das Anti-Virus-Programm des russischen Unternehmens Kaspersky für das Unternehmen nun nach einer Alternative suchen. Noch vor wenigen Wochen war die Software ein verbreitetes Handwerkszeug zur Erhöhung der Cybersicherheit in Unternehmen. Nun warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Kaspersky als Einfallstor für russische Cyberattacken. Vor dem Hintergrund, dass russische Geheimdienste während der US-Wahl breit angelegte Cyberangriffe durchgeführt haben, ist diese Warnung sicherlich mehr als gerechtfertigt. Begründet wird die Empfehlung des BSI damit, dass die Virenschutzsoftware von Kaspersky auch ohne den Willen der Anbieter als Werkzeug gegen seine eigenen Kunden verwendet werden kann. Zusammengefasst gibt es also einige Gründe, gerade jetzt auf Alternativen umzustellen:

  • Russische Cyberangriffe: Kaspersky könnte durch die russische Regierung als Einfallstor für Cyberangriffe im Rahmen eines Wirtschaftskrieges verwendet werden.
  • Sanktionen und Zuverlässigkeit: Die Anbindung und Verfügbarkeit von Kaspersky ans Internet sind gefährdet, was Updates unmöglich machen könnte, und ein ernstes Risiko birgt.
  • Moralische Überlegungen: Als Unternehmen in Deutschland sollte man sich überlegen, ob man in diesen Zeiten ein russisches Unternehmen unterstützt. Bei größeren Unternehmen können hieraus Compliance Themen erwachsen.

Sind Anti-Virus-Programme heute noch nötig?

Mit den ersten Computer-Viren entstand die Notwendigkeit, diese aktiv zu bekämpfen. So wurde es im Laufe der Jahre zu einem dauernden Wettlauf zwischen Anbietern von Antivirensoftware und den Entwicklern von Schadcodes. In der Zeit des Internet-Booms Anfang der 2000er, begann man, auch Firewall-Software, die Netzwerk-Traffic verfolgen kann, zum Antiviren-Schutz hinzuzufügen. Die klassischen Anti-Virus-Programme werden als sogenannte „signaturbasierte“ Scanner bezeichnet. Das bedeutet, dass der Scanner jeglichen ausgeführten Code im Arbeitsspeicher eines PCs auf spezielle Signaturen hin überprüft, die einem Schadcode entsprechen.  In Zeiten moderner Schadsoftware wie z.B. Ransomware reichen diese „einfachen“ Scanmethoden nicht mehr aus. Aktuelle Systeme nutzen daher heuristische Methoden. Bei diesen geht es nicht mehr nur um einer explizite Signaturen-Erkennung, sondern um die Erkennung verhaltensbasierter Abweichungen vom Status Quo in einem PC/Netzwerk. Diese Erkennung wird prozesstechnisch in die Servercloud des Anbieters verlagert, da dort wesentlich mehr Ressourcen zur Verfügung stehen. Aus erkannten Abweichungen werden Wahrscheinlichkeiten für einen Security-Incident abgeleitet und ggf. werden Warnungen ausgegeben oder Maßnahmen gestartet.

Diese KasperskyAlternativen gibt es

Da sich die Stärken und Schwächen der Programme von Jahr zu Jahr ändern, ist eine pauschale Empfehlung schwierig. Grundsätzlich kann man sich bei Ersatzlösungen für Kaspersky am eigenen Ökosystem orientieren. Der Windows Defender funktioniert in den MS365 Umgebungen unserer Kunden sehr zuverlässig und bietet einen grundlegenden Schutz. Sollten Sie einen weitergehenden Schutz wünschen, z.B. weil Sie mit hochsensiblen Gesundheits- oder Finanzdaten arbeiten, empfehlen wir grundsätzlich, sich nicht allein auf signaturbasierte Lösungen zu verlassen. Sogenannte SIEM-Lösungen (Security Information and Event Management) ermöglichen durch Analysen die Ableitung von Warnungen aus verdächtigem Verhalten. Die Implementierung ist aber deutlich aufwändiger als der Roll-Out einer Anti-Virus-Software wie Kaspersky oder dem Windows Defender. Long Story Short: es gibt gute Gründe gegen Kaspersky – und zahlreiche Kaspersky Alternativen. Sollten Sie noch ein Produkt des russischen Herstellers verwenden, empfehlen wir dringend einen Wechsel. Wir bei INVENTRY unterstützen Sie sehr gerne bei einer bedarfsgerechten Auswahl einer IT-Security-Lösung und der anschließenden Implementierung.

Meme für Phishingmails

Office365 E-Mail-Phishing im ersten Quartal 2022

Office365 E-Mail-Phishing im ersten Quartal 2022 735 500 Jan Roskosch

Ungewöhnlich viele Phishing-Mails im Januar und Februar 2022

Seit Ende Januar und Anfang Februar 2022 verzeichnen wir vermehrt Phishingversuche von gekaperten Office365 E-Mail Accounts. Diese täuschen aufgrund authentischer Absender:innen und entsprechender Signaturen ein wichtiges Anliegen vor, das zum Öffnen eines Anhangs auffordert ohne genauer auf den Inhalt einzugehen. Aufgrund der dringlich wirkenden Formulierung der E-Mail wird sozialer Druck auf Empfänger:innen aufgebaut (Social-Engineering). Überhaupt erst möglich werden diese E-Mails, weil ein infiziertes Endgerät die installierte Outlook-Umgebung verwendet, um täuschend echte E-Mails zu verschicken. Welches Ziel die Cyberkriminellen damit verfolgen, ist noch weitgehend unklar. Wir vermuten hier jedoch, dass es sich um den Aufbau eines Bot-Netzwerks handelt. Wie die E-Mails konkret aussehen können, welche Maßnahmen Unternehmen jetzt ergreifen sollten um sich zu schützen, und welche Aktionen nötig sind, wenn entsprechende Anhänge geöffnet worden sind, skizzieren wir in diesem Blogbeitrag.

Wie sieht eine Phishing-Mail aus?

Phishing Mail Beispiel

Diese Mail ist ein Beispiel für eine klassische Phishingmail, die wir im Rahmen der aktuellen Angriffswelle in unseren Systemen identifiziert und isoliert haben. Die E-Mail wurde von einem Geschäftsführer an alle seine Outlook-Kontakte gesendet. Unsere Recherchen ergaben, dass viele andere – auch sehr große Unternehmen – diese E-Mail erhielten und sogar öffneten. Die Art der Formulierung der E-Mail suggeriert eine gewisse Wichtigkeit  und impliziert, dass eine unverzügliche Bearbeitung durch Empfänger:innen nötig ist. Dahinter steht u.A. der Wunsch, der Bitte einer wichtigen Person nachzukommen und die E-Mail nicht kritisch zu hinterfragen. Gerade Stresssituationen fördern diesen Effekt. Durch das Klicken auf den Anhang wird Schadsoftware auf den Systemen der Empfänger:innen installiert, die entweder für DDoS Angriffe oder das weitere Verbreiten ähnlicher E-Mails genutzt werden können.

Maßnahmen bei verdächtiger Mail von Kontakt

Eine Phishingmail von einer Automarke

Sollten Sie eine verdächtige E-Mail von einem Ihrer Kontakte erhalten, sollten Sie grundsätzlich die folgende einfache Regel beachten:

STOP. CHECK. OPERATE

Machen Sie sich im ersten Schritt bewusst, dass Sie sich jetzt gerade in einer digitalen Gefahrensituation befinden. Was liegt gerade vor? Im darauffolgenden Schritt prüfen Sie den Inhalt und den Absender der Mail. Selbst wenn Absender und Betreff korrekt erscheinen, sollten Sie ganz besonders den Sprachstil in der Mail und den thematischen Zusammenhang hinterfragen. Ist es wahrscheinlich, dass diese Person Ihnen diese Mail gerade jetzt schreibt? Oftmals erkennen Sie auch bei genauem hinschauen, dass im CC der Mail viele andere Personen sind. Nachdem Sie eine erste Bewertung der E-Mail vorgenommen haben, sollten Sie in JEDEM FALL bei dem oder der Absender:in anrufen und erfragen, ob diese Mail korrekt versendet wurde. Vorher sollten Sie in KEINEM FALL den Anhang öffnen. Kurzum sollten Sie sich immer die Regel: STOP, CHECK, OPERATE ins Gedächtnis rufen. Und besser zu oft als zu selten.

Was tun, wenn auf Anhang von Spam geklickt?

Wenn Sie vor lauter Aufregung doch auf den Anhang geklickt haben, wird das Ganze etwas ungemütlicher, ist jedoch dennoch zu bewältigen. Nachdem Sie auf den Anhang einer Phishing-Mail geklickt haben (auch wenn Sie nur glauben, dass es eine solche E-Mail war), sollten Sie selbst im Zweifelsfall nach den folgenden Schritten handeln:

  1. Trennen Sie Ihr Gerät vom Netzwerk und schalten Sie es aus
  2. Informieren Sie ggf. Ihre:n Vorgesetzte:n und Ihre:n IT-Ansprechpartner:in über den Vorfall
  3. Prüfen Sie, dass der Computer virenfrei ist oder desinfizieren Sie das Gerät (durch einen Dienstleister wie INVENTRY)

Nachdem sichergestellt ist, dass von Ihrem Gerät keine Gefahr mehr ausgeht (diese Entscheidung sollten Sie die Expert:innen treffen lassen) können Sie zur regulären Arbeit übergehen.

Vorgehen, wenn Sie Phishing-Mails versendet haben

Meme für Phishingmails

Ok, in diesem Fall haben Sie tatsächlich ein ordentliches Problem. Hätten Sie mal diesen Blog früher gelesen. Wenn von Ihrem Mail-Account aus Phishingmails versendet wurden werden Sie das wahrscheinlich erst merken, wenn Ihre Kontakte Ihnen darauf antworten (oftmals im Stile von: „Ich kann den Anhang leider nicht öffnen“). Alternativ erreichen Sie unzählige Anrufe von Menschen die diesen Blog gelesen haben. Was nun für Sie zu tun ist:

  1. Identifizieren Sie die betroffenen Geräte bzw. die Accounts
  2. Nehmen Sie die Geräte wenn möglich vom Netz
  3. Informieren Sie ggf. Ihre:n Vorgesetzte:n und in jedem Fall Ihre:n IT-Ansprechpartner:in über den Vorfall
  4. Leiten Sie schnellstmöglich eine Information an Ihre Outlook-Kontakte ein, um dafür zu sorgen, dass Ihre Kontakte nicht auf Ihren Anhang klicken. Am besten telefonisch
  5. Schalten Sie Ihre IT-Ansprechpartner:in ein, um Schadensbegrenzung zu betreiben
  6. Schalten Sie situativ einen Rechtsbeistand ein, da aus dem Versand von Schadsoftware durchaus rechtliche Konsequenzen erwachsen können
  7. Schalten Sie situativ die Polizei zur forensischen Aufarbeitung des Vorfalls ein
  8. Desinfizieren Sie die betroffenen Accounts und Rechner

Wenn Ihr Outlook-Postfach der Ausgangspunkt des Übels ist, sollten Sie sich in jedem Fall professionelle Hilfe zur Wiederherstellung der Arbeitsfähigkeit in Anspruch nehmen. Der schnellste Wege ist hier sicherlich der Anruf bei INVENTRY (+49 6152 99899-10).

Risiken von Phishing-Mails

Die aus Phishing-Mails resultierenden Risiken sind mannigfaltig: Kriminelle können sich hierdurch beispielsweise Zugang zum Unternehmens-Sharepoint verschaffen und sensible Daten einsehen oder herunterladen, Änderungen im Unternehmenssystem vornehmen, Zugänge anlegen oder sperren und damit die Produktivität und auch die wirtschaftliche Zukunft eines Unternehmens gefährden. Problematisch ist hier, dass gerade bei Phishing-Mails die Mitarbeiter:innen im Unternehmen die letzte und wichtigste Brandmauer sind. Denn kaum ein Virenprogramm oder eine Firewall kann authentische Mails mit schadhaften Anhängen zu 100% sicher erkennen. Die Empfänger:innen selbst müssen in letzter Instanz prüfen, ob diese Mail echt oder fake sein könnte, um nachhaltigen Schaden zu vermeiden.

Sollten Sie in Ihrem Unternehmen bei der Schulung und Sensibilisierung Ihrer Mitarbeiter:innen Unterstützung benötigen, bieten wir von INVENTRY auch entsprechende Schulungen an, damit gerade Phishing-Mails besser in Ihrer gesamten Organisation erkannt werden können. Vereinbaren Sie hierzu gerne einen direkten Termin mit uns, um das Thema individuell zu betrachten.

Eine zufriedene Mitarbeiterin arbeit im Unternehmen, das vor Ransomware geschützt ist und Geld spart.

Wie Sie finanzielle Schäden durch Ransomware verringern können

Wie Sie finanzielle Schäden durch Ransomware verringern können 700 467 Jan Roskosch

Welche ganz praktischen Schutzmechanismen können Unternehmen und Organisationen ergreifen, um mit internen und externen Mitteln die Gefahr bzw. die Auswirkung eines Ransomware Angriffs zu verringern. Der Umgang mit Ransomware-Angriffen kann in zwei Aspekte unterteilt werden. Agieren und Reagieren. Agieren bedeutet im Vorhinein alle Möglichkeiten auszuschöpfen, die einen Angriff erschweren. Reagieren bedeutet Mechanismen im Unternehmen zu implementieren, die im Falle eines Angriffs ein entschiedenes und lösungsorientiertes Handeln sicherzustellen. In der IT-Sicherheit sprechen wir immer nur von einem bestmöglichen Schutz. Die 100%-ige Sicherheit ist nie möglich. Die negativen Auswirkungen und die Chance betroffen zu werden, lassen sich aber maßgeblich senken: 

Präventive Maßnahmen gegen Ransomware:

  • Backups: Die Erstellung von Sicherungskopien der eigenen Daten ist der einfachste und im Gesamtbild auch unkomplizierteste Weg Daten vor der Verschlüsslung zu schützen. Selbst wenn die wichtigsten Daten nur auf einer Festplatte im Büro gesichert werden, ist sichergestellt, dass eine Verfügbarkeit gewährleistet ist.
  • IT-Dienstleister: Ein kompetenter IT-Dienstleister wie INVENTRY berät Sie vorab in der Erstellung eines Sicherheitskonzepts, noch viel wichtiger ist aber: Im Falle eines Angriffs, müssen Sie nicht erst recherchieren, wer Ihnen bei der Beseitigung des Befalls helfen kann, sondern müssen nur einen Anruf bei einem bekannten Anbieter tätigen.
  • Schulung und Sensibilisierung: Sprechen Sie mit Ihren Mitarbeitern über die Gefahr von Cyberangriffen und sensibilisieren Sie sie dafür. Implementieren Sie Prozesse wie regelmäßiges Passwortwechsel oder das regelmäßige Updaten von Programmen, um das Sicherheitsniveau hochzuhalten.
  • Monitoring des Datentransfers: Wenn in einer Organisation eine ähnliche Anzahl an Personen eine ähnliche Anzahl von Aufgaben mit einem ähnlichen Down- und Upload Verhalten durchführt, können Sie Datenabflüsse, die durch Ransomware verursacht werden, erkennen, indem Sie Mechanismen in die IT-Infrastruktur implementieren, die ungewöhnliche Downloads feststellen und stoppen. So wird die Chance des unbemerkten Datenabflusses minimiert.
  • Redundante IT-Prozesse durch Experten sicherstellen: Wie wir gelernt haben, sorgt ein Ransomware Angriff für mehrwöchige Ausfälle der Arbeitsfähigkeit eines Unternehmens. Diese Down Times können Sie durch redundante Systeme verringern. Sehr vereinfacht können Sie sich das so vorstellen: Ist Ihr Microsoft Teams kompromittiert, wechseln Sie in der Übergangszeit auf Zoom. Dieser Prozess ist in der Realität deutlich komplexer und sollte in enger Zusammenarbeit mit Experten (wir bei INVENTRY unterstützen Sie z. B. genau dabei) durchgeführt werden.

Was tun, bei einem Ransomware Angriff:

Wenn es trotzdem zu einem Angriff auf Ihre Infrastruktur kommt, sollten Sie auch hierauf vorbereitet sein, um den Schaden geringstmöglich zu halten.

  • Rechtlichen Beistand involvieren: Lassen Sie sich vorab über individuelle rechtliche Risiken, denen Ihr Unternehmen ausgeliefert ist,durch einen spezialisierten Anwalt oder Anwältin beraten. Auch im Angriffsfall sollten Sie bereits wissen, an wen Sie sich zur juristischen Abwicklung wenden können. Gerade als Geschäftsführerin oder Geschäftsführer sind Sie hohen Haftungsrisiken bei einem erfolgreichen Cyberangriff ausgesetzt, die durch frühzeitige Konsultation eines juristischen Beistands abgemildert oder gar verhindert werden können.
  • Reaktionsszenarien in Angriffsfall vorbereitet haben: An den Kontakt zu Fachjuristen schließt sich die Erstellung von Reaktionsszenarien an. Wer tut was im Unternehmen, wenn ein Angriff bekannt wird? Diese Szenarien sind regelmäßig Teil einer IT-Strategie (wie auch die redundanten Prozesse). Ziel ist es auch hier, die Down Times zu minimieren und Schaden der durch Chaos in der Organisation bei Bekanntwerden entstehen kann zu minimieren.

Absicherung gegen Ransomware erhöhen

Insgesamt bietet das Dokument des BSI einen sehr guten und aktuellen Überblick über die Bedrohungslage und adäquate Reaktionsmuster. Aus unserer Erfahrung geht die Implementation bei vorhandenem Engagement in der Organisation relativ einfach und zeitnah von der Hand. Schon innerhalb eines halben Jahres kann eine Unternehmens-IT-Infrastruktur vollumfänglich abgesichert werden, um das Risiko eines Angriffs zu erhöhen. Denn dieses liegt selbst bei kleinen Unternehmen mittlerweile bei 10 %. Warum handeln aber viele Geschäftsführungen immer noch nicht? Aus unserer Erfahrung haben wir hier die häufigsten Gründe gesammelt.

  • Kann ich mir nicht vorstellen: Der psychologische Fachbegriff für diese Annahme nennt sich „Verfügbarkeitsheuristik“ und beschreibt, dass der Mensch sich tendenziell für Dinge entscheidet, die ihm am leichtesten in den Sinn kommen. Da aktuell global gesehen noch wenige Unternehmen von dramatischen Angriffen betroffen werden, suggeriert uns unser Gehirn, dass die Gefahr eines solchen Angriffs sehr gering sein muss. Sämtliche wissenschaftlichen Erkenntnisse sprechen aber eine andere Sprache. Ähnlich wie beim Klimawandel tendieren Menschen darum auch, beim Thema IT-Sicherheit, aufgrund des festen Glaubens, dass sie nicht betroffen sein werden, zu spät zu handeln. Damit nehmen Sie im Fall des Falles auch deutlich höhere Kosten in Kauf.
  • Selbst wenn es uns trifft: Viele Geschäftsführerinnen und Geschäftsführer sind überzeugt, dass es ihrem Unternehmen nicht schaden würde, wenn sie Opfer eines Ransomware Angriffs werden. Was vor einigen Jahren mit reinen Back-up-Lösungen á la: „Wir ziehen alle Unternehmensdaten halbjährlich auf eine Festplatte und gut ist“ funktionierte, ist heute nur noch ein Teil des Ganzen. Die große Gefahr ist die: Sie wissen ohne eine nachhaltige IT-Sicherheitsinfrastruktur, selbst wenn scheinbar kein großer Schaden entstanden ist, nicht, welche Daten kompromittiert sind. Gehen von Ihren verseuchten Daten Schäden auf Kunden oder Partner aus, kann die massive juristische Konsequenzen haben. Denn ist ein Angriff auf ein anderes Unternehmen auf Ihre Nachlässigkeit zurückzuführen, können Sie wegen Vernachlässigung der Statuen des BSI Grenzschutz in die persönliche Haftung gezogen werden. Und zwar auch bei Kapitalgesellschaften.
  • IT verursacht nur Kosten: Ein völlig nachvollziehbare, aber falsche Aussage, deren Existenz sich die IT-Branche auch zum großen Teil selbst zuzuschreiben hat. Tatsächlich haben diverse Studien gezeigt, dass eine bedarfsgerechte IT-Infrastruktur die Produktivität der Mitarbeiterinnen und Mitarbeiter drastisch erhöht sowie das Stresslevel merklich senkt. Außerdem ist gerade für junge Arbeitnehmerinnen und Arbeitnehmer ein moderner digitaler Arbeitsplatz bedeutungsvoll. Der Einfluss dieses Faktors auf die Wahl eines neuen Arbeitgebers kann dabei im Spannungsfeld des Fachkräftemangels gar nicht stark genug betont werden. Als Konsequenz erbringen Teams damit bessere Leistung für Ihre Kundeinnen und Kunden, was zu einer besseren Marktpositionierung führt. Und natürlich: im selben Zug erhöht sich die digitale Sicherheit in der gesamten Organisation. IT ist somit eine lohnende Investition in die Zukunft jedes Unternehmens.

Wir hoffen, dass Sie diesen Irrglauben nicht erliegen und im Sinne Ihres Unternehmens, Ihrer Mitarbeiterinnen und Mitarbeiter und Ihren Kunden frühzeitig handeln. Kommen Sie dazu sehr gerne auf uns, für eine erste Beratung zum Thema zu. Den gesamten BSI-Bericht finden Sie hier.

Die anderen Blogbeiträge unserer Reihe zum Thema Ransomware

  1. Die Erpressungsmöglichkeiten nach Ransomware Angriffen
  2. Ablauf eines Ranswomare Angriffs 
  3. Wie Kriminelle Druck auf Opfer von Ransomware Angriffen ausüben
  4. Finanzielle Folgen eines Ransomware Angriffs auf Unternehmen
  5. Praktische Maßnahmen gegen Ransomware (dieser Artikel)
Die Kosten nach einem Ransomwares können sehr hoch für Unternehmen sein

Die wahren Kosten eines Cyberangriffs

Die wahren Kosten eines Cyberangriffs 700 500 Jan Roskosch

Neben Konsequenzen wie der Verlust von Renommee oder gar wichtigen Aufträgen unter den eigenen Kunden, die rechtlichen Konsequenzen für die Geschäftsführung oder die Veröffentlichung von Betriebsgeheimnissen sind noch weitere, höchst kritische Folgen nach einem Cyberangriff zu beachten. Da die meisten Unternehmen mindestens in ihren Verwaltungsprozessen, wenn nicht gar darüber hinaus stark auf eine digitale Arbeitsfähigkeit angewiesen sind, führen Cyberangriffe auch zu massiven Ausfällen der Arbeitsfähigkeit. Das BSI geht in seinem Bericht von durchschnittlich 23 Tagen aus, die in der Regel vergehen, bis ein Unternehmen nach einem entdeckten Angriff (wie wir bereits gelernt haben, erfolgte der eigentliche Angriff ggf. schon Monate früher).

Kostenfaktoren eines Cyberangriffs für Unternehmen:

  • Produktivität im Unternehmen findet bei 23 Tagen IT-Ausfall ca. 17 Werktage nicht statt.
  • Gehälter müssen ohne mögliche Gegenleistungen gezahlt werden, da Mitarbeiter nicht arbeiten können.
  • Cashflow Probleme können auftreten, da Rechnungen und Forderungen bezahlt werden können.
  • Verträge und Lieferfristen können nicht eingehalten werden, was zu Vertragsstrafen bei Kunden führen kann.
  • Die Wiederherstellung der Funktionsfähigkeit durch einen spezialisierten Dienstleister ist nach einem Angriff sehr aufwendig und auch entsprechend kostspielig.
  • Kompromittierte Hardware muss ggf. komplett ausgetauscht werden.

Die Forderungen der Cyberkriminellen sind nur Spitze des Eisbergs

Sie sehen: Neben den Lösegeldforderungen fallen weitere, teils unberechenbare Kosten an, die sich selbst bei kleineren Unternehmen schnell zu existenzbedrohlichen Summen addieren können. Mit dieser Aufzählung wollen wir aber keine Angst schüren. Nur wenn Sie verstehen, welche Unternehmensbereiche von einem Angriff betroffen sind, können Sie die Thematik auf Ihren eigenen Betrieb abstrahieren und Maßnahmen ergreifen. Welche Maßnahmen das Bundesamt für Sicherheit in der Informationstechnik empfiehlt und welche Fehler aus unserer praktischen Erfahrung zu vermeiden sind, um nicht Opfer eines gefährlichen Ransomware Angriffs zu werden, führen wir im fünften und letzten Blogbeitrag unserer Serie aus. Wenn Sie bereits jetzt entsprechende Sicherheitskonzepte mit einem spezialisierten IT-Dienstleister erarbeiten möchten, kommen Sie gerne auf uns zu. In einem ersten Evaluationsgespräch nehmen wir die individuellen Gefahren auf und erarbeiten gemeinsam wirtschaftliche Lösungswege.

Die anderen Blogbeiträge unserer Reihe zum Thema Ransomware

  1. Die Erpressungsmöglichkeiten nach Ransomware Angriffen
  2. Ablauf eines Ranswomare Angriffs 
  3. Wie Kriminelle Druck auf Opfer von Ransomware Angriffen ausüben
  4. Finanzielle Folgen eines Ransomware Angriffs auf Unternehmen (dieser Artikel)
  5. Praktische Maßnahmen gegen Ransomware
Hacker zählen Geld nach IT-Sicherheit Vorfall

Wie Kriminelle nach einem Cyberangriff Druck auf Unternehmen ausüben

Wie Kriminelle nach einem Cyberangriff Druck auf Unternehmen ausüben 600 400 Jan Roskosch

Unser letzter Blogbeitrag hat sich damit beschäftigt, in welchen Schritten Cyberkriminelle ein Unternehmenssystem infizieren und Zugriff auf wertvolle Daten erhalten. Im schlimmsten Fall wird dieser Angriff erst mit der Lösegeldforderung der Kriminellen bekannt. Auch hier gibt es ein nach Angaben des BSI fast identisches Vorgehen, um auf Unternehmen Druck aufzubauen. Denn niemand zahlt gerne freiwillig Lösegeld an Kriminelle. Gerade wenn die bestehende Infrastruktur nicht nach den Mindestanforderungen (vgl. BSI Grundschutz) aufgestellt ist, haben Kriminelle leichtes Spiel ihren Forderungen Nachdruck zu verleihen.

  1. Erregung öffentlicher Aufmerksamkeit: Die Angreifer gehen gezielt auf Kunden des betroffenen Unternehmens zu und machen Sie auf den Angriff aufmerksam.
  2. Verkauf der erbeuteten Daten: Gerade digitale Wertgegenstände wie z. B. Bauanleitungen, Programmcodes oder Rezepte werden auf illegalen Börsen von den Kriminellen verkauft und somit teil-öffentlich.
  3. Androhung einer Meldung: Wie weiter oben erwähnt wird bei Hacks, die aufgrund gesetzlicher Vorgaben nicht hätten möglich sein, dürfen eine Meldung an die zuständigen Aufsichtsbehörden gedroht, was massive persönliche rechtliche Konsequenzen für die Geschäftsführerin oder den Geschäftsführer haben kann.

Druck und Überraschungsmoment als größtes Ass der Cyber-Kriminellen

Menschen, die unter Druck stehen, treffen keine guten Entscheidungen (im Zweifel sogar sehr schlechte). Dieses Momentum nutzen Kriminelle gezielt aus, um sich zum einen Zeit zu verschaffen und zum anderen die subjektive Hilflosigkeit einer Organisation zu erhöhen. Das verschafft den Angreifern Zeit und erhöht die Chance, dass das Unternehmen aufgrund der wahrgenommenen Ausweglosigkeit Forderungen nachkommen. Eine Lösung hierzu stellen wir im letzten Teil unserer Blogreihe vor.

Noch bevor die Lösegeldforderungen bezahlt werden, entstehen schon andere Schäden im Unternehmen, die existenzbedrohliche Ausmaße annehmen können. Um zu verstehen, wie Abwehrmechanismen in Unternehmen zu implementieren und zu bewerten sind, schauen wir uns im nächsten Blogbeitrag an, welche Auswirkungen ein Ransomware Angriff auf die betrieblichen Abläufe hat, um uns im letzten Beitrag unserer Serie mit den Präventionsmaßnahmen zu beschäftigen.

Sollten Sie gezielte Unterstützung bei der Umsetzung von entsprechenden IT-Security-Präventionsmaßnahmen wünschen, unterstützen wir von INVENTRY Sie sehr gerne dabei.

Die anderen Blogbeiträge unserer Reihe zum Thema Ransomware

  1. Die Erpressungsmöglichkeiten nach Ransomware Angriffen
  2. Ablauf eines Ranswomare Angriffs 
  3. Wie Kriminelle Druck auf Opfer von Ransomware Angriffen ausüben (dieser Artikel)
  4. Finanzielle Folgen eines Ransomware Angriffs auf Unternehmen
  5. Praktische Maßnahmen gegen Ransomware
Eine Mitarbeiterin eines Unternehmens wurde Opfer eines Ransomware Angeriffs

Ablauf eines Ransomware Angriffs in drei Schritten

Ablauf eines Ransomware Angriffs in drei Schritten 700 467 Jan Roskosch

In diesem Blogbeitrag schauen wir uns an, wie ein Ransomware Angriff im Detail abläuft. Denn nur so können folgende Maßnahmen darauf ausgerichtet werden.

Vorab ein kurzer Rückgriff: Ein Ransomware Angriff bezeichnet die Verschlüsselung von Unternehmensdaten und resultiert in der Erpressung des Unternehmens zur Zahlung von Lösegeldern. Wie läuft ein solcher Angriff aber ab? Wie das BSI in seinem Bericht rekonstruiert ist das gängig Vorgehen zum einen nachvollziehbar, zum anderen aber auch erschreckend gefährlich. Auch wenn es im folgenden Text so wirken könnte, dass es sich bei den Angreifern, um Menschen handelt, ist herauszustellen, dass die meisten Angriffe heute komplett automatisiert durch selbstständige und selbstlernende Programme ausgeführt werden:

Angriff auf die IT-Landschaft in 3 Schritten

  1. Der Angriffsvektor: Der Wege, über den die Ransomware in ein Unternehmensnetzwerk eindringt, nennt man: „Angriffsvektor“. Die Ransomware wird per Mail oder als Link verbreitet und leitet die Empfänger auf eine kompromittierte Website, auf der unbemerkt eine „Mini-Software“ auf den Computer der Person heruntergeladen wird. Also weiter besonders wichtiger Angriffsvektor wird bei Unternehmen nicht aktuelle bzw. nicht sichere VPN Zugänge und Fernwartungsvorgänge erwähnt über die sich Angreifer Zugriff verschaffen können.
  2. Outlook Harvesting: Zeichnen wir das Bild der Ransomware als Wilderer legt sich dieser nun auf die Pirsch und wartet ab: Outlook Harvesting (von Outlook = Mail Harvesting = Ernten) bezeichnet den Vorgang, in dem die Schadsoftware den E-Mail-Verkehr des Unternehmens analysiert, um beispielsweise zu verstehen, wie die Menschen darin miteinander kommunizieren. Aus den gesammelten Erkenntnissen über den E-Mail-Verkehr wird ein authentischer Social-Engineering-Angriff in Form einer besonders glaubwürdigen Mailvorlage entwickelt, die den nächsten Schritt einleitet. Solche Angriffe sind auch „Über Bande“ denkbar. Es könnte z. B. ein Zulieferer mit durchlässiger Sicherheitsstruktur infiziert werden, der dann wiederum instrumentalisiert wird, um ein übergeordnetes Ziel zu infizieren.
  3. Werthafte Ziele identifizieren: Nachdem genügend Informationen gesammelt wurde, wird eine Spionage Software (z. B. durch eine in einem Mailanhang einer authentischen Mail aus der eigenen Organisation) auf die infizierten Systeme aufgespielt, um besonders lohnende Ziele für eine Verschlüsslung zu identifizieren. Nachdem dieser erkannt wurden, werden diese Daten entweder verschlüsselt und oder downloadet. Dasselbe gilt für die Identifizierung von schwerwiegenden Schwachstellen (siehe Teil II unserer Blogreihe).

Bedrohung für wirtschaftlich erfolgreiche Unternehmen besonders groß

Gerade für große und wirtschaftlich gut aufgestellte Unternehmen besteht nach Angaben des BSI eine besondere Bedrohung. Das Big Game Hunting: Bezeichnet den Umstand, dass sich Kriminelle besonders finanzkräftige Unternehmen für ihre Angriffe aussuchen, da hier die höchsten Lösegeldforderungen zu erwarten sind. Das spiegelt sich auch in aktuellen Zahlen wieder: Das Bundeslagebild 2020 aus dem Jahr 2021 des Bundeskriminalamts geht davon aus, dass jedes vierte bis fünfte große Unternehmen bereits Ziel einer Cyberattacke war, wohingegen „nur“ jedes 10. Kleine Unternehmen bereits betroffen war.

Nachdem die werthaften Ziele identifiziert sind, gehen die Cyberkriminellen in die nächste Phase über. Sie bauen Druck auf die Unternehmen auf, um ihre Ziele zu erreichen. Mit welchen Mitteln hier gearbeitet wird und welche Folgen das für Unternehmen haben kann, zeigen wir im nächsten Blogbeitrag.

Die anderen Blogbeiträge unserer Reihe zum Thema Ransomware

  1. Die Erpressungsmöglichkeiten nach Ransomware Angriffen
  2. Ablauf eines Ranswomare Angriffs (dieser Artikel)
  3. Wie Kriminelle Druck auf Opfer von Ransomware Angriffen ausüben
  4. Finanzielle Folgen eines Ransomware Angriffs auf Unternehmen
  5. Praktische Maßnahmen gegen Ransomware
Ein Hacker erpresst ein Unternehmen mit einem Ransomware Angriff

Erpressungs-Szenarien durch Ranswomare

Erpressungs-Szenarien durch Ranswomare 700 474 Jan Roskosch

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht regelmäßig ihre aktuelle Einschätzung der Lage zur Cyberkriminalität in Deutschland. Die neusten Erkenntnisse sind auf der einen Seite zwar alarmierend, da die Bedrohung durch Cyberkriminelle immer akuter wird, zeigt aber auf der anderen Seite auch Möglichkeiten zur Gefahrenprävention auf. In dieser Blogreihe fassen wir die wichtigsten Punkte für Unternehmen zusammen. Dann stellen die aktuellen Gefahren vor und sammeln die empfohlenen Schutzmechanismen. Denn trotz der Gefahr: die wichtigsten Maßnahmen zur Verhinderung von Cyberangriffen sind eigentlich ganz einfach.

  • Bis zu 23 Tage war ein Unternehmen nicht arbeitsfähig, bis die IT-Infrastruktur nach einem Angriff wieder hergestellt worden war.
  • 98 % aller vom BSI geprüften Systeme hatten Sicherheitsschwachstellen, die einen Cyberangriff begünstigen.
  • 14,8 Mio. Meldungen über Schadprogramm-Infektionen gingen beim BSI im Betrachtungszeitraum zwischen dem 1. Juni 2020 bis zum 31. Mai 2021.

Wie sehen Cyberattacken auf Unternehmen aus?

Die allermeisten Angriffe auf Unternehmen in Deutschland sind nach Angabe des BSI sogenannte Ransomware-Angriffe (von engl. Lösegeld). Die konkrete technische Ausgestaltung ist dabei überwältigend. Pro Tag (!) werden im durchschnitt 393.000 Schadprogrammvarianten durch das Bundesamt registriert. Die technische Erklärung dieser Facetten lassen wir darum außen vor und konzentrieren uns auf das Vorgehen der Kriminellen bei ihren Angriffen. Grundsätzlich kann in drei verschiedene Arten der Erpressung unterschieden werden:

  1. Schutzgelderpressung: Kriminelle fordern Geld für das nicht stattfinden lassen von Überlastungsangriffen auf die Serverinfrastruktur eines Unternehmens.
  2. Lösegeldforderungen: Kriminelle verschlüsseln wichtige Unternehmensdaten wie z. B. Auftragsdaten, Patentanleitungen, etc. und bieten die Freigabe erst nach Zahlung eines Lösegelds an. Selbs, wenn Sicherungskopien vorhanden sind, drohen Erpresser mit der Veröffentlichung von erbeuteten Daten, was massive Schäden bis hin zur Insolvenz verursachen kann.
  3. Schweigegelderpressung: Kriminelle legen Rechtsverstöße in der IT-Infrastruktur von Unternehmen offen (z.B. schwerwiegende Verstöße gegen die Datenschutzgrundverordnung oder den BSI Grundschutz) und drohen bei nicht Zahlung eines Schweigegelds, diese Verstöße an die zuständige Aufsichtsbehörde – das Bundesamt für Sicherheit im Datenschutz zu melden.

In einigen Fällen wurden entsprechende Forderungen sogar an Unternehmen gestellt, ohne dass ein tatsächlicher Angriff stattgefunden hat. Aufgrund der bekanntermaßen schlechten Sicherheitsinfrastruktur der Unternehmen konnten diese den Umstand aber nicht adäquat verifizieren, was die Kriminellen für sich nutzen und entsprechende Lösegeldforderungen stellten.

In Teil zwei unserer Blogserie zeigen wir auf Basis der Erkenntnisse des BSI auf, wie ein Ransomware Angriff auf ein Unternehmen abläuft. Sollten Sie für die Evaluation in Ihrem Unternehmen fachliche Unterstützung benötigen, stehen wir Ihnen bei INVENTRY gerne als Expert:innen zur verfügung.

Die anderen Blogbeiträge unserer Reihe zum Thema Ransomware

  1. Die Erpressungsmöglichkeiten nach Ransomware Angriffen (dieser Artikel)
  2. Ablauf eines Ranswomare Angriffs 
  3. Wie Kriminelle Druck auf Opfer von Ransomware Angriffen ausüben
  4. Finanzielle Folgen eines Ransomware Angriffs auf Unternehmen
  5. Praktische Maßnahmen gegen Ransomware