YOUR COMPANY NETWORK HAS BEEN HACKED
Dear customer,
Your data was encrypted with a strong crypto algorithm and can be decrypted fast and safely. Don’t worry, we can help you to restore your servers to initial state. Price of automatic decryption tool and your decryption key for all PC in local network is:
80.000$
after 7 days
to: 1.000.000$
Waiting for your answer with kind regards.
Your hacker.
Das, wovon viele Unternehmer glauben, dass es nur den anderen passiert, erscheint schneller auf dem Bildschirm als die meisten vermuten. Die eigene Firma sei zu klein, zu unbedeutend, arbeite nicht mit sensiblen Daten. Leider zeigt sich in der Realität, dass Hacker auch vor diesen Unternehmen nicht mehr Halt machen. Die aktuelle Sophos Studie The State of Ransomware 2020, für die 5.000 IT-Entscheider in 26 Ländern befragt wurden, ergab, dass jede zweite Organisation 2019 und 2020 einen Ransomware-Angriff erlebt hat und bei 73% der gehackten Systeme Daten verschlüsselt werden konnten. Durchschnittlich wurden dabei 730.000$ Lösegeld für die Entschlüsselung gefordert.
Neben den Kosten für das Lösegeld, die Ausfallzeiten, verlorene Aufträge etc. kann ein solcher Cyber-Angriff auch ein großer Imageverlust für die betroffenen Betriebe bedeuten. Da man von tatsächlich stattgefundenen Ransomware Cyber-Attacken nur wenig hört, möchte ich dieses reale Cyber-Risiko näher beleuchten.
Was ist Ransomware?
Wer ist ein typisches Opfer von Ransomware-Angriffen?
Wie erhalten und bezahlen Betroffene die Lösegeld-Forderung?
Wie hoch ist das erpresste Lösegeld in der Regel?
Wie sollten Ransomware Betroffene reagieren?
Sollte man das Lösegeld bezahlen?
Was passiert nach der Lösegeldzahlung?
Wie können sich Unternehmen gegen Ransomware-Attacken schützen?
Fazit
Der Begriff Ransomware geht auf das englische Wort ransom für “Lösegeld” zurück und bezeichnet Schadprogramme, mit deren Hilfe Cyberkriminelle unbefugt in die Systeme Dritter eindringen, um dort alle erreichbaren Daten und Systeme zu verschlüsseln. In diesem Zusammenhang liest und hört man auch von sogenannten Kryptotrojanern, Erpressungssoftware, Verschlüsselungstrojanern oder Verschlüsselungsviren.
Nach der Datenverschlüsselung können Sie ihr Word nicht mehr starten, keine Prozesse mehr steuern und keine Daten mehr lesen. Ihr Mailsystem ist nicht mehr abrufbar, Lagersysteme, Maschinen, Roboter - nichts geht mehr. Stattdessen werden Meldungen im Unternehmensnetzwerk platziert, dass dieses gehackt wurde und erst nach Eingang der geforderten Lösegeldsumme wieder freigegeben wird.
Eingedrungen ist die Ransomware beispielsweise an einer Exchange-Sicherheitsschwachstelle, die etwa aufgrund nicht gepatchter Systeme entstehen kann. Die Schlafzeit des Virus kann einige Tage oder Wochen betragen, sodass er erst entdeckt wird, wenn es bereits zu spät ist und auf allen Bildschirmen zu lesen ist: YOUR COMPANY NETWORK HAS BEEN HACKED.
Rational betrachtet sind alle Unternehmen gefährdet, Opfer eines Ransomware-Angriffs zu werden. Die kleinste gehackte Organisation, die ACP bekannt ist, bestand aus einer Rechtsberatung mit gerade einmal vier Mitarbeitern.
Die Hacker wählen ihre Opfer auf zwei verschiedenen Wegen aus:
In den meisten Fällen stellen die Erpresser Kontaktmöglichkeiten über E-Mail oder sogenannte “Support”-Portale im Darknet, die über einen downloadbaren Tor-Browser erreichbar sind, zur Verfügung. Dort treten die Betroffenen in Kontakt mit den Angreifern und erhaltene genaue Instruktionen, wie die Transaktion in Bitcoin oder einer anderen Kryptowährung durchzuführen ist. Dieser Prozess dauert in der Regel mehrere Stunden bis Tage, da die Erstellung einer Wallet und die Deponierung des Geldes ein recht aufwändiger Prozess ist.
Die Lösegeld-Forderungen bei einem Ransomware Cyber-Angriff reichen von mehreren hundert bis hunderttausend Euro. In den meisten Fällen wissen die Cyberkriminellen sehr genau, mit welchem Unternehmen sie es zu tun haben und wie viel dort zu holen ist. Eine mittelständische Firma aus Tirol mit rund 50 Mitarbeiter*innen sieht sich wahrscheinlich mit einem erpressten Betrag im höheren fünfstelligen Bereich konfrontiert.
Wer Opfer einer Ransomware-Attacke geworden ist, muss schnell handeln, um den Schaden bestmöglich zu begrenzen:
Das Lösegeld zu bezahlen bedeutet, Sie lassen sich erpressen. Das Lösegeld NICHT zu bezahlen bedeutet, Sie haben unwiderruflich keinen Zugang mehr zu Ihren Dateien und Systemen. Eine richtige Antwort auf diese Frage gibt es also nicht wirklich.
Erfahrungsgemäß stellen die Erpresser anhand von 2-3 unwichtigen Dateien unter Beweis, dass sie alles wieder entschlüsseln können. Sobald das Lösegeld bezahlt wurde, erhalten Sie eine Entschlüsselungssoftware, deren Qualität allerdings vom jeweiligen Erpresser abhängt. Es ist nicht damit zu rechnen, dass Backups und Datenbanksysteme anschließend wieder reibungslos funktionieren, sondern in aufwendiger Nacharbeit von IT-Expert*innen repariert oder neu installiert werden müssen. Die Erfahrung zeigt jedoch, dass die Erpresser nach einer Ransomware-Attacke zuverlässig sind und die Software zur Entschlüsselung bereitstellen, denn nur so ist sichergestellt, dass die betroffenen Unternehmen auch in Zukunft das Lösegeld bezahlen werden.
Nach der Lösegeldzahlung gibt es keinen weiteren Kontakt mit den Cyberkriminellen und die "Aufräumarbeiten" im eigenen Unternehmen beginnen. Diese können mehrere Wochen oder Monate in Anspruch nehmen, da sichergestellt werden muss, dass der Virus endgültig aus allen Systemen entfernt ist. Um einen drohenden Neuangriff zu vermeiden, müssen daher alle Systeme neu installiert werden.
Außerdem sind Sie gemäß DSGVO verpflichtet, alle Mitarbeiter*innen, Kunden, Lieferanten, Partner und Behörden über die stattgefundene Ransomware-Attacke zu informieren. Die zuständigen Behörden werden daraufhin überprüfen, ob zuvor alle notwendigen technischen und organisatorischen Maßnahmen getroffen wurden, um den Cyberangriff zu vermeiden. Falls nicht, drohen Strafen von bis zu vier Prozent des Jahresumsatzes.
Um sich gegen Ransomware Cyber-Angriffe zu schützen, müssen Sie mehrere Maßnahmen ergreifen, überprüfen und regelmäßig evaluieren. Denn IT-Security ist ein komplexer und permanenter Prozess, der aus vielen ineinandergreifenden Komponenten besteht:
Entwickeln Sie mit den Sicherheitsexperten Ihres Vertrauens eine nachhaltige Disaster-Recovery & Backup Strategie, die eine schnelle Wiederherstellung aller Daten und Systeme ermöglichen. Auf diese Weise stellen Sie für den Notfall sicher, welche Daten wie aktuell verfügbar und wie schnell betroffene Systeme wieder lauffähig sein sollen. Notfallpläne helfen außerdem dabei, die Ausfallzeit zu reduzieren und im Schadensfall umgehend die richtigen Maßnahmen zu treffen.
IT-Versicherungen federn die hohen Schadenssummen aufgrund von Lösegeldforderungen, Ausfallzeiten, Kosten für IT-Spezialisten etc. im Falle von Cyber-Angriffen ab. Die Zusammenarbeit mit einem erfahrenen IT-Anbieter, etwa über Security Operation Centers, verlagert das Ransomware Risiko außerdem zu den Profis.
Keine Unternehmer*innen dieser Welt möchten morgens ihre Computer einschalten und lesen, dass das Unternehmensnetzwerk gehackt wurde. Und noch weniger möchten sie einen hohen mehrstelligen Betrag an irgendwelche Hacker bezahlen, um danach Monate lang das entstandene Chaos zu beseitigen. Dieses Lehrgeld ist eindeutig zu hoch, um bezahlt zu werden. Setzen Sie daher frühzeitig auf eine ganzheitliche IT-Security, denn das ist noch immer der beste Schutz gegen Ransomware oder andere Cyber-Angriffe.
Wussten Sie, dass Sie mit ein paar Clicks in Ihren Microsoft Sicherheitseinstellungen das Risiko, Opfer eines Ransomware Angriffs zu werden, schon um die Hälfte minimieren können? Ohne zusätzliche Tools anschaffen zu müssen?
Gerne unterstützen wir Sie mit unserem Sicherheitsworkshop bei der Begutachtung dieser Sicherheitssysteme. Wir zeigen Ihnen in einem halben Tag, wie Sie Sicherheitslücken schließen.
Rufen Sie mich an und wir besprechen, wie Sie Hackern ganz einfach weniger Chancen geben.