Die Erpressung über das Internet ist zu einem lukrativen Geschäftsmodell geworden. In den letzten zwei Jahren ist die Anzahl der Angriffe überproportional gestiegen und damit auch die Zuwachsraten bei den erpressten Lösegeldern. Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) sind vor allem die deutschen Mittelständler betroffen, aber auch Universitäten, Schulen und andere öffentliche Einrichtungen. Ganze Computersysteme werden durch Verschlüsselungs-Trojaner unbrauchbar gemacht, bis das geschädigte Unternehmen oder die öffentliche Einrichtung Lösegeld für die Entschlüsselung der Datensysteme per Bitcoin o.ä. bezahlt. Dass Cyber-Angriffe auch tödlich enden können, zeigt das traurige Beispiel des Angriffs auf das Uniklinikum Düsseldorf im September 2020. Seit Beginn des Ukraine Kriegs verzeichnet das BSI übrigens mehr staatlich geförderte Cyber-Angriffe.
Angriffsvektor: Social Hacking
Wie kommt es nun zu diesen Angriffen, die im Endresultat ein ganzes Unternehmen lahmlegen können? Den größten Erfolg erreichen die Angreifer durch das sogenannte „Social Hacking“. Hierbei wird der menschliche Benutzer dazu gebracht, eine Hintertür ins Unternehmen zu öffnen, beispielsweise über manipulierte E-Mails, in dem dem Empfangenden eine valide E-Mail vorgegaukelt wird, die sie oder ihn zu einer Aktion verleitet, ein Programm auszuführen, das später das Einfallstor für die Angreifer darstellt. Social Hacking ist deshalb so erfolgreich, weil die Standard-Schutzmaßnahmen wie Virenscanner und Firewall den Benutzer nicht daran hindern können, das Programm auszuführen. Die Täuschungen der Angreifer sind so ausgeklügelt, dass selbst Experten sie nicht immer entlarven können. So wie leider nach wie vor viele ältere MitbürgerInnen auf den sogenannten Enkeltrick reinfallen, kann auch die Belegschaft reinfallen.
Angriffsvektor: Fernzugriff im Home-Office
Die zweite erfolgreiche Methode, um einen Erpressungs-Trojaner einzuschleusen, ist ein Angriff über den Fernzugriff auf eine Computerarbeitsfläche (Remote Desktop Protocol RDP). Vor allem zu Beginn der Corona-Pandemie nutzten viele Unternehmen diese Möglichkeit, per Fernzugriff den Mitarbeitern Zugang auf die Computersystem zu geben, damit sie von zu Hause aus arbeiten können.. Meist waren und sind diese Verbindungen aber schwach gesichert, wiesen beispielsweise keine 2-Faktoren Sicherung oder keine Brute-Force Attacken-Erkennung auf. Hacker hatten ein leichtes Spiel, die Verbindung von außen über Netzwerk-Scanner zu detektieren, anzugreifen und Schadsoftware in Firmennetzen zu platzieren.
Vektor: IoT-Geräte
Auch Angriffe über IoT-Geräte (Internet-of-Things), die im Firmennetz angeschlossen sind und Daten mit einem externen Cloud-Service austauschen, sind Eintrittstor für Erpressungs-Trojaner. So entwendeten Hacker beispielsweise Datenbankinformationen von Kunden eines Casinos, indem sie über einen smarten Temperatur-Sensor eines Aquariums in das interne Netz des Casinos eindrangen. Die Angreifer versuchen stets das schwächste Glied der Sicherheitskette auszunutzen, in diesem Fall war es ein schwach geschütztes Gerät, das im Internet zu finden war und als Einfallstor für die Angriffe auf das interne Netz diente.
IoT-Geräte sind insbesondere gefährdet, da es für sie noch keine Zulassungsvoraussetzung für die IT-Sicherheit gibt. Mehr dazu am Ende des Artikels.
Angriff nach Schema F
Wie gehen kriminelle Hacker vor? Nach Auswertung von Daten ist die Vorgehensweise mit leichten Abweichungen immer gleich.
1. Etablierung eines Zugangspunkts im fremden Netz und Installierung eines Schadprogramms, beispielsweise durch Phishing.
2. Durch diesen Zugang aktive Durchforstung des Netztes und wichtiger Netzknoten nach internen Informationen (Datenbanken, Backup-Server, Mail-Server, Active Directory Server, Mitarbeiterinformationen, Finanzinformationen etc.), um diese dann typischerweise im Darknet zum Verkauf anzubieten.
3. Infiltrierung und Übernahme wichtiger Netzwerkknoten (Privilegierte Server) und Vorbereitung der Verschlüsselung.
4. Start der Verschlüsselung und gleichzeitige Lahmlegung wichtiger Systeme zu einem „günstigen Zeitpunkt“, beispielsweise am Wochenende oder an Feiertagen.
5. Zustellung des Erpressungsschreiben mit der Forderung nach Lösegeld.
Geschäftspartner mit betroffen
Oft bleibt es nicht bei einem Angriff auf ein vereinzeltes Netz. Die Angreifer infiltrieren vielmehr Verbindungen zu weiteren Firmennetzen, wie von Kooperationspartnern oder Subunternehmen. Ein Beispiel hierfür ist der Angriff auf die Universität Düsseldorf, bei der das Klinikum nicht im Fokus stand, aber trotzdem deren Systeme so beeinträchtigt wurden, dass die Notfallversorgung nicht mehr zur Verfügung stand und es zu einem Todesfall kam. Auch die Stadtwerke Mainz waren Opfer eines Angriffs auf einen Zulieferer und selbst stark beeinträchtigt.
Hohe Kosten nach einem Angriff
Die Behebung der Schäden durch einen Cyber-Angriff ist sehr zeitaufwändig und kostenintensiv. Zusätzlich zu den Kosten des Produktions- oder Serviceausfalls muss das Unternehmen die Kosten für die externe Unterstützung zur Behebung des Schadensfalls, für neue Hardware und Software, für eventuell neue Sicherheitsmechanismen wie neue Firewalls und Intrusion-Detection-Systeme und unter Umständen Kosten für das Erpressungsgeld aufbringen. Vor allem viele Mittelständer geraten hier ins Hintertreffen. Ihre IT-Abteilungen verfügen meist nicht über das notwendige Know-how. Folglich müssen externe IT-Experten beauftragt werden, um die Systeme wieder zum Laufen zu bringen. Vor allem die Entscheidungsflut überfordert so manches Unternehmen. Der Schaden muss nicht nur gesichtet werden, vielmehr muss analysiert werden, wie eine Behebung aussehen kann und wie die Systeme neu aufzusetzen sind. Weiterhin müssen Beweise für eine Strafverfolgung gesichert werden, die Behörden kontaktiert und der Kontakt mit den Erpressern gehalten werden. Spezialisierte IT-Experten müssen weiterhin bewerten, ob das Zurückspielen von Backup-Dateien möglich und sinnvoll ist, denn unter Umständen wird hierfür mehr Zeit benötigt als für die Entschlüsselung nach dem Bezahlen des Lösegelds. Den Unternehmen muss eines immer klar sein: Wenn die Schadsoftware nicht vollständig entfernt und das System (Server und Clients (Laptops)) nicht komplett neu aufgesetzt wurde, ist es ein leichtes Spiel für die Erpresser, einen weiteren neuen Angriffsversuch zu starten.
Die Gretchenfrage: Wie schützt sich ein Unternehmen?
Leider gibt es keinen 100-prozentigen Schutz, da die Angriffe ständig verbessert werden. Die Strukturen der kriminellen Angreifer gleichen modernen IT-Unternehmen und vom Know-how können die Black-Hat-Hacker es durchaus mit ihren White-Hat-Hacker-Kollegen auf der Gegenseite aufnehmen: Ein Heer an Black-Hat-Hackern entwickelt in der „Entwicklungsabteilung“ die neueste Schadsoftware, die dann zum Einsatz kommt. Dennoch sollten Unternehmen sich nicht entmutigen lassen und einige Maßnahmen ergreifen. Schließlich meidet auch der Einbrecher das Haus mit der Alarmanlage und zieht zum Nachbarn ohne weiter.
1. Einrichtung eines Informations-Sicherheits-Management Systems nach ISO 27001
Mithilfe des Systems kann das Unternehmen mögliche Risikofaktoren und Einfallstore systematisch unter die Lupe nehmen, bewerten und mögliche Lücken erkennen.
2. Benennung eines Chief Information Security Officers (CISO)
Der CISO ist für die Informationssicherheit im Unternehmen verantwortlich. Zu den Aufgaben zählt die Einrichtung und Überwachung von Sicherheitsmaßnahmen in der Firma. Hierzu zählt beispielsweise die Einrichtung eines wirksamen Backups, um wichtige Daten regelmäßig so zu sichern, dass ein Erpressungs-Trojaner sie weder verschlüsseln noch unwirksam machen kann.
3. Durchführung eines Penetration-Tests
Ein Cyber-Angriff führt in jeder Firma zu einem Höchstmaß an Stress. Um vorbereitet zu sein und nicht durch panische Kurzschlusshandlungen falsche Entscheidungen zu treffen, ist es angebracht, eine Art Penetration-Test durchzuführen. Hierzu sollten mögliche Schwachstellen eruiert und die Situation eines Angriffs vorher mit allen relevanten Abteilungen durchgespielt werden. Kommunikationswege sowie einzuleitende Maßnahmen und mögliche Entscheidungen sollten vorab festgelegt werden.
4. Kontaktaufnahme zu IT-Sicherheitsfirmen
Ebenso sollte im Vorfeld Kontakt zu IT-Sicherheitsfirmen aufgenommen werden, um zu prüfen, ob sie im Ernstfall auch eingreifen können. Ist eines ausgewählt, sollten die Unternehmen mit der IT-Sicherheitsfirma Konzepte zur Vorgehensweise im Ernstfall absprechen.
5. Bildung von Rücklagen
Es lohnt sich, Rücklagen für ein mögliches Lösegeld zu bilden. Ebenso sollten Unternehmen sich mit der Beschaffung von Crypto-Währungen wie Bitcoins beschäftigen.
6. Last but not least: Schulung von Mitarbeitern
Um sich vor Angriffen zu schützen und die Chance von Phishing-Angriffen zu verringern, ist die Schulung von Mitarbeitern unerlässlich, beispielsweise durch den CISO. Ziel sollte ein gemeinsames Verständnis für die Informationssicherheit innerhalb des Unternehmens sein, sodass sich jeder Mitarbeiter der Gefahr und der individuellen Verantwortung bewusst wird. Die Unternehmensführung sollte bei einem Angriff wie auch bei der Behandlung von Sicherheitsvorfällen vermeiden, Mitarbeiter mit Schuldzuweisungen zu konfrontieren, da sie sonst in Zukunft aus Angst Vorfälle eventuell nicht mehr melden oder gar vertuschen. Bei Angriffen darf die Unternehmensführung nicht vergessen, dass sie es mit professionellen Cyber-Kriminellen zu tun hat und die meisten unbedarften Mitarbeiter oftmals gar nicht reagieren können. Um sich gegen Hackerangriffe zu wehren, bedarf es des Wissens von Experten der Cyber-Sicherheit.
Gemeinsam stark mit CERT@VDE
Um gerade mittelständische Unternehmen zu unterstützen, bietet der VDE als Service „CERT@VDE“ (CERT = Computer Emergency Response Team) an. CERT@VDE stellt den Unternehmen ein Expertenteam und eine Community zur Seite, um einerseits individuell Hilfestellung bei Sicherheitsproblemen für die Firmen zu geben (Advisories, Schwachstellenbeschreibungen und -veröffentlichungen) und andererseits eine Gemeinschaft zu bieten, um gemeinsam Herausforderungen in Bezug zur Cyber-Security im Vorhinein zu lösen. Negative wie positive Erfahrungen, die ein Unternehmen gemacht hat, hilft den anderen ihre Schäden zu verringern. Gemeinsam ist man schließlich immer stärker.
Vorsprung durch KRITIS
Einen Vorsprung haben die Betriebe, die der kritischen Infrastruktur (KRITIS) angehören. Diese haben gesetzesbedingt bereits ein ISMS etabliert und sind somit besser vorbereitet. Aber auch solche Betriebe sind nicht sicher vor Angriffen, beispielsweise wenn beispielsweise Teile der IT-Infrastruktur aus dem Schutz des ISMS herausgenommen wurden. Besonders kleine und mittlere Firmen, kleine Krankenhäuser und Behörden, die nicht den kritischen Infrastrukturen zugeordnet sind, stehen ebenfalls unter virtuellem Beschuss. Gerade sie müssen sich mit dem Thema Cyber-Security auseinandersetzen, da sie im Ernstfall auf sich gestellt sind.
Sicherheitslücke IoT
Derzeit gibt es noch keine Zulassungsvoraussetzung für die IT-Sicherheit von IoT (Internet-of-Things) Geräten mit der Folge, dass viele dieser Geräte entsprechend vor Cyber-Angriffen schlecht geschützt sind. Nur vereinzelte Firmen lassen ihre Geräte freiwillig prüfen und damit gegen Angriffe härten. Zwar gibt es mit der ETSI EN 303 645 eine guten Basisschutz für IoT Geräte und auch das VDE Prüfinstitut bietet seit nun fast 10 Jahren Prüfungen für die Informationssicherheit für Geräte, Smartphone-Apps und Backend-Systeme an. Aber da diese Prüfungen nicht gesetzlich vorgeschrieben und mit Kosten verbunden sind, schrecken gerade kleinere und mittlere Unternehmen vor ihnen zurück und lassen ihre IoT-Systeme schlecht geschützt im Internet aktiv. Die EU-Kommission hat dieses Problem erkannt und nun die ersten Anforderungen in Bezug zur Informationssicherheit für Verbrauchergeräte auf den Weg gebracht. Über die Verordnung von Funkanlagen (RED -Radio Equipment Directive 2014/53/EU) werden ab dem 01.08.2024 alle Geräte, die ein Funkmodul besitzen und mit dem Internet verbunden sind, Anforderungen an die Informationssicherheit und den Datenschutz erfüllen müssen.
So soll beispielsweise verhindert werden, dass verteilte Geräte Teil eines Bot-Netztes werden, die dann gemeinsam Server-Systeme angreifen und damit lahmlegen (Verteilter-Denial-of-Service-Angriff). Hierfür müssen die Updates der IoT-Geräte sicher implementiert werden und persönliche Daten durch wirksame Verschlüsselung gesichert werden.
Diese Verordnung ist Teil der Anforderungen für ein CE Kennzeichen und damit sind alle Geräte, die in Europa ab August 2024 verkauft werden und die in den Anwendungsbereich der RED fallen, von den neuen Anforderungen betroffen.
Der VDE erwartet, dass die EU-Kommission in Zukunft ähnliche Sicherheitsmerkmale in weiteren Verordnungen fordert und damit noch mehr Geräte und Systeme für die Marktzulassung Informationssicherheitsanforderungen erfüllen müssen.
Services zur Informationssicherheit
Das gemeinnützige VDE Prüfinstitut bietet unterschiedlichste Services an, um Unternehmen bei der Erfüllung von Anforderungen zur Informationssicherheit zu unterstützen:
- Produktprüfungen und Zertifizierungen für Kommunikationsgeräte, Apps und Backend-Systeme nach aktuellen Standards (VDE-PB-0004/5, ETSI EN 303 645, IEC 62443-4-1/2)
- Workshops und entwicklungsgeleitende Prüfungen für Prozesse und Produkte sowie zu Risikoanalysen zur Informationssicherheit und Anforderungen aus Standards
- Expertengespräche für Anforderungen zur RED 3.3 d.e.f
- EU Baumusterprüfbescheinigung für RED 3.3 d.e.f
- Infotag am 28. September 2022: VDE Infotag Cybersecurity für Funkanlagen
- Webinare zu aktuellen Themen der Cyber-Security
- CERT@VDE
Crisis Prevention 3/2022
Alexander Matheus
VDE Verband der Elektrotechnik
Elektronik Informationstechnik e. V.
vde-institut@vde.com