49% aller Unternehmen wurden bereits Opfer von erpresserischer Datenverschlüsselung (Ransomware).

Eine von Osterman Research neu veröffentlichte Studie befasst sich mit der immer weiter um sich greifenden Ramsomware-Problematik. Untersucht wurden Auftrittshäufigkeit, Folgen sowie Strategien zur Vermeidung in den 4 Ländern Großbritannien, Kanada, USA und Deutschland.

Nach wie vor wird in vielen deutschen Firmen die von Ramsomware ausgehende Gefahr unterschätzt. In lediglich 19% der befragten Unternehmen wurde Ramsomware als konkrete Gefahr erkannt und Strategien zur Vermeidung festgelegt. Zum Vergleich: in den anderen untersuchten Staaten liegt diese Quote bei jeweils über 50%.

Was ist Ramsomware?

Ramsomware verschlüsselt auf einem betroffenen Gerät vorhandene Dateien, je nach Typ der Ransomware werden auch im Netzwerk befindliche Dateien verschlüsselt. I.d.R. erfolgt die Verschlüsselung mit einem Algorithmus, welcher eine Entschlüsselung der Daten ohne Kenntnis des Verschlüsselungskennwortes nicht zulässt. Nach durchgeführter Verschlüsselung wird das Opfer dazu aufgefordert, ein bestimmtes Lösegeld zu zahlen, um das Entschlüsselungskennwort bzw. ein Werkzeug zur Entschlüsselung zu erhalten.
49 Prozent der in der Studie befragten Firmen waren in den vergangenen 12 Monaten mindestens 1mal Opfer eines diesbezüglichen Angriffs.

Welche Auswirkungen kann Ramsomware haben?

Hat das Opfer keine weiteren Vorkehrungen getroffen, so sind die verschlüsselten Daten verloren, solange nicht – mit ungewissen Ausgang – auf die Erpressung eingegangen wird. Ein vollständiger Verlust relevanter Daten kann bis zur Insolvenz der betroffenen Firma führen.
In der Realität kommt es zu einem totalen Datenverlust eher selten, da bestimmte Schutzmaßnahmen (z.B. Datensicherung) gegen Datenverlust i.d.R. vorhanden sind.
In 74% der deutschen Fälle waren Personen (z.B. Mitarbeiter des Unternehmens oder Kunden) untmittelbar (durch Datenverlust) betroffen.
In 13% der deutschen Fälle kam es zu einem Stillstand der Geschäftstätigkeit / der Produktion, 22% der Angriffe hatten eine negative Auswirkung auf das Betriebsergebnis. In 4% der betroffenen Firmen war der Fortbestand des Unternehmens bedroht.

Wie wird Ramsomware verbreitet?

Hauptsächlicher Verbreitungsweg von Ramsomware sind Emails bzw. in Emails enthaltene Anlagen (zusammen 69%) oder infizierte Webseiten (23%).
In zahlreichen Fällen ist die Herkunft der Ramsomware nicht zu klären.
Ramsomware kann über Desktop PCs (49%), Notebooks (36%), Server (4%) oder auch Tablets/Smartphones (4%) in das Firmennetzwerk gelangen.
Besonders schädlich ist eine Verbreitung über einen Server, da dieser i.d.R. auf sämtliche Netzwerkressourcen / Netzlaufwerke zugreifen kann.
Hat eine Ramsomware das Firmennetzwerk befallen, so sind in >40% der Fälle mehrere Geräte (PCs, Notebooks, Server) betroffen

Welche Strategien gibt es gegen Ramsomware?
„Das eine“ Mittel gegen Ramsomware gibt es nicht, es ist eine mehrstufige Strategie erforderlich.
Grundlage für eine Strategie gegen Ramsomware ist, dass sich das Management des Unternehmens des Risikos bewusst und bereit ist, entsprechende Maßnahmen zu ergreifen. Wozu auch die Bereitstellung eines entsprechenden Budgets gehört.
Zunächst einmal ist es wichtig, die Mitarbeiter des Unternehmens entsprechend zu schulen – insbesondere im bedachten Gebrauch von Email und Internet. Nicht angeforderte Anlagen bzw. Anlagen unbekannter Herkunft sollten mit Vorsicht behandelt werden. Der Gebrauch des Internets ist möglichst sicher zu gestalten, Scriptblocker (z.B. NoScript) und Adblocker helfen, Quellen für Schadsoftware zu blockieren. Selbstverständlich sollte ein aktueller Virenscanner sein.

Auch organisatorisch / netzwerktechnisch kann die Verbreitung von Ramsomware verhindert werden.
Im Netzwerk angemeldete Benutzer sollten nach Möglichkeit nur eingeschränkte Schreibrechte auf das Netzwerk besitzen. Im vom Laempe Risk Management angebotenen Tool Y-TTT beispielsweise benötigt der Benutzer keine Schreibrechte auf das Netzwerk; entsprechende Verbindungen mit Schreibrechten werden softwareseitig ausschließlich aufgebaut und unmittelbar wieder getrennt, wenn auf eine Netzwerkdatei schreibend zugegriffen werden soll.
Über Y-TTT verwaltete Dokumente sind somit wirksam vor Ransomware geschützt.
Serverseitig sind bestimmte Vorkehrungen möglich, welche einen Befall von Ramsomware selbständig erkennen und die Netzwerkverbindung zum befallenen Gerät (z.B. PC oder Notebook) automatisch trennen. Auch hier bietet Laempe Risk Management eine erprobte Lösung.
Grundlage für die Datensicherheit ist eine Datensicherung. Doch auch hier gibt es einige Dinge zu beachten: die ideale Datensicherung ist ausgelagert (wird beispielsweise auf eine angeschlossene USB-Festplatte gesichert, so wird bei einem Befall auch diese verschlüsselt -> die „Datensicherung“ ist ebenfalls zerstört), läuft automatisiert ab und wird täglich kontrolliert. Auch hier bietet Laempe Risk Management mit SAVIA 3000 ein Rundumsorglos Paket.