Interview mit IT-Sicherheit- und Datenschutzexperte Olav Seyfarth

iTernity: Herr Seyfarth, man hört in den Medien immer wieder von Ransomware-Angriffen, die ganze Konzerne zum Stillstand bringen. Wie funktioniert Ransomware überhaupt?

Olav Seyfarth: Ransomware funktioniert meist nur in Verbindung mit Social Engineering. Das heißt, Ransomware wird immer nur dann funktionieren, wenn ich mein Opfer dazu bringe etwas zu tun, was es sonst nie getan hätte. Hier spricht man heute auch von Phishing. Eine typische Ransomware verschlüsselt Daten auf einem Zielsystem und fordert für die Entschlüsselung ein Lösegeld. Es ist schlicht gesagt eine Erpressung mit den eigenen Daten.

Wie können die „Infektionswege“ von Ransomware aussehen?

Seyfarth: Sehr unterschiedlich, hier sind der Fantasie der Angreifer keine Grenzen gesetzt. Die gebräuchlichste Ransomware ist die, bei der bestimmte Daten auf dem System des Opfers verschlüsselt werden. Es tauchen aber immer wieder neue Varianten auf.

Ich gehe davon aus, dass in Zukunft zusätzlich zu der Verschlüsselung verstärkt auch Daten aus Unternehmen herausgeschafft werden. Wenn der Angreifer einmal im Besitz der Daten ist, sinkt natürlich auch die Gewähr dafür, dass der Spuk nach Zahlung des Lösegelds vorüber ist.

Cyberkriminelle schlagen also immer neue Wege bei der Erpressung ein. Wie entwickelt sich Ransomware technisch weiter?

Seyfarth: Jede Form von Malware entwickelt sich weiter, das ist ein ganz normales „Arms Race“. Unternehmen setzen zunehmend ausgefeiltere Sicherheitskomponenten ein, etwa in Firewalls oder Media Gateways. Dies führt dazu, dass sich die Entwickler von Ransomware überlegen, wie sie diese Komponenten überlisten können. Wie kann ich einen Schadcode so in meine PDF oder Excel einbinden, dass der Virenscanner gar nicht aktiv wird? Inzwischen sind viele verschiedene Technologien im Einsatz und das Thema Malware ist extrem vielschichtig.

Das Geschäft mit Ransomware ist für Cyberkriminelle sehr erfolgsversprechend. Was genau macht es so attraktiv?

Seyfarth: „Gute“ Schadsoftware zu schreiben ist teuer und braucht Expertise, und zwar Expertise nicht erwischt zu werden. Wir reden hier von hochspezialisierter Softwareentwicklung. Das „Business“ Ransomware orientiert sich an klassischen wirtschaftlichen Überlegungen: Wo tummeln sich viele potenzielle Opfer? Wo sind kritische Infrastrukturen? Wo ist viel Geld vorhanden?

Dementsprechend variiert auch die Ausgestaltung der Schadsoftware. Ich kann entweder eine große, solvente Firma gezielt angehen und auf einen Schlag 5 Millionen Euro rausholen oder ich entwickle völlig stumpfsinnige Software, die auf die breite Masse ausgelegt ist und sich auf 5 Millionen Opfer verstreut. Insofern haben wir beides, sowohl die stumpfsinnigen Angriffe, welche leichter abwehrbar sind, als auch die hochspezialisierten Angriffe.

Diese hochspezialisierten Angriffe sind so konzipiert und langfristig angelegt, dass sie kaum abzuwehren sind. Die Angreifer analysieren genau, wie eine Firma aufgestellt ist – technisch, organisatorisch, wer mag wen… Vor einem Angriff wird teilweise eine psychologische Analyse der wesentlichen Menschen erstellt. Dann überlegt sich der Angreifer eine Strategie, wann er was über wen in das Zielunternehmen hineinträgt.

Die gängigen Phishing-Mails, beispielsweise getarnt als Mail eines Kollegen, sind oft nicht gut gemacht oder sonderlich vertrauenswürdig. Warum sind diese E-Mail-Angriffe dennoch erfolgreich?

Seyfarth: Der Erfolg dieser Maßnahmen ist schlichtweg ein Spiel der großen Zahlen. Durch die vielen Datenschutzvorfälle sind Milliarden von gültigen Mail-Adressen im Umlauf und leicht zugänglich. Ich kann einfach ein paar Millionen Adressen für ein paar Euro kaufen. Von denen tappen dann ein paar Tausend in die Falle und der Angreifer kann jeden von ihnen um 50 Euro erleichtern.

Viele Ransomware-Angriffe sind subtiler als die Erpressernachricht mit Totenkopf auf dem Desktop. Gibt es eine Möglichkeit schon zu einem frühen Zeitpunkt zu erkennen, dass mein System infiziert ist?

Seyfarth: Es fängt oft damit an, dass einzelne Dateien nicht mehr lesbar sind. Der Nutzer sagt sich dann oft „da stimmt irgendwas nicht, aber vielleicht habe ich einen Fehler gemacht“ – und lebt damit. Es gibt eine große Hemmschwelle die IT-Abteilung anzurufen und sie mit solchen Kleinigkeiten zu belästigen. Beim Thema Ransomware müssen wir dafür sorgen, dass sich die IT-Abteilung als Service versteht, beim Lernen hilft und Unsicherheiten aus dem Weg räumt. Das kostet Zeit, zahlt sich auf lange Sicht aber aus.

Beispielsweise kann man ein Postfach oder eine interne Hotline einrichten, an welche alle Auffälligkeiten gemeldet werden können. Die Reaktionszeiten müssen kurz sein, damit der Arbeitsalltag nicht ins Stocken gerät. Aus meiner Erfahrung braucht es ungefähr zwei Monate, bis sich das eingespielt hat. Dann kommt in dieses Postfach nicht mehr viel rein und die Fragen, die reinkommen, haben es oft in sich. Wir müssen unsere Mitarbeiter motivieren, lieber mal zum Telefon zu greifen um nachzufragen, als einen dubiosen Anhang selbst zu öffnen. Wir müssen auf unser Bauchgefühl hören und ein Arbeitsumfeld schaffen, in dem die Mitarbeiter die Chance bekommen aus ihren Fehlern zu lernen.

Was sind die ersten Schritte, die ein Unternehmen nach einem Angriff ergreifen sollte?

Seyfarth: Wichtig ist es herauszufinden, was das eigentliche Einfallstor war. Dafür eignet sich eine zeitnahe, vollständige und sachliche Dokumentation. Das geht nicht nebenbei und sollte vorbereitet werden!

Ab dem Zeitpunkt, an dem die Alarmglocke schrillt, muss ein dediziertes Team penibel nachvollziehen, absichern und protokollieren. Beobachtungen sollten von Schlussfolgerungen getrennt notiert werden. Bewährt hat sich hier das Vier-Augen-Prinzip: Der eine führt aus, der zweite dokumentiert. Das ist eine Beweissicherung, die für die Polizei und vor Gericht verwertbar ist.

Warum ist eine Protokollierung so wichtig?

Seyfarth: Wenn unter 200 Ransomware-Attacken mein Unternehmen das Einzige mit einem Protokoll ist, welcher Fall wird dann wohl von der Polizei bearbeitet? Ich möchte nicht sagen, dass eine saubere Dokumentation die Garantie für den Erfolg der Polizei ist aber ein gutes Protokoll macht die Aufarbeitung erst möglich.

Darüber hinaus kann man aus diesen Beobachtungen wichtige Rückschlüsse ziehen. Wenn ich keinen Experten vor Ort habe, aber alles in dieser Zeit protokolliere, dann hat der Experte später die Möglichkeit sich auf Basis dieser Faktenlage schnell einzuarbeiten.

Die Lösegeldforderung ist der Kern der Ransomware. Mit welchen Folgen kämpfen Unternehmen darüber hinaus nach einem Angriff?

Seyfarth: Unternehmen begreifen oft erst nach einem Angriff, wie verletzlich die eigene IT-Infrastruktur ist. Ob diese Erkenntnis auch zu einem tatsächlichen veränderten Verhalten der Mitarbeiter oder der Geschäftsführung führt, ist sehr unterschiedlich. Veränderung verstehe ich hier im Sinne von „wir setzen unsere Systeme sauber auf oder sorgen dafür, dass Mitarbeiter ausreichend Zeit und Expertise haben“. Am Ende braucht es einen „Kümmerer“ für IT-Sicherheit im Unternehmen.

Zu den Lösegeldforderungen kommen weitere Herausforderungen hinzu: Betriebsstillstand, Imageschäden, polizeiliche Untersuchungen, … Viele Organisationen erholen sich nach einem Ransomware-Angriff nur langsam und das liegt meist nicht nur an den hohen Lösegeldforderungen.

Idealerweise kann sich ein Unternehmen auf einen Angriff vorbereiten, sodass es gar nicht dazu kommt. Wie kann man sich effektiv gegen Ransomware Angriffe schützen?

Seyfarth: Als erstes muss ein Sicherheitskonzept ausgearbeitet werden, das als Ganzes einen Sinn ergibt. Es braucht verständliche Richtlinien, die im Arbeitsalltag gelebt werden. Das Bauchgefühl der Mitarbeiter muss gefestigt und immer wieder geschult werden. Prävention ist die beste Maßnahme, aber natürlich keine hundertprozentige Garantie.

Was die Technik angeht, sind Netzwerktrennung und ein sauberes Datensicherungskonzept wichtig. Damit meine ich eine kaskadierte Datenspeicherung, wenn die Daten des Unternehmens entsprechend kritisch sind. Durch einen Medienbruch kann die Verbreitung der Ransomware gebremst oder gestoppt werden. Wir müssen gewährleisten, dass eine Ransomware nicht auf die Sicherung unserer Daten zugreifen kann. Dann trifft uns die Verschlüsselung der Live-Daten weniger hart.

Die Datensicherung hilft natürlich nur begrenzt, wenn der Angreifer unverschlüsselte Unternehmensdaten kopieren konnte. Das ist heute jedoch leider zunehmend der Fall.

Viele Unternehmen stehen nach einem Ransomware-Angriff vor der Entscheidung “Zahlen oder nicht?“ Was raten Sie?

Seyfarth: Das Bundesamt für Informationssicherheit rät klar davon ab. Das FBI rät klar davon ab. Trotzdem haben selbst öffentliche Verwaltungen und Gerichte ein Lösegeld bezahlt. Warum? Ganz einfach: Wenn ich im Vorfeld keine Maßnahmen zur Absicherung getroffen habe, dann sind die Folgen für mich so gravierend, dass ich in den sauren Apfel beißen muss.

Man muss sich darüber im Klaren sein, dass auch nach der Bezahlung des Lösegelds keine Garantie für einen Normalbetrieb besteht. Die Gefahr immer wieder erpresst zu werden besteht, solange die Schwachstellen nicht geschlossen sind, oder wenn Unternehmensdaten kopiert wurden.

In großen Konzernen erwartet man strenge Sicherheitsvorkehrungen, um Daten und Systeme vor solchen Angriffen zu schützen. Wie kann es sein, dass diese trotzdem zu Opfern werden?

Seyfarth: Oft wurden Maßnahmen ergriffen, funktionieren in der Realität aber nicht wie gedacht. Es gibt ein Backup, aber dieses wurde nicht für den Ernstfall getestet, ist nicht komplett oder wurde von der Ransomware mit verschlüsselt. Für die IT-Abteilung bedeutet das: Sicherheitskonzepte testen, hinterfragen und dokumentieren – das kostet Zeit, die man der IT-Abteilung oft nicht zur Verfügung stellt. Solche Tests und ein regelmäßiger Lagebericht zur Sicherheit sollte vom Management gewollt sein und aktiv eingefordert werden.

Kritisch wird es in vielen Bereichen, in denen das IT-Budget, die Zeit und die Expertise fehlen. Das begegnet mir beispielsweise häufig im öffentlichen Bereich, in der Sozial-Branche aber auch im Gesundheitswesen. Da gibt es oft kein hinreichendes Backup, keinen wirksamen Virenschutz, keine sinnvolle Verschlüsselung und kaum Präventivmaßnahmen. Es ist unglaublich, dass hier an den falschen Stellen gespart wird.

Im öffentlichen Bereich ist es häufig so, dass Menschen entscheiden müssen, denen die IT-Expertise fehlt. Es wird lieber ein Spielplatz gebaut als ein Server gekauft oder ein Sicherheitskonzept ausgearbeitet. Menschlich und politisch kann man das ja verstehen, die Folgen sind aber nicht akzeptabel. Fakt ist: Ohne entsprechendes Budget, ohne Zeit und ohne Expertise hat ein Verantwortlicher heute keine Chance seine IT-Infrastruktur sinnvoll zu schützen.

Was würden Sie sich für den Bereich IT-Sicherheit in der Zukunft wünschen?

Seyfarth: Ich würde mir wünschen, dass Anwender und Unternehmen ein vernünftiges Maß an IT-Sicherheit einfordern und nicht damit leben, dass gewisse Dinge nicht funktionieren. Damit meine ich Standards bei Datenschutz und IT-Sicherheit für alle Produkte und Dienstleistungen, die wir einkaufen oder kostenlos nutzen.

Wir würden auch nicht akzeptieren, dass unser Auto mal bremst und mal nicht. Das ist für uns undenkbar. Aber im IT-Bereich haben wir uns an Dinge gewöhnt, die eigentlich völlig unhaltbar sind. Insofern wünsche ich mir vor allem den Mut der Bürger, Patienten, Anwender und Entscheider den Mund aufzumachen und klar zu sagen „so geht es nicht“.