Das Übel hat einen Namen – Ransomware – und es gibt weder einen vollständigen Schutz, noch gibt es die eine Lösung, die vor allen Möglichkeiten schützt. Das Risiko kann zwar nicht zur Gänze ausgeschlossen werden, aber mit einem umfassenden Satz an Maßnahmen kann dem Risiko begegnet werden. Individuell nach Bedrohungslage und entsprechend der eigenen Möglichkeiten und Notwendigkeiten sollten die Maßnahmen gewählt werden, um die Wirkungsweise zu garantieren.
Die erste dokumentierte Ransomware stammt aus dem Jahre 1989. Ein enttäuschter Biologe mit Harvard Diplom, Dr. Joseph Popp, wird dafür verantwortlich gemacht. Ransomware gibt es in verschiedensten Ausprägungsformen und wird vor allem heute arbeitsteilig erstellt. Arbeitsteilig heisst, dass, nach dem Baukastenprinzip, einzelne Funktionen erstellt und zusammengekoppelt werden. Das ist die Grundlage dafür, dass sich Ransomware als Cloud Dienst – aka Ransomware as a Service (RaaS)– etabliert hat. Virtuelle Währungsschemata, wie Bitcoin, tragen noch zu einer internationalen einheitlichen Verrechnungsbasis für die einzelnen Module bei.
Eine starke Abhängigkeit von Bitcoin und Ransomware, sodass Ransomware den Kurs von Bitcoin beeinflusst, ist statistisch schwer nachzuvollziehen. Es gibt zwar eine positive Korrelation, aber wirklich ausgeprägt ist diese über die Jahre nicht. Ein Grund wird vor allem die Volatilität des Bitcoin Kurses sein. Nichts desto trotz gibt es Abhängigkeiten zwischen Bitcoin und Ransomware. Hier ist vor allem die einheitliche Verrechnungsbasis und die Alternative zum US Dollar zu nennen. Aktuelle Schätzungen liegen für das Jahr 2021 bei 20 Milliarden Dollar Umsatz durch Ransomware.
Der Anfang
Bevor überhaupt ein direkter Angriff erfolgt, werden alle frei verfügbaren Informationen zu einem möglichen Ziel zusammengetragen. Dazu kann das OSINT Rahmenwerk herangezogen werden. Die gewonnenen Informationen dienen dazu einen Überblick zu gewinnen und die Zielansprache zu konkretisieren. In fast allen Fällen ist der nächste Schritt eine direkte Ansprache in der Organisation – das erfolgt meist über eMail – (Spear-)Phishing. IBM geht davon aus, dass knapp 60 Prozent (vgl.: 57,12%) aller Angriffe mit einem Phishing Angriff zumindest beginnen. (Anm.: Diese Zahlen stammen aus 2019 und 2020. Es ist anzunehmen, dass die Quote stark gestiegen ist. Das Aufkommen von Phishing im ersten Quartal soll um rund 600% gestiegen sein im Vergleichszeitraum zum Vorjahr. Schreibt die Firma KnownBe4.)
Angriff Schritt 1
- Entweder mit dem schwachen Passwort eines Benutzers,
- Oder ein Benutzer, der ein Phishing eMail öffnet und einen Link anklickt,
- Oder ein verwundbares System an sich.
Maßnahmen Schritt 1
- Aktive Identitäts- und Zugriffsverwaltung, Passwortqualitätsprüfung gegen externe Quellen (zB.: have I been pwned), Multifaktor Authentifizierung, passwortlose Autorisierung, dienstübergreifende Authenfizierung (vgl.: single sign on), konsistente Durchsetzung eines kontextorientierten Rollen- und Rechteschemas.
- Einsatz von Filtermechanismen, diese können auf mehreren Ebenen erfolgen. Bei asynchroner Kommunikation, wie Mail, liegen Daten in Ruhe vor, die von zum Beispiel einem Proxydienst gefiltert werden können. Datenströme und vor allem lokal auszuführende Dateien, die nur im Arbeitsspeicher sind, können über andere Mechanismen beschränkt und geprüft werden. In einem weiteren Schritt kann auch bei einer möglichen Infektion die Kommunikation nach aussen unterbunden werden. Die letzte Methode ist vor allem bei unbekannter Ransomware ein nennenswerter Punkt. Ransomware hat zwar verschiedene Verhaltensmuster aber ein Merkmal (vgl.: linearer Zusammenhang – wenn, dann …) haben eigentlich alle. Alle kommunizieren mit einer externen Ressource. Die Art und Weise kann zwar unterschiedlich sein, aber mit Methoden der Statistik (vgl.: Korrelationsanalyse) kann über die Regelmäßigkeit von Verbindungsaufnahmen mit Domänen eine mögliche schadhafte Verbindung vorhergesagt werden (vgl.: Beispiel -> erste Spalte = Korealtion). Domänen sind ein eigenes Thema, dass ich hier nur streifen kann. Zum Beispiel kann auch der Gültigkeitszeitraum von Domäneneiträgen, die vom eigenen Netz aus abgefragt werden, ein konkreter Hinweis auf eine verdächtige Quelle sein, wie auch die Schlüsselzertifikate von Subdomänen, die kurzfristig erstellt wurden und zum Beispiel nicht von der selben Zertifizierungsstelle der eigentlichen Domäne ausgestellt wurden.
- Laufende Audits und Wartung aller IT Systeme durch entsprechende Maßnahmen, um dem Stand der Technik zu entsprechen. Hier fasse ich mich besonders kurz – einfach eine eMail schreiben. Es gibt auch einen Schwachstellen Scan als Produkt.
Angriff Schritt 2
- Verschlüsselung von (Nutz-)Dateien,
- Und mögliche Veröffentlichung von Dateien
Maßnahmen Schritt 2
- Faustregel 3-2-1 für Backups. Drei Datenkopien, auf zwei unterschiedlichen Medien zumindest und ein externes Backup. Backup und Archivierung sollten nicht nur unter dem Geschichtspunkt des „Wegsicherns“ gesehen werden. Es ist auch relevant, wie die groß Rücksicherungszeit ist. Die Zeit der Nichtverfügbarkeit sollte so kurz als möglich sein . Dazu gibt es verschiedene Lösungsansätze, die sich auch in ihren Kosten unterscheiden. Die Vorhaltung von Hot Stand By Klonen von Produktionssystemen in zumeist virtualisierten externen Umgebungen (vgl.: Rechenzentrum), die nur mehr mit dem Delta aus letztem sauberen Datenbestand und letztem Abgleich betankt werden müssen, ist einer der effektivsten Ausprägungen, aber sicher auch einer der kostenintensivsten. Effizient ist die Trennung in verschiedene Arten von Daten, wie auch die Verwendung einer einheitlichen Betriebssystembasis bezüglich Patch Level und Version. Je nach Datenarten kann unterschiedlich gesichert werden. Ein Betriebsystem, als Basis, ändert sich nicht so oft, wie der Inhalt einer Datenbank, oder eines Dateiservers.
Auch Daten vom Clouddienste sollten gesichert werden. Hier reichen die reinen Nutzdaten aus. Denn auch die Cloud ist letztendlich ein physischer Ort. Wer das vergisst, zahlt drauf. Ein mahnendes Beispiel ist der Fall von dem OVH-Großbrand. - Ein Veröffentlichung von Daten heisst auch immer, dass die Daten auf die eine, oder andere, Weise, das Unternehmen verlassen müssen. Ob eine klassische DLP (vgl.: Data Loss Prevention) Lösung dabei greift, bezweifle ich an dieser Stelle. Aber wie schon weiter oben beschrieben sollte hier vor allem die Kommunikation nach aussen auf entsprechende Muster, Verhaltensweisen, gefiltert werden. Das Aufbrechen von verschlüsselter Kommunikation, um den Inhalt zu prüfen, ist nicht so sehr technisch ein Problem, sondern viel mehr eine rechtliche Thematik. Als generalpräventive Maßnahme wird ein durchgängiges Aufbrechen von Verschlüsselung und somit dauerhafte Verletzung der Integrität von Information wohl nicht zulässig sein. Aber hier gibt es natürlich auch wieder Methoden, um aus Metadaten der Kommunikation ziemlich treffsicher Vorhersagen über den Inhalt geben zu können.
Angriff Schritt 3 – Armageddon
- Infiltration der gesamten Organisation
- Und Verlust der Integrität und Authentizität von Informationen
Maßnahme Schritt 3
- Über eine Segmentierung, Trennung der physischen und logischen Objekte, Elemente, auch eine örtliche Trennung. Im eigentlichen Organisationsverzeichnis, wie zum Beispiel in einem Active Directory, muss nicht das Backup Element der Organisation aufgeführt sein. Das Backup Element kann als eigenständiges Element geführt werden. Es gibt keine gegenseitige Vertrauensstellung sondern nur von dem Backelement zu dem Produktionselement in eine Richtung somit. Das verhindert, dass sich die Schadsoftware auf Backup Systemen einnisten kann. Die Schadsoftware an sich kann aber über eine Sicherung gesichert werden. Das ist der Grund vor einer Rücksicherung für einen Wiederanlauf den Zeitpunkt der Infektion bestimmen zu können.
- Eine Zahlung in Rahmen von Ransomware hat nicht immer zur Folge, dass die Integrität von Daten sichergestellt erden kann und vor allem, dass Daten wieder hergestellt werden. Nicht immer hat eine Zahlung eine Entschlüsselung von Daten und Nichtveröffentlichung von Daten zur Folge. Hier ist die Kommunikation der Organisation vor allem gefordert, die auch schon im Vorfeld geplant und organisiert sein sollte. Es gibt zum Beispiel Versicherungsprodukte, die diese Art von Leistung beinhalten.
Ransomware stellt die Widerstandsfähigkeit der Organisation immer wieder vor neue Aufgaben. Informations Management ist kein abgegrenzter Bereich in der Organisation, sondern als Querschnittsmaterie in allen Organisationsbereichen vorhanden und überlebenswichtig. Ein Alternative ist natürlich Digitalisierung rückgängig zu machen, aber das geht ziemlich sicher zu Lasten von Effizienz und Effektivität. Es wird auch wieder zu einer Konzentration von Tätigkeiten kommen und damit zur Senkung der Produktivität. Das sind aber nicht alleine die Opportunitätskosten, die einer laufenden Effizienzsteigerung durch Digitalisierung entgegenstehen. Hinzu kommt bei dem Auftreten von Ransomware der mögliche Reputationsverlust. Wenn mann als Organisation von Ransomware betroffen ist und nicht in der Lage ist auf aktuelle Sicherheitsvorfälle entsprechend zu reagieren, dann droht der Verlust an Kundenvertrauen und somit fällt der Umsatz.
1 Gedanke zu „Ransomeware I – Cyber Security“