Wer sich mit der Absicherung von Daten durch Verschlüsselung beschäftigt, dem ist bewusst, dass sich Verschlüsselung oft nur sehr schlecht mit Nutzungsfreundlichkeit verbinden lässt. (B97, M.Ritter)

Fast möchte man meinen, dass die Malware-Szene angetreten ist um zu beweisen, dass es auch anders geht: nämlich so transparent, dass es die Nutzenden noch nicht einmal mitbekommen, bis der Job erledigt ist. Na gut, der Effekt ist nicht unbedingt derselbe, aber das Ökosystem, welches sich rund um das Thema Malware entwickelt hat, ist dennoch beachtlich. Doch vielleicht erst einmal von Anfang an.

Was ist Ransomware?

Unter Ransomware versteht man Schadsoftware, die das Ziel verfolgt, die Geschädigten zu erpressen. Die (aktuell) gängigsten Vertreter dieser Gattung (Crypto-Trojaner) verschlüsseln die Daten der Geschädigten und verlangen ein Lösegeld für die Herausgabe des zugehörigen Schlüssels (mit dessen Hilfe sich die Verschlüsselung rückgängig machen lässt).

Die Verbreitungswege sind vielfältig – sehr häufig erfolgt die Infektion aber – fast schon klassisch – über eine E-Mail mit entsprechend präpariertem Anhang. Sobald dieser geöffnet wird, sind alle für den aktiven Nutzer schreibbaren Dateien (auf der lokalen Festplatte, aber auch auf sämtlichen Netzlaufwerken) potentielles Ziel für die unfreiwillige Verschlüsselung. Nach erfolgreicher Beendigung bleibt oft nur ein markantes Hintergrundbild am Desktop (oder eine auffällige Datei), die – meist wenig dezent – zur Zahlung einer Service-Gebühr auffordert.

Cyber-Erpressung: Vorgehensweise und Angriffsziele

Der einfache Zugriffsvektor erklärt vermutlich auch, warum in den ersten Jahren primär Privatpersonen das Ziel derartiger Angriffe waren: Im privaten Umfeld sind Viren- oder Malware-Scanner oft ungepflegt, veraltet oder gar nicht in Benutzung. Entsprechend hoch ist die Trefferquote bei der Verteilung des Schadcodes über beliebige E-Mail-Adressen.

Wie man zahlreichen Pressemeldungen der letzten zwei Jahre entnehmen kann, geht die Tendenz mittlerweile aber deutlich hin zu gezielten Angriffen auf finanzstarke Unternehmen.

Während sich bei Privatleuten die Forderung im zwei- bis vierstelligen Euro-Bereich (in anonymer, digitaler Währung) bewegen, beträgt die bisher größte bekannt gewordene Summe 70 Millionen Dollar (Fall Kaseya). Aber was, wenn man als Privatperson oder Firma über keinerlei digitale Währung verfügt: Keine Sorge, auch dafür hat die Branche eine Lösung. Ähnlich wie beim Lieblingsonline-Shop, gibt es natürlich eine Service-Hotline oder einen Service-Chat, der sehr gerne beim Geldtausch behilflich ist. Unter Umständen ist hier sogar Feilschen möglich, um die Lösegeldforderung nachzuverhandeln.

Ist man sich handelseinig geworden, sieht das Geschäftsmodell vor, nach bestätigtem Eingang der Zahlung den „Kunden“ den Schlüssel sowie eine passende Anleitung zukommen zu lassen, mit dem sie die Verschlüsselung rückgängig machen können. Teilweise wird man – als „Goody“ – sogar darüber aufgeklärt, wie die Infektion mit Schadcode erfolgt ist, und welche Gegenmaßnahmen man dagegen ergreifen soll.

Leider (oder natürlich?) zählen bei diesem Geschäftsmodell die vermeintlichen „Vertragspartner“ nicht unbedingt zu den Vertrauenswürdigsten – entsprechend gibt es keinerlei Garantie, dass nach Zahlung auch wirklich die gewünschte Gegenleistung erfolgt.

Vorkehrungen gegen Crypto-Trojaner

Hat man sich tatsächlich einen Crypto-Trojaner eingefangen, gilt es die Optionen abzuwägen. Idealerweise hat man im Vorfeld für verschiedene Vorkehrungen Sorge zu tragen:

• Eine Datensicherung (Backup, Snapshots etc.) erfolgt regelmäßig. Dabei ist darauf zu achten, dass die Sicherungskopien nicht direkt vom betroffenen Nutzer / Rechner änderbar sind.
• Es existieren feingranulare Zugriffsberechtigungen. Jede/jeder darf alles heißt auch: Jede/jeder kann alles verschlüsseln.
• Schutzmechanismen (Viren- / Malware-Scanner) erkennen und deaktivieren die Bedrohung frühzeitig, bevor Schaden entsteht.
• Die absoluten Basics sind erfüllt:
  • Aktuelle Patches für Betriebssystem und Anwendungen sind installiert.
  • Nur benötigte Software und Dienste sind installiert / aktiv
• Und vielleicht sogar am wichtigsten: Die Nutzerinnen und Nutzer haben eine gute Awareness für derartige Probleme.

Vortrag zum Thema „IT-Sicherheit“ im Rahmen der Reihe „Systemausbildung“

Das RRZE plant im kommenden Sommersemester im Rahmen seiner Reihe „Systemausbildung“ den Vortrag „IT-Sicherheit“ unter diesem Schwerpunkt zu gestalten. Wenn Sie das Thema interessiert und Sie mehr erfahren wollen, sind Sie natürlich herzlich eingeladen.