Wenn sich heute ein Bibelschreiber die größten Plagen der Menschheit einfallen ließe, dann würde ihm sicher nicht als letztes Ransomware einfallen – Krankenhäuser, Gemeindeverwaltungen, Großunternehmen – sie alle zählen zu den Gepeinigten, denen innerhalb einer Schrecksekunde alle oder viele, besonders wichtige Daten abhandengekommen sind. Ebenso erwischte es Privatleute, dies aber vor allem zu Beginn der Ransomware-Welle, inzwischen aber haben die Erpresserbanden ihr Vorgehen professionalisiert und wollen an die richtigen Fleischtöpfe: Privatleute können schon mal den Vorteil des physikalischen Zugriffs auf ihren Rechner nutzen, die Daten verärgert abschreiben und neu anfangen, Installations-CD rein, Platte/SSD formatieren und der Spuk hat ein Ende.

Und: Zu Ransomware gibt es auch keine Weihnachtsgeschichte, es sei denn man betrachtet drastisch überlaufende Überstundenkonten und wochenlangen Besuch von Polizei-Forensikern als Frohe Botschaft. Allerdings – auch das zählt zur Wahrheit der Ransomwaregeschichte – man kann sich heute gegen derlei Angriffe wappnen und auch die Folgen eines geglückten Angriffs so klein wie möglich halten, wenn man sich nur an die Ratschläge von Experten hält.
So schrieb lan-wan-telecom.de Mitte dieses Jahres in einem gemeinsam mit der Dietzenbacher Controlware erarbeiteten Artikel: „Heute aber gilt die damalige Annahme, dass man aus dem eigenen Netz nicht angegriffen werden kann, nicht mehr – niemand ist vor Geräten aus dem eigenen Netz sicher, weil Angreifer durch die Übernahme ungesicherter Maschinen ins Netz eindringen und als vermeintlich vertrauenswürdiges Gerät den eigentlichen Angriff durchführen. Deshalb gilt heute in gut gesicherten Umgebungen das No-Trust-Prinzip – jedes Gerät gilt nicht nur als Datenlieferant, sondern auch als potentielle Störquelle und muss „beweisen“, dass der jeweilige Zugriff ohne böse Absicht und im Rahmen der zugelassenen Berechtigungen erfolgt.

Das Konzept ist in sich schon ziemlich schlüssig – wirklich Hand und Fuß bekommt es aber erst, wenn man dafür sorgt, dass jeder Rechner nur mit den Geräten kommunizieren kann, mit denen er kommunizieren darf. Dafür hat man schon Ende der 90er Jahre das Konzept der Broadcast-Domains entworfen, mit denen man das Netz in kleinere Segmente unterteilte, um den Kommunikationstraffic zwischen den Maschinen klein zu halten – in Zeiten, in denen die meisten lokalen Netze mit 10 MBit/s auskommen mussten, ein durchaus zugkräftiges Argument, um teurere Hardware zu beschaffen.

Schnell erkannte man, dass die Unterteilung des Gesamtnetzes in kleinere Segmente weitere Vorteile bot: Ein Mitarbeiter der Lagerverwaltung bekam die Rechner der Buchhaltung gar nicht erst zu Gesicht, konnte also auch gar nicht versuchen, sich unberechtigt Zugriff zu verschaffen. Allerdings verkompliziert das Unterteilen des Netzes in kleine Einheiten den Gesamtaufbau erheblich. Denn oft genug geht es gar nicht anders, als dass eine Abteilung auf die Daten einer anderen zugreifen können muss, weil sie sonst ihre Aufgabe nicht erledigen kann. So muss beispielsweise der Einkauf die Abfrage eines Lieferanten, wo denn das Geld bleibt, mit einem Blick auf die Zahlungsvorgänge der Buchhaltung beantworten können. Je kleiner man die Netzsegmente macht (und möglichst klein ist im Sinne des Schutzes vor Ransomware wünschenswert), desto mehr solche Übergänge müssen gepflegt und verwaltet werden.“
Dennoch: Eine möglichst kleine Segmentierung des Netzes und eine durchdachte und konsequent durchgehaltene Zugriffsrechtvergabe sind auf jeden Fall ein guter Anfang, um einen Angriff einer Erpresserbande wenn schon nicht zu verhindern, dann doch seinen Schaden so klein wie möglich zu halten.

Immerhin steht fest: Die Frage ist heute nicht mehr, ob ein Unternehmen oder eine Kommunalverwaltung angegriffen wird, die Frage lautet inzwischen: Wann wird es geschehen. Kommunalverwaltungen sind für die Erpresser einerseits lohnende Ziele, weilsie nahezu unbegrenzt kreditfähig sind, andererseits aber lohnen sie sich immer weniger, weil vom BSI immer besser funktionierende Konzepte an die Hand gegeben werden, um kommunale Netze besser vor solchen Angriffen zu schützen.

Doch auch in Großunternehmen wird immer weiter daran gearbeitet, Angriffe auf die Speicher des Netzwerks ins Leere laufen zu lassen, oder zumindest so weit dafür zu sorgen, dass sie nur minimalen Schaden anrichten können. Auf der einen Seite werden Mitarbeiter immer besser geschult, nicht mehr auf die vermeintliche Mail vom Chef hereinzufallen, an der eine Datei hängt, deren Icon aussieht wie ein PDF, das unbedingt gedruckt werden soll, das aber letztendlich den Trojaner im Netz aktiviert, der dann möglicherweise großen Schaden anrichten kann. Wenn solche Dateien mehr geöffnet werden können, weil die Mitarbeiter wissen, dass genau so ein Angriff aussieht, dann laufen viele Angriffsbemühungen ins Leere.

Allerdings verwenden die Erpresser inzwischen sehr viel Mühe und auch Zeit darauf, eine Situation zu schaffen, in der trotz aller Schulungen ein Mitarbeiter die schädliche Datei doch öffnet. Dabei ist es gleich, ob der Mitarbeiter Angst davor hat, dass das Nicht-Öffnen zu einem großen Schaden führen könnte, oder ob er einfach nur in Sicherheit gewiegt worden ist – wenn der Fehler erst einmal gemacht worden ist, dann erst wird deutlich, ob das Sicherheitskonzept der Kommunalverwaltung oder des Unternehmens tatsächlich funktioniert – und wo es eventuell nicht erkannte Schwachstellen hatte.

Auch die Firma Radware befasst sich mit diesem Thema, wie in diesem Artikel auf lan-wan-telecom.de deutlich wurde. Der relativ kurze Artikel verwies auf ein Whitepaper (englisch!), das den Verantwortlichen für ein Netz ein Gespür für die Größe der Aufgabe vermitteln soll – und auch vermittelt:

„Wie man auf eine RDoS-Bedrohung reagiert

Viele Lösegeldforderungen enthalten die Androhung eines kleineren Vorläuferangriffs, der die Zielorganisation als ein Unternehmen „identifiziert“, das bereit ist, unter Androhung zu zahlen. Ein Demonstrationsangriff kann die Form eines kleinen Angriffs annehmen.

Nicht zahlen

Die Bezahlung von DDoS-Angreifern kann in mehrfacher Hinsicht schädlich sein und ist keine Garantie dafür, dass sie Ihr Unternehmen in Ruhe lassen und/oder die Bedingungen einhalten. Diese Vorläuferangriffe  sollen die Fähigkeiten der Angreifer demonstrieren. Außerdem kann die Zahlung einer Forderung die Überlebensfähigkeit der angegriffenen Organisation gefährden.

Radware empfiehlt, das Lösegeld nicht zu zahlen. Bei vielen Lösegeldangriffen gibt es Hinweise auf einen Vorläuferangriff,. Diese Bedrohung sollte unbedingt an die dafür zuständigen  Personen in der Organisation gemeldet werden. Daher sollten Unternehmen ihre Mitarbeiter aktiv über die Existenz von RDoS-Angriffen aufklären und ihnen zeigen, wie sie sich im Falle eines Lösegeldangriffs verhalten sollten. (Teile übersetzt mit DeepL.com (kostenlose Version))