Ransomware weiter auf dem Vormarsch

Das Bundesamt für Sicherheit in der Informationstechnik BSI hat auch für 2019 seinen Report zur Lage der IT-Sicherheit in Deutschland für den Zeitraum vom 01. Juni 2018 bis 31. Mai 2019 herausgegeben. Laut Bericht waren 2018/2019 im Bereich Cyberkriminalität intensive Ransomware-Kampagnen weiter auf dem Vormarsch.

Wie in den Jahren zuvor bildeten Infektionen durch Schadprogramme, wie zum Beispiel dem Trojaner Emotet, die größten Bedrohungen für IT-Infrastrukturen von Unternehmen und Behörden. In der Kombination aus Dynamit-Phishing und Ransomware stellen sie für viele Firmen und Organisationen eine Gefahr dar, die existenzbedrohende Ausmaße annehmen können. So legte am 13. Oktober 2019 ein Cyber-Angriff auf das Automatisierungsunternehmen Pilz dieses für mehrere Wochen lahm. Von dem Ransomware-Angriff betroffen waren die Produktion, der Kundenservice und die Auslieferung des auf Sicherheit spezialisierten Automatisierungsunternehmens.

Neben Ransomware, Schadprogrammen und Identitätsdiebstahl sind auch weitere Bedrohungen wie Botnetze, DDOS-Attacken, Spam, APT Angriffe sowie Angriffsvektoren in der Kryptografie und Angriffe durch Ausnutzung moderner Prozessorarchitekturen nach wie vor akut. Im Folgenden soll gezielt auf die Auswirkungen durch Ransomware eingegangen werden, die laut BSI 2018/19 zu den größten Bedrohungen zählten.

WannaCRY, Notpetya und Co. – Ransomware

Schon seit 2016 ist laut BSI ein starker Anstieg der Gefährdung durch Ransomware festzustellen. Dabei verbreitete sich Ransomware über verschiedene Angriffsmöglichkeiten explosionsartig. Folgende Angriffsvektoren betrafen hierbei alle Computernutzer:

• Spam E-Mails mit Schadsoftware (Emotet) als Anhang oder über auf verseuchte Webseiten führende URLs.
• Drive by Exploits (Schwachstellen in Browsern) durch den Aufruf infizierter Webseiten oder hierauf platzierter infizierter Werbung (z. B.: BannerAds)
• Exploit-Kits, also php-Skripte die Schwachstellen installierter Software entsprechend attackieren.

Für Unternehmen, Behörden und Organisationen mit kritischen Infrastrukturen, die über komplexe IT/OT- Infrastrukturen verfügen, standen folgende Angriffsvektoren im Vordergrund:

• Ausnutzung von Schwachstellen oder das Erraten von schwachen Passwörtern in öffentlich zugänglichen Webservern.
• Ausspähen von Passwörtern im internen Netz durch Schadsoftware.
• Sicherheitslücken in Fernwartungssoftware (Remote Administration Tools, RAT) welche verwendet werden, um auf zu wartende Systeme zuzugreifen. Dadurch erhalten Angreifer weitgehende Zugriffsrechte auf das System.
• Ausnutzung von Security Gaps im Betriebssystem nach der Infektion durch Verschleierung, in dem sich die Schadsoftware als legitimer Prozess ausgibt.

Ausnutzung von Schwachstellen oder das Erraten von schwachen Passwörtern in öffentlich zugänglichen Webservern.
Ausspähen von Passwörtern im internen Netz durch Schadsoftware.
Sicherheitslücken in Fernwartungssoftware (Remote Administration Tools, RAT) welche verwendet werden, um auf zu wartende Systeme zuzugreifen. Dadurch erhalten Angreifer weitgehende Zugriffsrechte auf das System.
Ausnutzung von Security Gaps im Betriebssystem nach der Infektion durch Verschleierung, in dem sich die Schadsoftware als legitimer Prozess ausgibt.

Wie das BSI schon in seinem Jahresbericht 2018 feststellte, hat die Qualität durch die Weiterentwicklungen der Schadsoftware Emotet eine neue Dimension erreicht. Durch die gezielte Verwendung verschiedener Techniken wie dem Ausspähen von Kontakten auf infizierten Rechnern konnten diese für gezielte Pishing-Attacken genutzt werden, um Passwörter abzugreifen. Täuschend echt aussehende und plausibel wirkendende E-Mails aus dem vermeintlichen Kollegenkreis wurden dazu genutzt, Passwörter auszuspähen.

Aktuell können deshalb Pishing-Attacken in Kombination mit Ransomware durch aus als eine der größten Bedrohungen in der IT angesehen werden. Um dieser Bedrohung zu begegnen, sind neben der Awareness der Mitarbeiter auch technische Maßnahmen wie die Zwei-Faktor-Authentifizierung hilfreich.

Sichere Passwörter und Zwei-Faktor-Authentifizierung als Gebot der Stunde

In den kommenden Jahren werden Ransomware-Angriffe weiter massiv zunehmen. Umso wichtiger ist es daher geeignete Maßnahmen zu ergreifen, wie die Verabschiedung von Sicherheitsrichtlinien, die den Umgang mit der IT-Infrastruktur und Daten definieren. Eine gezielte Angriffsfläche sind hier auch immer schwache oder mehrfach genutzte Passwörter. Unter anderem trägt in diesem Rahmen auch eine Passwortrichtlinie als Maßnahme mit zur Sicherheit bei.

Es ist wichtig, sichere Passwörter zu verwenden, die gewissen Anforderungen genügen, wie zum Beispiel:

• Passwörter müssen mindestens 8 Zeichen lang sein.
• Passwörter von mindestens 64 Zeichen Länge sollten zugelassen sein.
• Alle druckenden ASCII-Zeichen sowie das Leerzeichen sollten in Passwörtern akzeptiert werden. Die Akzeptanz von Unicode-Zeichen ist ebenfalls zulässig.
• Administratoren können vor der Überprüfung mehrere aufeinanderfolgende Leerzeichen durch ein einziges Leerzeichen ersetzen, vorausgesetzt, das Ergebnis ist mindestens 8 Zeichen lang, aber das Passwort darf nicht abgeschnitten werden.
• Administratoren sollten keine anderen Erstellungsrichtlinien für Passwörter aufstellen.
• Passwörter müssen nicht mehr alle 90 Tage geändert werden. Administratoren sollten jedoch eine Änderung erzwingen, wenn es Anzeichen für eine Kompromittierung des Passworts gibt.
• Administratoren dürfen es den Usern nicht erlauben, einen “Hinweis” zu speichern, der für einen nicht authentifizierten Antragsteller zugänglich ist, und die Administratoren dürfen die Benutzer nicht auffordern, bei der Wahl der Passwörter bestimmte Arten von Informationen zu verwenden (z. B. “Wie hieß Ihr erstes Haustier?”).
• Bei der Bearbeitung von Anträgen auf Festlegung oder Änderung von Passwörtern vergleichen die Administratoren die gewählten Passwörter mit einer Liste, die Werte enthält, von denen bekannt ist, dass sie häufig verwendet, erwartet oder kompromittiert werden. Hilfreich ist hier das kostenlos erhältliche Tool „Specops Password Auditor“.
• Wenn das gewählte Passwort in der Liste gefunden wird, weist der Administrator den Benutzer darauf hin, dass er ein anderes Passwort wählen muss, und gibt den Grund für die Ablehnung an.

Des Weiteren ist wie bereits erwähnt eine Zweifaktor-Authentifizierung als zusätzliche Maßnahme sehr zu empfehlen. Sie ermöglicht es trotzt eventuell kompromittierter Passwörter, sich sicher durch einen zweiten Faktor (Authentifizierungsapp oder Hardware-Dongle, wie zum Beispiel einem Yubikey) am System anzumelden und das Passwort im Bedarfsfall zu ändern.

Ausblick – IT-Sicherheit geht uns alle an

Die digitale Vernetzung wird alle Bereiche unseres täglichen Lebens mehr und mehr durchdringen. Rasant fortschreitende technologische Entwicklungen in Wirtschaft und Gesellschaft sorgen für eine immer größer werdende Dynamik in Sachen Digitalisierung. Schon heute leben wir in einer digitalisierten Welt. Damit einhergehend steigen auch die Herausforderungen an die IT-Sicherheit. Laut BSI liegen die Herausforderungen darin, sich der wachsenden Anzahl an Angriffsvektoren durch geeignete Maßnahmen entgegenzustellen. Dies haben die Angriffswellen auf den Automatisierungsspezialisten Pilz, den Aluminiumhersteller Norsk Hydro und viele andere Unternehmen im Berichtszeitraum deutlich gemacht.

Im Mittelpunkt muss hier zukünftig die Sensibilisierung für IT-Sicherheitsthemen der Mitarbeiter genauso stehen wie die Umsetzung technischer Maßnahmen. Im Rahmen der Allianz für Cyber-Sicherheit unterstützt das BSI hierbei Unternehmen beim Ausbau ihrer Schutzmaßnahmen durch die Bereitstellung geeigneter Informationen und praktischer Empfehlungen.

Insgesamt muss man feststellen, dass generell ein Umdenken, was das Thema IT-Sicherheit anbelangt, stattfinden muss und dass die gesamte Gesellschaft dahingehend sensibilisiert werden muss, dass IT-Sicherheit wichtiger denn je ist.