Wir werden Ihnen zukünftig auch Informationen zu aktuellen Cyber-Bedrohungslagen zur Verfügung stellen, dies insbesondere dann, wenn wir diese Fälle auch bei unseren Kunden beobachten und davon ausgehen, dass es sich um neuartige und besonders wirksame Angriffsformate handelt.
Gegenwärtig häufen sich in Deutschland Angriffe durch Schadprogramme auf Unternehmen, Behörden und Privatanwender. Gut getarnt als gefälschte E-Mails von Geschäftspartnern oder Kollegen infizieren Schadprogramme wie aktuell „Emotet“ und „Ryuk“ ganze Netzwerke und stellen eine erhebliche Bedrohung dar.
In einem der Fälle ist davon auszugehen, dass die Schadenhöhe einige Hunderttausend EURO betragen wird. Das Thema ist für Sie und Ihre Kunden also von hoher Bedeutung und die aktuelle Welle hat gerade erst begonnen. Es lohnt sich also, sich mit dem Thema zu beschäftigen.
Was genau geht in diesen Fällen vor?
Emotet sammelt – oft über Wochen unentdeckt – für die Täter Email-Adressen und -Inhalte aus dem System des betroffenen Unternehmens. Diese Informationen werden genutzt, um das Schadprogramm weiter zu verbreiten. Dabei werden den Empfängern E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst vor kurzem in Kontakt standen, zugesandt. Durch korrekte Angabe von Namen und Mailadressen von Absender und Empfänger in der Betreffzeile, in der Anrede und in der Signatur wirken diese Nachrichten echt und verleiten deshalb zum Öffnen des schädlichen Anhangs oder Links.
Sobald die IT-Systeme eines Unternehmens infiziert sind, wird durch Emotet weitere Schadsoftware nachgeladen. Seit ein paar Wochen ist das in Deutschland vermehrt der Bankingtrojaner „Trickbot“. Die Schadprogramme deaktivieren die vorhandenen Antiviruslösungen, lassen Daten an die Angreifer abfließen und ermöglichen die vollständige Kontrolle über das gesamte System.
Hiernach werden Schadprogramme wie „Ryuk“, “LockerGoga” und “GandCab” nachgeladen. Sofern die Kriminellen feststellen, dass das Unternehmen finanzkräftig ist, wird die Ransomware aktiv.
Ryuk verschlüsselt auf allen infizierten Rechnern wichtige Geschäftsdateien und löscht anhand der vorher gewonnenen Informationen sämtliche Backups, die er finden kann. In der Folge kommt es häufig zu Produktionsausfällen. Das Unternehmen wird aufgefordert, eine substanzielle Summe an Lösegeld in Form von Bitcoins zu zahlen – in der Hoffnung, dafür den Code für die verschlüsselten Dateien zu erhalten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, generell keine Lösegelder zu zahlen. Es sind etliche Fälle bekannt, in denen das gesamte Unternehmensnetzwerk – trotz Zahlung – wieder aufgebaut werden musste. Wir äußern uns an dieser Stelle zur Frage der Zahlung von Lösegeldern nicht, sondern besprechen das Thema mit Ihnen im konkreten Schadenfall.
Was kann getan werden, um den Eintritt eines solchen Schadenfalles unwahrscheinlicher zu machen?
- Sicherheitsupdates für die eingesetzten Betriebssysteme und Anwendungsprogramme zeitnah installieren
- Antivirus-Software nutzen und auf dem aktuellen Stand halten
- Wichtige Daten regelmäßig sichern. Das Backupkonzept daraufhin überprüfen, ob ein Angreifer mit Administratorrechten die gesicherten Daten löschen könnte
- Vorsicht bei Dateianhängen, auch von vermeintlich bekannten Absendern. Im Zweifel den Absender kontaktieren und diesen zum betreffenden Anhang befragen.
Auf Anforderung stellen wir Ihnen die Cyber-Sicherheitswarnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) vom 24. April 2019 zur Verfügung. Das BSI erläutert die aktuelle Bedrohungslage durch „Emotet“, „Ryuk“ und Co. sehr anschaulich und spricht wichtige Handlungsempfehlungen aus. Diese Unterlagen sollten Sie sich genau ansehen und ggfs. auch an Ihre Kunden weiterleiten. Die konkret beobachteten Schadenfälle entsprechen eher den Gefährdungsklassen „Orange“ und „Rot“. Das BSI klassifiziert die Bedrohungslage aktuell noch mit „Gelb“.