Schadsoftware

Schadsoftware – Was Sie wissen sollten

Die Digitalisierung ist längst in allen Bereichen unseres Lebens angekommen: Wir nutzen täglich privat Smartphones oder Smart Devices und geschäftlich Dienstlaptops und Arbeitsrechner. Aber auch die elektronischen Bezahlmöglichkeiten im Supermarkt doer den öffentlichen Schienenverkehr – oder kurz: Unser gesamtes öffentliches Leben ist digitalisiert. Diese Durchdringung all unserer Lebenswelten erleichtert uns unseren Alltag. Sie macht uns aber gleichzeitig auch durch Cyber-Angriffe verwundbar.

Daher muss es von Anfang an unser Ziel sein, unsere technische Infrastruktur so gut wie möglich vor Schadsoftware und anderen kriminellen Handlungen zu schützen.

Cyberkriminalität in Deutschland

Gefahrengebiet Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die IT-Sicherheit auf Bundesebene verantwortlich. In seinem kürzlich veröffentlichten Lagebericht zur IT-Sicherheit in Deutschland 2020 stellt das BSI fest: Cyberkriminalität richtet sich gegen Privatpersonen sowie Firmen und Organisationen bzw. Institutionen. Häufig geht es bei derartigen Angriffen darum, personenbezogene Daten abzugreifen und aus den gewonnenen Informationen finanziellen Nutzen zu ziehen.

Eigenverantwortung des Users – der Faktor Mensch als größter Risikofaktor für Ihre IT-Sicherheit

Risiko

Die Pflege Ihrer Hard- und Software liegt bei Ihnen. Das bedeutet auch, dass Sie als User Ihr Handeln prüfen müssen: Denn neben fehlenden Softwareupdates ist die Interaktion mit schädlichen E-Mails oder Webseiten DIE Sicherheitslücke in Ihrem IT-System. Um ein Schadprogramm erfolgreich auf einem Gerät zu installieren, braucht es nämlich oft die (aktive) Mithilfe des Users. Etwa durch den unvorsichtigen Klick auf einen Link oder E-Mail-Anhang, der die Installation einleitet. Im schlimmsten Fall geschieht dies alles, ohne dass Sie als User etwas davon mitbekommt.

Zwei Begriffe, die uns bei Cyber-Attacken oft begegnen, sind Phishing und Social Engineering. Bei sog. Phishing-Mails handelt es sich um betrügerische E-Mails, die dazu dienen, den Empfänger zu selbstschädigenden Handlungen zu bewegen. Um dies zu erreichen, setzen die Angreifer auf Social Engineering-Techniken. Dies meint den Einsatz von psychologischen Tricks, wie etwa die Ausnutzung von Ängsten, Zwängen oder Notlagen, um entweder die direkte Herausgabe von Passwörtern und Zugangsdaten oder aber die Installation einer Schadsoftware durch Klicks zu erreichen.

Leider werden derartige E-Mails immer besser und können selbst von geschulten Usern nicht mehr unbedingt auf den ersten Blick als solche erkannt werden. Der unbekannt-verschollene, reiche Verwandte aus absurdesten Teilen der Welt wurde mittlerweile abgelöst von täuschend echt aussehenden z. B. PayPal-E-Mails, die gezielt die Passwörter und Kreditkartendaten der Nutzer ab-„fischen“ wollen.

Auch schlechte Grammatik und falsches Vokabular finden sich in modernem und gut gemachtem Malware-Spam kaum noch. Und – besonders perfide – auch ein https-Link ist laut BSI längst keine Garantie mehr für Sicherheit – in etwa 60 % des registrierten Malware-Spams in 2019/20 kommen bereits https-Links zum Einsatz. Zwar soll das Security-Zertifikat sichere Homepages ausweisen, doch kann man dieses kostenlos im Internet lizenzieren lassen. Unabhängig davon, ob der Inhalt tatsächlich für den Verbraucher sicher ist.

Diese Schadsoftware sollten Sie kennen

Code

Im vergangenen Jahr (Juni 2019 – Mai 2020) entstanden laut BSI zudem täglich durchschnittlich etwa 322.000 neue Schadprogramm-Varianten. Als Schadprogramme sind hierbei alle Programme anzusehen, die an sich schädlich sind oder aber andere Programme dazu befähigen können, Schaden anzurichten. Eine Variante entsteht durch die Weiterentwicklung bestehender Schadsoftware. Sie ist besonders am Anfang gefährlich, da Anti-Viren-Programme diese möglicherweise noch nicht als Gefahr erkennen können.

Ransomware

Bei Ransomware handelt es sich um Schadsoftware, die den Zugriff auf lokale Daten oder ein Netzwerk verhindert. Ziel ist dabei meist die Erpressung von Lösegeld („ransom money“), um die Daten wieder freizuschalten. Eine weitere Erpressungsmethode ist zudem die Drohung der sukzessiven Veröffentlichung von sensiblen Daten im Internet, sollte die Zahlung nicht erfolgen.

Die Verbreitung von Ransomware erfolgt meist über Links oder Anhänge in E-Mails, wobei die Verbreiter auf fortschrittliche Social Engineering-Methoden setzen und auch insbesondere berufliche Zwänge ausnutzen.

Außerdem nutzt die Schadsoftware zum tieferen Eindringen in ein Unternehmensnetzwerk gezielt Schwächen bei Fernwartungs- und VPN-Zugängen aus. Ziele waren im letzten Untersuchungszeitraum laut BSI insbesondere Firmennetzwerke finanzstarker sowie mittelständischer Unternehmen. Hierunter fallen z. B. spezielle Zulieferer für die Automobilindustrie, die Finanz- und Gesundheitsbranche sowie die Flugindustrie.

Die Schäden solcher Angriffe – sowohl finanziell als auch hinsichtlich der Reputation – sind enorm. Nur die wenigsten Unternehmen sind ausreichend gegen Ransomware-Angriffe gesichert. Es lohnt sich durchaus, bereits präventive Pläne für mögliche Ransomware-Angriffsszenarien auszuarbeiten und zu testen.

Emotet – eine mehrstufige Schadsoftware von neuer Qualität

Ein gutes, aber gleichzeitig extrem schädliches Beispiel für die Weiterentwicklung bestehender Schadsoftware ist Emotet. Diese Software tritt laut BSI seit September 2019 wieder vermehrt auf und macht den Großteil der Schadsoftwareangriffe aus. Die Schadsoftware vereint verschiedene Angriffsstrategien in sich und ist in der aktuellen Ausprägung in der Lage, E-Mail-Inhalte auszulesen und mittels der gewonnenen Informationen weitere Spam-E-Mails zu generieren.

Dies ist besonders gefährlich und selbst für sensibilisierte Nutzer nicht unbedingt leicht zu erkennen, da die so generierten Spam-E-Mails von echten und bekannten Accounts kommen. Emotet setzt für die Erst- und Weiterinfektion via E-Mail auf fortschrittliche Social Engineering-Methoden. Einmal installiert erfolgt mithilfe der gewonnen Account-Daten eine Weiterinfektion anderer Mailaccounts durch das Schneeballsystem. Die Ausspähung des Mail-Account, auch Outlook-Harvesting genannt, ermöglicht dem Programm, täuschend-echt aussehende Antwortmails des Opfers an weitere Accounts zu schicken – und das meist ganz automatisiert.

Neben der Ausweitung des Infektionsnetzes, infiziert Emotet das System durch Nachladen weiterer Schadsoftware. Das BSI berichtet für das vergangene Jahr vor allem von Trickbot, einer Software, die in der Lage ist, das System auszuspionieren und zu sabotieren. Trickbot kann dabei bis in die Active Directory des Nutzers eindringen und im Domain Control Center alle Nutzerdaten und Administrationsrechte auslesen. Zudem ermöglicht Trickbot Angreifern den aktiven Zugriff auf das System, das Anlagen von neuen Administrationsrechten oder das Erstellen von Backdoors, mit deren Hilfe Informationen unerkannt auch über einen längeren Zeitraum an die Angreifer weiter geleitet werden können.

Im letzten Schritt nutzen Angreifer die gewonnenen Informationen gezielt dazu, auch manuell mittels einer Ransomware (meist Ryuk) auf das System zuzugreifen. Hier greifen dieselben Methoden, die auch bei einem klassischen Ransomware-Angriff genutzt werden.

So sorgen Sie Schadsoftware-Infektionen vor

Prävention

Ein erster wichtiger Schritt zur Prävention derartiger Angriffe sind gezielte Mitarbeiterschulungen. Etwa zu den Themen Phishing sowie Social Engineering, um sie für diese Themen zu sensibilisieren. Gleichzeitig gehören verbesserte Backup-Strukturen mit häufigeren und sog. Offline-Backups (d. h. Backups, die nicht aus dem Netzwerk heraus lösch- und änderbar sind) zu einem Vorsorgeplan gegen Cyber-, insbesondere Ransomware-Angriffe. Diese sorgen dafür, dass Sie im Worst Case wieder schnell einsatzfähig sind.

Zudem bilden die Reduzierung der von außen zugänglichen Systeme auf ein Minimum sowie eine sachgerechte interne Segmentierung der Netze eine weitere Sicherheitsstufe. Um eine tiefere Infektion Ihrer Systeme zu verhindern, sollten Sie zudem über eine erhöhte Anforderung an die Passwortsicherheit mit Mehrfaktor Authentifierung (MFA) nachdenken. Ganz besonders für Administratoren und diejenigen, die über Remote-Zugangsrechte verfügen. Auch deren Anzahl sollten Sie nach Möglichkeit reduzieren. Regelmäßige und zeitnahe Updates aller Betriebssysteme, Server- und Anwendungssoftware erhöhen darüberhinaus die grundsätzliche Sicherheit der Systeme.