Security-Experten in IT-Unternehmen sind alarmiert. Die Schadprogramme können sich Internetkriminelle ganz einfach im Darknet kaufen – inklusive der Kampagnenauswertung ihrer Erpresserangriffe. Die Programme funktionieren vergleichsweise einfach, indem sie in weit verbreiteten Programmen wie Java, Silverlight, Adobe Reader oder Flash kleine Fehler suchen, über die sie sich einschleichen und festsetzen. Besonders gefährlich an der Sache: Mailanhänge, die Trojaner beinhalten, lassen sich längst nicht mehr so einfach als solche erkennen wie noch vor wenigen Jahren. Und die Internetseiten, auf denen man sich beim Surfen Schadprogramme einfangen kann, sind unter Umständen ganz harmlose Blogs zu ebenso harmlosen Themen.
Häcker gegen Hacker
„Das sind die Vorarbeiten“, sagt LEITWERK-Sicherheitsexperte Tobias Häcker aus Karlsruhe über das Einschleichen der Trojaner. Und diese Arbeiten seien für die Kriminellen dahinter viel weniger kompliziert, als zum Beispiel mit gefälschten „Phishing-Seiten“ Bankdaten von Verbrauchern abzufangen, um dann deren Konto leerzuräumen. Wenn ein Trojaner sich erst einmal eingenistet, versteckt und geladen hat, nimmt das Unglück seinen Lauf: Auf dem Bildschirm erscheint eine Nachricht, die einem Erpresserbrief gleichkommt. Wer seine Daten wiederhaben will, soll zahlen, um einen Entschlüsselungscode zu erhalten, der die Daten wieder freigibt. In nahezu 20 Jahren an der IT-Security-Front habe er noch nichts vergleichbar Gefährliches angetroffen wie die stark expandierenden Trojaner, so Häcker. „Das ist die Welle, auf der viele Kriminelle mitschwimmen wollen.“
Super-Trojaner Emotet
Das aktuellste Beispiel ist auch gleichzeitig eines der gefährlichsten. Wochenlang sorgte das ausgeklügelte Schadprogramm „Emotet" Ende 2018 für Schlagzeilen und richtet nach wie vor weltweit Schäden in Millionenhöhe an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erläutert auf seiner Seite Maßnahmen zum Schutz vor Emotet, an denen man sich orientieren kann. Als wichtigste Schutzmaßnahme gilt: E-Mail-Anhänge, insbesondere Office-Dokumente, nicht gleich öffnen! Auch dann nicht, wenn der Absender bekannt ist. Dasselbe gilt für enthaltene Links. Im Zweifel lieber einmal zu oft Rücksprache mit dem (vermeintlichen) Absender halten. Denn ist „Emotet" erst einmal auf den Rechner gelangt, nimmt das Unheil seinen Lauf. Der Trojaner lädt die Schadsoftware „Trickbot" nach. Diese spioniert die Zugangsdaten zum Onlinebanking aus. Immer häufiger lotst „Emotet" anschließend den Verschlüsselungstrojaner „Ryuk" auf den Rechner, warnt das BSI. Dessen perfide Spezialität ist neben dem Verschlüsseln von Dateien das Löschen von Backups, um die Zahlungsbereitschaft der Erpressten zu erhöhen.
Zahlen oder nicht?
Wie also kann man Netzwerke gegen die Angriffe der Ransomware schützen? Wo kommen die Programme her? Soll man zahlen oder lieber doch nicht? Fangen wir von hinten an: Wer zahlt, hat natürlich keine Sicherheit, dass man ihn danach in Ruhe lässt und alles wieder so funktioniert, wie es soll. Er kann sich aber zumindest sicher sein, dass sein Geld irgendwelchen Gangsterbanden zugutekommt. Wo diese sitzen, kann man nur vermuten. Tobias Häcker berichtet, dass es Trojaner gibt, die so programmiert sind, dass sie zum Beispiel Rechner und Netzwerke in der ehemaligen Sowjetunion nicht angreifen. Es muss aber nicht unbedingt die „Russenmafia“ hinter solchen Angriffen stecken. Denkbar sei auch, dass das erpresste Geld irgendwelchen Terrorgruppen zufließe, so der IT-Experte.
IT-Security: Einen Schritt voraus
Wer sich schützen will, muss ins Thema Internetsicherheit investieren. Das sei für viele Unternehmen zwar nur bedingt attraktiv, weil man mit IT-Security zunächst mal keine Umsätze macht und nur Kosten generiert. Es sei aber immer noch preiswerter als ein mehrtägiger Produktionsausfall, wenn alle Rechner stillstehen. Um sich zu schützen, raten Experten wie Tobias Häcker dazu, im Umgang mit externen Mailanhängen größte Vorsicht walten zu lassen, Netzwerke in Unternehmen zu segmentieren und bei der Vergabe von Schreib- und Administratorenrechten so restriktiv wie möglich zu sein. „Man kann auch die Rechner von Produktionsmaschinen, wo es möglich ist, vom Netz nehmen. Oder sich die Frage stellen, ob zum Beispiel ein Geschäftsführer tatsächlich alle möglichen Schreibrechte überall im Netzwerk haben muss.“
Am wichtigsten aber seien regelmäßige, eng getaktete Backups der Daten im Netzwerk sowie Updates von Browsern und Software. Daraus folgt ein technischer Vorsprung gegenüber angreifenden Schadprogrammen, die in ihrer Machart immer weiter perfektioniert werden. Viel Arbeit also, aber in Zeiten der florierenden Interneterpressung müsse man sich klarmachen, dass der sorglose und komplett komfortable Umgang mit dem Internet ein Phänomen der Vergangenheit sei, sagt Häcker. „Der Zenit der Bequemlichkeit ist überschritten.“