Erpressungs-Trojaner (Ransomware) gehören seit Jahren zu den großen Bedrohungen im IT-Umfeld. Plötzlich wurden die Rechner aber nicht nur gesperrt, sondern die gespeicherten Daten auf den Systemen als Geiseln genommen. Hohe Lösegeldsummen in Form von Bitcoins wurden für deren Freigabe von den betroffenen Opfern erpresst. Wer in der Zeit in die Kryptowährung investiert hatte, konnte gute Gewinne einfahren, da der Bedarf an Bitcoin plötzlich rasant gestiegen ist.

Ransomware bzw. Krypto-Trojaner sind auch im Jahr 2019 nach wie vor ein brisantes Thema und offensichtlich spitzt sich derzeit die Lage dramatisch zu. So versuchen Cyberkriminelle weniger die breite Masse mit ihren Angriffen zu erreichen, vielmehr rücken klein- und mittelständische Unternehmen in ihren Fokus.

Wenn man sich den Artikel bei Bleepingcomputer (https://www.bleepingcomputer.com/news/security/over-500-percent-increase-in-ransomware-attacks-against-businesses/) vom 25.04.2019 anschaut, sieht man, dass sich die Anzahl der Ransomware Attacken halbiert hat, aber der finanzielle Schaden um 30% gewachsen ist.

Im Vergleich zwischen Q1/2018 und Q1/2019 wird von einem Anstieg der Ransomware um 500% gesprochen.

Die Angriffe werden perfider. So gelangen die Angreifer teilweise gezielt über (geklaute) Fernwartungszugänge in die IT-Infrastrukturen, analysieren diese und setzen ganz gezielte Verschlüsselungen ein. Ziel ist es, Unternehmen komplett lahm zu legen und entsprechend andere Lösegeldsummen fordern zu können.

Gleichzeitig werden immer mehr Angriffsvektoren genutzt, die man bis vor kurzem nur aus dem nachrichtendienstlichen Umfeld kannte. Gut getarnt wird die Malware unerkannt von installierten Sicherheitssystemen bzw. Virenscannern auf unsere Systeme geschleust und zur Ausführung gebracht. (https://uk.pcmag.com/windows-10/120646/invisible-malware-is-here-and-your-security-software-cant-ca, 25.04.2019). Zeroday-Lücken kommen zu einer schnelleren Ausnutzung (https://www.zdnet.com/article/new-oracle-weblogic-zero-day-discovered-in-the-wild/?bhid=26677145217385630927223040968395, 25.04.2019). Die Anzahl der DDoS-Angriffe nehmen rasant zu und nutzen überwiegend IoT (https://www.security-insider.de/iot-geraete-werden-zum-mittel-fuer-ddos-angriffe-a-811377/, 24.04.2019). Modifizierte TeamViewer-Versionen werden von Hackern genutzt, um Zugriff auf Regierungssysteme zu erlangen (https://www.zdnet.de/88358677/hacker-setzen-manipulierte-teamviewer-version-gegen-regierungen-in-europa-ein/, 24.04.2019).

Derzeit explodieren die Nachrichten um Sicherheitsvorfälle und jede Nachricht enthält neue Hiobsbotschaften. Wer es noch nicht erkannt hat beziehungsweise offensichtliche die Zeichen nicht zu deuten vermag: wir befinden uns inmitten eines Cyberkrieges um Bits und Bytes.

Die heutige IT ist aufgefordert, sich dieser Gefahr zu stellen. Der Wandel der Betrachtungsweise, weg vom reinen Schutzgedanken, hin zum Finden des bereits eingedrungenen Verbrechers, ist eine automatische Folge der veränderten Situation. Um mittelfristig ein akzeptables Schutzniveau gewährleisten zu können, wird der Bedarf an neuen Erkennungsmethoden und neuen internen Prozessen notwendig. Das eigene Security Operation Center (SOC) muss neue Skills entwickeln und sich stetig verändernden Herausforderungen stellen.

Um langfristig bestehen zu können, muss ein stärkerer Fokus auf Detektionsmethoden gelegt werden und auch darüber nachgedacht werden, stetiges Angriffsverhalten im Netz zu simulieren und durch das SOC aufdecken zu lassen (Redteaming/Blueteaming).

Dieser veränderten Situation trägt auch der neue Grundschutz des BSI Rechnung, der deutlich höhere Anforderungen im Bereich Detektion und Reaktion stellt. State of the Art bedeutet stetiger Wandel und intensiver Austausch mit anderen Organisationen im Umfeld der Sicherheit. Nur gemeinsam mit anderen werden wir uns langfristig verteidigen können. Und mag die Verteidigung noch so gut sein – irgendwann wird es trotzdem einschlagen.

TS / TB