2016 liegt schon ein wenig in der Historie zurück und trotzdem ist der nachfolgend beschriebene Vorfall bei einem Reiseveranstalter nach wie vor brandaktuell.
Ein Klick mit schweren Folgen
Wir alle wissen, wie schnell es gehen kann und genau so erging es unserem Kunden: Es gab viel zu tun, alles eilte und dann kam noch eine weitere, lästige E‑Mail rein. Zum Glück nur etwas Einfaches, eine Sendungsverfolgung für ein Paket. Schnell wurde der Link angeklickt und schon war es passiert – in Sekundenschnelle lief die Verschlüsselung sämtlicher Daten und Systeme ab. Zuletzt blieb nur ein einsames Totenkopfsymbol auf dem Monitor. Der Zugriff auf die Daten der anstehenden Reisen, auf die Kontaktdaten der Gäste, auf die Buchhaltung und auf alle Speicherungen war versperrt – ein Horrorszenario! Mit nur einem kleinen, unachtsamen Klick war der Ransomware Tür und Tor geöffnet worden, trotz installierter Firewall und Virenscanner. Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln können. Oft gelangen diese Programme über Links (z. B. auf Websites) oder Anhänge in E‑Mails in ein System. Und das Reiseunternehmen ist mitnichten ein Einzelfall: In einer von unserem Security-Partner Sophos durchgeführten globalen Studie („The State of Ransomware 2020“) gaben mehr als die Hälfte (51 Prozent) der befragten Unternehmen bzw. Organisationen an, in den vergangenen 12 Monaten einen Lösegeldangriff erlebt zu haben. Für die Umfrage wurden 5.000 IT-Entscheidungsträger aus Organisationen in 26 Ländern auf sechs Kontinenten befragt.
Leider bestand das Backup des Reiseveranstalters lediglich aus einer lokalen Replikation in einem benachbarten Gebäude. Solche Backupsysteme waren in der Vergangenheit gang und gäbe und werden auch heute noch vielfach genützt. Leider bieten sie durch die Sichtbarkeit der Backupdaten innerhalb des Netzwerks vollen Zugriff und wurden hier ganz genauso verschlüsselt, wie die Anwendungs- und Dateiserver.
Wie in einem schlechten Film wurde von den Hackern eine Lösegeldforderung gestellt, ein bestimmter Betrag sollte per Bitcoin bezahlt werden. Wem im Allgäu waren Bitcoin vor fünf Jahren ein gängiger Begriff? Jedenfalls nicht einem alteingesessenen Familienunternehmen… der Film ging weiter, indem man im benachbarten Österreich Bitcoin beschaffte und die geforderte Summe von PCK-Technikern transferiert wurde. Glücklicherweise führte das tatsächlich zum Verschwinden der Verschlüsselung und die Techniker konnten das System vollständig wiederherstellen. Insofern hatte dieser Film doch noch eine Art Happy End. Allerdings sollte man nicht auf einen solchen Verlauf zählen. Das Unternehmen hatte in diesem Fall Glück, denn das Begleichen der Lösegeldforderung ist keine Garantie, die Datenhoheit zurückzuerlangen. Darum wird die Zahlung z. B. vom BKA, dem BSI oder dem Digitalverband Deutschlands (Bitkom) nicht empfohlen. Der Geldtransfer könnte auch scheitern, wenn beispielsweise in der Malware Fehler enthalten sind und die verschlüsselten Daten auch mit dem richtigen Schlüssel nicht wiederhergestellt werden können.
Backup statt Bitcoins
Wichtig ist heute vor allem die Fortsetzung des „Films“. Der Vorfall gab den letzten Anstoß zur Entwicklung unserer ausgeklügelten Backup-Strategie, die den heutigen Sicherheitsstandard bildet. Die vermeintliche Sicherheit lokal getrennter Backup-Medien bietet nun tatsächlich umfassende Sicherheit, weil die einzelnen Speichermedien völlig unabhängig voneinander ausgelegt sind – smart IT Backup war geboren! Damit ein Rückspielen von ganzen Systemen aus Backups erst gar nicht nötig wird, muss das Eindringen von Viren über Links in E‑Mails oder aus Anhängen verhindert werden. Das Zauberwort dazu heißt Mitarbeitersensibilisierung. Eine Schulung kann die Aufmerksamkeit und das Verständnis für Hacker-Mails massiv verbessern und Folgeschäden vermeiden. Weil die menschliche Komponente aber bleibt, Ransomware mit immer neuen Varianten, besseren Verschlüsselungen und neue Features auftaucht und damit niemand vor solchen Attacken völlig sicher ist, bleibt eine zu 100% verlässliche Backup-Strategie immer ein tragender Baustein der Datensicherheit.