Gehackt und vollverschlüsselt – ein Worst Case Szenario mit Happy End

2016 liegt schon ein wenig in der His­to­rie zurück und trotz­dem ist der nach­fol­gend beschrie­be­ne Vor­fall bei einem Rei­se­ver­an­stal­ter nach wie vor brandaktuell.

Ein Klick mit schwe­ren Folgen

Wir alle wis­sen, wie schnell es gehen kann und genau so erging es unse­rem Kun­den:  Es gab viel zu tun, alles eil­te und dann kam noch eine wei­te­re, läs­ti­ge E‑Mail rein. Zum Glück nur etwas Ein­fa­ches, eine Sen­dungs­ver­fol­gung für ein Paket. Schnell wur­de der Link ange­klickt und schon war es pas­siert – in Sekun­den­schnel­le lief die Ver­schlüs­se­lung sämt­li­cher Daten und Sys­te­me ab. Zuletzt blieb nur ein ein­sa­mes Toten­kopf­sym­bol auf dem Moni­tor. Der Zugriff auf die Daten der anste­hen­den Rei­sen, auf die Kon­takt­da­ten der Gäs­te, auf die Buch­hal­tung und auf alle Spei­che­run­gen war ver­sperrt – ein Hor­ror­sze­na­rio! Mit nur einem klei­nen, unacht­sa­men Klick war der Ran­som­wa­re Tür und Tor geöff­net wor­den, trotz instal­lier­ter Fire­wall und Viren­scan­ner. Ran­som­wa­re sind Schad­pro­gram­me, die den Com­pu­ter sper­ren oder dar­auf befind­li­che Daten ver­schlüs­seln kön­nen. Oft gelan­gen die­se Pro­gram­me über Links (z. B. auf Web­sites) oder Anhän­ge in E‑Mails in ein Sys­tem. Und das Rei­se­un­ter­neh­men ist mit­nich­ten ein Ein­zel­fall: In einer von unse­rem Secu­ri­ty-Part­ner Sophos durch­ge­führ­ten glo­ba­len Stu­die („The Sta­te of Ran­som­wa­re 2020“) gaben mehr  als die Hälf­te (51 Pro­zent) der befrag­ten Unter­neh­men bzw. Orga­ni­sa­tio­nen an,  in den ver­gan­ge­nen 12 Mona­ten einen Löse­geld­an­griff erlebt zu haben. Für die Umfra­ge wur­den 5.000 IT-Ent­schei­dungs­trä­ger aus Orga­ni­sa­tio­nen in 26 Län­dern auf sechs Kon­ti­nen­ten befragt.

Lei­der bestand das Back­up  des Rei­se­ver­an­stal­ters ledig­lich aus einer loka­len Repli­ka­ti­on in einem benach­bar­ten Gebäu­de. Sol­che Back­up­sys­te­me waren in der Ver­gan­gen­heit gang und gäbe und wer­den auch heu­te noch viel­fach genützt. Lei­der bie­ten sie durch die Sicht­bar­keit der Back­up­daten inner­halb des Netz­werks vol­len Zugriff und wur­den hier ganz genau­so ver­schlüs­selt, wie die Anwen­dungs- und Dateiserver.

Wie in einem schlech­ten Film wur­de von den Hackern eine Löse­geld­for­de­rung gestellt, ein bestimm­ter Betrag soll­te per Bit­coin bezahlt wer­den. Wem im All­gäu waren Bit­coin vor fünf Jah­ren ein gän­gi­ger Begriff? Jeden­falls nicht einem alt­ein­ge­ses­se­nen Fami­li­en­un­ter­neh­men… der Film ging wei­ter, indem man im benach­bar­ten Öster­reich Bit­coin beschaff­te und die gefor­der­te Sum­me von PCK-Tech­ni­kern trans­fe­riert wur­de. Glück­li­cher­wei­se führ­te das tat­säch­lich zum Ver­schwin­den der Ver­schlüs­se­lung und die Tech­ni­ker konn­ten das Sys­tem voll­stän­dig wie­der­her­stel­len. Inso­fern hat­te die­ser Film doch noch eine Art Hap­py End. Aller­dings soll­te man nicht auf einen sol­chen Ver­lauf zäh­len. Das Unter­neh­men hat­te in die­sem Fall Glück, denn das Beglei­chen der Löse­geld­for­de­rung ist kei­ne Garan­tie, die Daten­ho­heit zurück­zu­er­lan­gen. Dar­um wird die Zah­lung z. B. vom BKA, dem BSI oder dem Digi­tal­ver­band Deutsch­lands (Bit­kom) nicht emp­foh­len. Der Geld­trans­fer könn­te auch schei­tern, wenn bei­spiels­wei­se in der Mal­wa­re Feh­ler ent­hal­ten sind und die ver­schlüs­sel­ten Daten auch mit dem rich­ti­gen Schlüs­sel nicht wie­der­her­ge­stellt wer­den können.

Back­up statt Bitcoins

Wich­tig ist heu­te vor allem die Fort­set­zung des „Films“. Der Vor­fall gab den letz­ten Anstoß zur Ent­wick­lung unse­rer aus­ge­klü­gel­ten Back­up-Stra­te­gie, die den heu­ti­gen Sicher­heits­stan­dard bil­det. Die ver­meint­li­che Sicher­heit lokal getrenn­ter Back­up-Medi­en bie­tet nun tat­säch­lich umfas­sen­de Sicher­heit, weil die ein­zel­nen Spei­cher­me­di­en völ­lig unab­hän­gig von­ein­an­der aus­ge­legt sind – smart IT Back­up war gebo­ren! Damit ein Rück­spie­len von gan­zen Sys­te­men aus Back­ups erst gar nicht nötig wird, muss das Ein­drin­gen von Viren über Links in E‑Mails oder aus Anhän­gen ver­hin­dert wer­den. Das Zau­ber­wort dazu heißt Mitarbeiter­sensibilisierung. Eine Schu­lung kann die Auf­merk­sam­keit und das Ver­ständ­nis für Hacker-Mails mas­siv ver­bes­sern und Fol­ge­schä­den ver­mei­den. Weil die mensch­li­che Kom­po­nen­te aber bleibt, Ran­som­wa­re mit immer neu­en Vari­an­ten, bes­se­ren Ver­schlüs­se­lun­gen und neue Fea­tures auf­taucht und damit nie­mand vor sol­chen Atta­cken völ­lig sicher ist, bleibt eine zu 100% ver­läss­li­che Back­up-Stra­te­gie immer ein tra­gen­der Bau­stein der Datensicherheit.