Media Markt soll 240 Million Dollar Lösegeld zahlen. Das Unternehmen ist Opfer eines Verschlüsselungstrojaners geworden. Dieser hat unter anderem das Kassensystem der Elektromarktkette lahmgelegt. Media Markt ist dabei kein Einzelfall. Verwaltungen, Krankenhäuser, Unternehmen und Konzerne: Reihenweise brechen Cyberkriminelle in ihre Systeme ein und machen diese unbrauchbar. Auf der anderen Seite zeigen Tests von Antivirensoftware , dass viele Tools alle Schädlinge zu 100 Prozent erkennen.
Wieso werden so viele Firmen Opfer von Ransomware? Laut Sophos sollen 37 Prozent aller Firmen Ziel von Ransomware-Angriffen geworden sein, und bei mehr als der Hälfte waren die Angreifer zumindest teilweise erfolgreich. Es stellt sich die Frage: Haben die keine Antivirensoftware installiert? Nun, überwiegend schon, doch sie hilft oft nicht gegen diese Angriffe. Denn die Attacken starten gerade nicht mit einem PC-Virus, also einer ausführbaren Datei, die ein Antivirentool erkennen und blockieren könnte. Stattdessen suchen die Angreifer bei Unternehmen gezielt nach Schwachstellen im System, über die sie ins Firmennetzwerk eindringen können. Das kostet Zeit und ist kompliziert. Darum haben die Drahtzieher der Angriffe eine klassische Arbeitsteilung eingeführt. Sie bezahlen freiberufliche IT-Spezialisten für die Suche nach Sicherheitslücken im Unternehmensnetzwerk. Für einen Fund bekommen die Spezialisten oft nur ein paar Tausend Dollar. Wenig im Vergleich zu den Summen, die später als Lösegeld gezahlt werden. Andere Spezialisten nutzen die gefundenen Lücken dann aus, um unbemerkt ins Firmennetzwerk zu gelangen. Ist das geschafft, kundschaften sie das System aus, deaktivieren Backups und Sicherheitstools des Unternehmens und starten erst dann die Verschlüsselung mit folgender Erpressung. Im Unternehmen nutzen sie oft legale Tools und Bordmittel für ihr Aktionen, die kein Antivirenprogramm als gefährlich einstuft. Aktuell erlauben etwa viele Firmen Remote-Desktop-Zugänge. Das zugrundeliegende Tool ist harmlos, bietet dem Angreifer aber einen Zugang ins System.
Es bleibt die Frage, über welche Lücken die Angreifer eindringen können. Die Antwort: Es sind eine ganze Reihe von Lücken. Je größer das Unternehmen, desto größer oft die Angriffsfläche. Dazu ein paar Beispiel: Eine Website mit einer Eingabemaske kann eine Lücke bieten, wenn der dahinterliegende Datenbankserver falsch konfiguriert ist (Stichwort SQL-Injection ). In andere Serverdienste können sich die Kriminellen mit etwas Glück mit Standardpasswörtern einloggen oder sie nutzen geklaute Passwörter (Stichwort Credential Stuffing ). Weitere Angriffsmöglichkeiten sind Waterholing und Spear Phishing sowie klassische Angriffe per Mail und andere Formen von Social Engineering. Auf einem dieser Wege bekommen die Angreifer einen Fuß in die Tür des Unternehmenssystems und weiten den Zugriff dann Schritt für Schritt aus.
Neue Abwehrtechniken: Die Antivirenhersteller reagieren auf diese Angriffe und bieten für Firmen Überwachungstools, die die Aktionen von Cyberkriminellen im Unternehmensnetzwerk erkennen sollen. Dazu nutzen sie künstliche Intelligenz und wollen so auch Tools und Schritte erkennen, die für eine klassische Antivirensoftware harmlos aussieht. Aktuell wirbt etwa Microsoft mit einer solchen Technik.
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.