Ransomware-Infektionen mit Datenlecks: Stoppt den Wahnsinn

Erfolgreiche Ransomware-Infektionen stellen inzwischen ein echtes Problem dar. Selbst Gesundheitseinrichtungen wurden während der Pandemie angegriffen. Ein besonderes Problem ist, dass inzwischen bei solchen Infektionen erbeutete, vertrauliche Dokument, von den Cyber-Kriminellen veröffentlicht werden. Ich habe noch einige Fälle von deutschen Unternehmen im Artikel aufgelistet. Das Sicherheitsunternehmen EmsiSoft hat die Entwicklung aufgegriffen und fordert, den Ransomware-Gangs die Geschäftsgrundlage zu entziehen, indem Zahlungen an die Erpresser verboten werden.


Anzeige

Weitere Ransomware-Infektionen mit Datenlecks

Ich hatte ja die Nacht im Artikel Sicherheit: Ransomware bei ThyssenKrupp, Schwachstellen bei Louis Vuitton, Airbnb und mehr einen kurzen Abriss von Sicherheitsmeldungen zusammen gefasst. Mir liegen aber inzwischen (über Quellen aus Sicherheitskreisen) Informationen über eine Reihe von deutschen Firmen vor, die Opfer von Ransomware wurden. In allen Fällen wurden Daten bei der Infektion abgezogen und später von den Cyber-Kriminellen publiziert.

  • Teka Group: Das ist ein multinationaler Konzern, der 1924 in Deutschland gegründet wurde. Der Schwerpunkt von Teka liegt in der Produktion und dem Vertrieb von Produkten für Küche und Bad, Glaskeramiken, Industriecontainern und Großküchen. Der Konzern hat sich in Europa als Referenz für Spülen, Dunstabzugshauben, Kochflächen und Backöfen etabliert, und er gehört zu den weltweit führenden Produzenten von Bierkegs (Zapfkopf).
  • Dussmann-Gruppe: Über den Fall hatte ich im Beitrag Ransomware-Befall bei deutscher Dussmann-Gruppe berichtet. Jetzt tauchen erbeutete Dokumente von denen auf den Seiten der Erpresser auf.
  •  Prettl: Die in Pfullingen beheimate Gruppe ist weltweit im Bereich Automotive, Elektronik etc. tätig. Die Gruppe scheint Opfer einer CLOP-Ransomware-Infektion geworden zu sein. Die CLOP-Ransomware-Gang veröffentlichte auf CLOP-Leaks Hinweise zu diesem Angriff (siehe z.B. diesen Tweet), wobei der Eintrag inzwischen verschwunden ist (mir liegen drei Quellenangaben vor, die das bestätigen, dass der Eintrag gelöscht wurde, deutet darauf hin, dass das Lösegeld gezahlt wurde).
  • Künhle-Tours GmbH: Kühnle-Tours vermietet Hausboote, die Kühnle-Gruppe hat auch eine Werft im Portfolio und wurde mutmaßlich Opfer der MAZE-Ransomware-Gruppe, wie deren Posts belegen.
  • Waldhoff GmbH Co.:  Ein Familienunternehmen aus Höxter, welches Dienstleistungen für die Gastronomie (Getränke-Manager) erbringt, aber auch im Bereich Handel/Transport und Logistik bei Gastronomiebedarf/Getränke aktiv ist. Die wurden mutmaßlich Opfer der Conti Ransomware (mir liegen zwei Quellen vor).
  • Handelshof Stendal GmbH: Handelt mit Technik und wurde mutmaßlich Opfer der MAZE-Ransomware-Gang, die jetzt erbeutete Dokumente veröffentlicht.
  • Tracto-Technik GmbH: Der Hersteller für ‘Maulwurf-Technologie’ beim Graben wurde Opfer der der MAZE-Ransomware-Gang (siehe auch diesen Artikel), die bereits im August 2020 erbeutete Dokumente veröffentlichte.
  • NETZSCH-Holding: Die NETZSCH-Gruppe ist ein inhabergeführtes, international tätiges Technologieunternehmen (Analysieren & Prüfen, Mahlen & Dispergieren sowie Pumpen & Systeme) mit Hauptsitz in Deutschland. Die CLOP-Ransomware-Gruppe reklamierte bereits im August 2020 eine Infektion und will Dokumente erbeutet haben. Der BR hatte im Juli 2020 diesen Beitrag zum Angriff.

Es gibt noch weitere Meldungen (z.B. zur Planatol Gruppe, zur Hödlmayr GmbH oder ProMinent etc.), die weiter zurück liegen. Nach dem Tod einer Patientin wegen der Ransomware-Infektion im Universitätsklinikum Düsseldorf (UKD) – siehe Links am Artikelende – hatte sich die Klinik-Leitung erklärt (uns trifft keine Schuld). Heise hat einen interessanten Kommentar zu dieser ‘Erklärung’ veröffentlicht. Generell wächst sich das Thema Ransomware als Plage aus.

Ransomware führt zur Sicherheitskrise

Ende 2019 stellte das Sicherheitsunternehmen EmsiSoft fest, dass die Lösegelddrohung bei Ransomware-Angriffen ‘ein Krisenniveau erreicht haben’. Im September 2020 reift die Erkenntnis, dass sich die Situation nur noch verschlechtert hat, da die Angriffe auf das Gesundheitswesen und andere Organisationen des öffentlichen und privaten Sektors weitergehen und im Verlauf der Pandemie eskalieren. Sogar ein Hersteller von Beatmungsgeräten wurde angegriffen. EmsiSoft gibt an, dass in diesem Jahr bislang mindestens 219 Organisationen in der US-Regierung, im Bildungs- und Gesundheitssektor – darunter mehrere Krankenhäuser – Opfer von Lösegeldangriffen geworden sind. Und bei einer zunehmenden Zahl dieser Vorfälle werden sensible Daten gestohlen und online veröffentlicht. Weltweit gab es im Jahr 2020 mehr als 170.000 erfolgreiche Angriffe.

Darüber hinaus ist die durchschnittliche Lösegeldforderung der Ransomware-Gangs erheblich gestiegen und liegt heute zwischen 150.000 und 250.000 US Dollar (USD), wobei Forderungen in Höhe von mehreren Millionen Dollar immer häufiger gestellt werden. Die höchste öffentlich gemeldete Betrag beläuft sich auf 42 Millionen USD; die höchste nicht öffentlich gemeldete Forderung soll mehr als 1 Milliarde USD betragen. Was den Kontext betrifft, so lag die durchschnittliche Forderung im Jahr 2018 bei etwas mehr als 5.000 USD.

Infolge dieses Anstiegs verfügen Cyberkriminelle über bessere Ressourcen und sind motivierter denn je, Ransomware-Angriffe zu fahren. Die Sicherheitsanalysten von EmsiSoft schätzen, dass im Laufe des Jahres 2020 mehr als 25 Milliarden Dollar an Lösegeldforderungen gezahlt werden, mit einem wirtschaftlichen Schaden für die Weltwirtschaft von fast 170 Milliarden Dollar – und das sind äußerst konservative Schätzungen.

Erschwerend kommt hinzu, dass immer mehr Gruppen begonnen haben, Daten zu stehlen und die Drohung, sie freizugeben, als zusätzliches Druckmittel einzusetzen, um Zahlungen zu erpressen. Daten werden heute bei etwa 1 von 4 Angriffen gestohlen, was dazu führt, dass sehr sensible Informationen in die Hände von Cyberkriminellen gelangen und anschließend online gestellt werden.

Genug ist genug: Verbietet die Zahlungen

Der Tod der Patientin führte beim Sicherheitsanbieter EmsiSoft zum Artikel Enough is enough: Woman’s death highlights the need for a ban on ransom payments. Deren Analysten, mit denen ich in Kontakt stehe, haben mir den Link zukommen lassen. Aus dem Artikel stammen auch die Zahlen im vorherigen Abschnitt.


Anzeige

Die Leute ziehen den einzig richtigen Schluss, wie man das Problem eingrenzen kann: Der Sumpf muss ausgetrocknet werden. Während Berater und Softwarefirmen noch mit ihren ‘allumfassenden Sicherheitslösungen’ werben und die Botschaft ‘wir müssen nur alles richtig gut absichern, kostet halt Geld’ verbreiten, zielt EmsiSoft auf die Geldquellen, aus denen die Ransomware-Gangs schöpfen. Die Forderung: Die Regierungen müssen die Zahlungen von Lösegeld für Cyber-Angriffe und Ransomware-Fälle schlicht verbietet bzw. unterbinden.

Strafverfolgungsbehörden in aller Welt empfehlen, und das aus sehr gutem Grund, seit langem, Forderungen der Ransomware-Gruppen nicht zu bezahlen. Lösegeld-Angriffe geschehen aus einem einzigen Grund: Sie sind profitabel. Diejenigen Organisationen, die sich dafür entscheiden, Forderungen zu zahlen, tragen dazu bei, die Angriffe profitabel zu halten und damit den Kreislauf der Cyberkriminalität aufrechtzuerhalten und andere Organisationen ins Fadenkreuz zu nehmen.

Wie der Klimawandel ist Lösegeld ein Problem des kollektiven Handelns, und seine Lösung erfordert, dass alle das Richtige tun. Im Falle von Lösegeld ist es das Richtige, Cyberkriminelle nicht zu bezahlen, und es ist an der Zeit, dass die Regierungen die Organisationen zwingen, dies nicht zu tun. Lösegeld-Angriffe unprofitabel zu machen, ist der einzige Weg, sie zu stoppen. Wenn es illegal wäre, Lösegeldforderungen zu bezahlen, würde es kein Lösegeld mehr geben, und unsere Organisationen des öffentlichen und privaten Sektors wären nicht länger ständigen Angriffen ausgesetzt. Krankenhäuser wären sicher, und Leben wären nicht mehr in Gefahr.

Wie der Klimawandel ist Ransomware ein Problem des kollektiven Handelns. Die Lösung des Problems erfordert, dass alle das Richtige tun. Im Falle von Ransomware ist es das Richtige, Cyberkriminelle nicht zu bezahlen und nicht auf die Lösegeldforderungen einzugehen. EmsiSoft meint, es sei an der Zeit, dass die Regierungen die Firmen und Organisationen zwingen, keine Lösegeldzahlungen zu leisten, wenn sie Opfer eines Cyber-Angriffs mit Ransomware oder eines Hacks wurden.

Lösegeld-Angriffe unprofitabel zu machen, ist der einzige Weg, die Cyber-Kriminellen zu stoppen. Wenn es illegal wäre, Lösegeldforderungen zu bezahlen, würde es kein Lösegeld mehr geben, und Organisationen des öffentlichen und privaten Sektors wären nicht länger ständigen Angriffen ausgesetzt. Krankenhäuser und Gesundheitseinrichtungen wären sicher, und Leben von Menschen wären nicht mehr in Gefahr. Klingt zu schön, um wahr zu sein – denn noch wiegen sich viele Verantwortungsträger in Sicherheit (uns passiert das nicht). Staatliche Bedrohungsakteure wird man mit dieser Maßnahme eher nicht stoppen können, es sei denn, es stehen finanzielle Interessen (wie bei Nord-Korea vermutet wird) dahinter.

Die Politik schläft momentan ihren Dornröschen-Schlaf, träumt von Cloud- und Überwachungslösungen, oder von der Digitalisierung der Schulen. Aber eine strategische Zusammenarbeit, um wenigstens die Cyber-Kriminalität im Bereich Ransomware einzudämmen, findet nicht statt. Ich denke, die IT würgt sich momentan mit ihrem Vernetzung-, Cloud und ‘immer schnelleren Update-Zyklen’ selbst das Geschäftsmodell ab. Spätestens, wenn die Folgekosten durch Sicherheitsvorfälle die Produktivitätsgewinne durch Vernetzung übersteigen, dürften auch die Controller in den Firmen Alarm schlagen. Oder wie seht ihr das so? Ist das alles zu schwarz gemalt und man hat alles ist im Griff?

Ähnliche Artikel:
Düsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff?
Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Ransomware-Infektionen mit Datenlecks: Stoppt den Wahnsinn


  1. Anzeige
  2. Mira Bellenbaum sagt:

    Der Wahnsinn besteht darin, dass heut zutage alles, aber auch wirklich alles vom WWW aus erreichbar sein muss, ob es Sinn macht oder nicht, egal Hauptsache mit dem Internet verbunden.

    Warum müssen Daten von Krankenhäusern bzw, deren Geräte vom Internet erreichbar sein? Zwei getrennte Netze und gut is. Und günstiger ist obendrein auch noch, wenn man nicht dauernd Daten wiederherstellen muss oder erpresste Gelder zahlen muss.
    Hinzu kommt noch der Wahn, all seine Daten in die “Cloud” verlagern zu müssen.
    Cloud, “Wolke”, sagt doch schon alles! Wo die Daten sind, schulter zuck, keine Sau weiß es.
    Und im Privaten? Alle Geräte immer im Netz. Klasse! Die Hersteller freut es, können Sie doch recht genaue Profile von den Personen erstellen.
    Aber macht ja nix, denn keiner merkt, ob und welchen Nachteilen er obliegt.
    Ob es die Konditionen für einen Kredit sind, einer Versicherung oder was auch immer, es lässt sich ja nur schwerlich überprüfen.
    Willkommen in einer Welt, wo DU keine Geheimnisse hast,
    aber alle anderen vor Dir.

  3. Sansor sagt:

    Auch im privaten Umfeld landet zunehmend alles in Netz und der Cloud. Das muss man scheinbar, zumindest wer was von sich hält. Somit landen immer mehr Geräte – von IoT bis NAS – alles im Netz. Unglücklicherweise haben die Meisten hier keinerlei Ahnung von Sicherheit. Hier wird nach dem Prinzip „wird schon“ gehandelt. Auch wenn man sie ausdrücklich darauf hinweist: „Sicherheit, brauch ich nicht“. Somit gibt es auch hier immer mehr Vorfälle. Backup, Fehlanzeige. Also zahlen. Auch Ransom-Schreiber fangen mal klein an oder auch Kleinfieh macht Mist.

    Aber keine Sorge, irgendwann bumm. Dann erwickelt sich eine ganz neue Wirtschaft. Ich behalte zur Sicherheit meinen alten Taschenrechner gut auf. :)

    • Knusper sagt:

      “Auch im privaten Umfeld landet zunehmend alles in Netz und der Cloud. Das muss man scheinbar, zumindest wer was von sich hält.”

      So ein Unsinn!
      Obendrein ist dein Beitrag sehr “lösungsorientiert”.
      Noch was, heb’ lieber deinen Rechenschieber auf, da kommt nicht mal der gefährliche Strom dran.

  4. Anzeige

  5. woodpeaker sagt:

    Eigentlich könnte man zu der aktuellen Pandemie eine Parallele ziehen.
    Es findet hier wie da der gleiche ignorante Wahnsinn statt.
    Keiner kümmert sich um Regeln.
    Warum werden die Strafen hier genauso wie bei Covid nicht strikt angewendet?
    Die ausführenden Organe sind hoffnungslos überfordert.
    Hier merkt man dann doch die Grenzen der Wahrnehmung des Individuums für sich selbst, gleichermaßen in der Gesellschaft gesamt.
    Gibt nur einen Rat in solchen Zeiten: Alte Jägersweisheit – so schnell wie möglich auf einen Baum und abwarten. ;-)

  6. 1ST1 sagt:

    Absichern so weit es geht, da kommt leider niemand drum herum. Die Angriffe mit Ransomware werden immer dreister, und irgend ein Dummer, man möge es noch so oft wiederholt haben dass man es nicht soll, öffnet dann doch den Anhang, gibt das Passwort von dm ZIP ein und macht den entscheidenden Doppelklick. Daher muss alles getan werden, um die Systeme abzusichern. Neben Kopf, Mailfilter, Antivirus. Ausführungsverhindernung, Updates, Admintiering, und was man auch sonst so treibt gehört da natürlich auch ein anständiges Backup dazu.

    Den Ransomwaregruppen die Grundlage zu nehmen, in dem man nicht zahlt, klingt in der Theorie ja nett, und mit einem funktionierenden Backup/Restore ist man vielleicht schnell wieder “online”. Aber die Veröffentlichung von durch den Angriff geklaute Daten ist mitunder eine andere Hausnummer.

    Letztlich sehe ich aber Microsoft in der Pflicht, die Angriffe per Mimikatz mit Pass the Hash usw. auf Golden/Silver Tickets existieren ja nicht erst seit gestern. Momentan sind wir in der glücklichen Situation, dass Microsoft eigentlich nur 2 Client-Betriebssysteme updaten muss, Windows 8.1 und 10, zuzüglich der Serverversionen. Jetzt wäre es also an der Zeit, diesen Mimikatz-Angriffsvektor anzugehen und innerhalb weniger Monate auf ein neues, sicheres Authentifizierungsverfahren umzuschwenken, was absolut inkompatibel zu Mimikatz ist. Ist klar, das bedeutet auch Änderungen in Anwendungsprogrammen, Tools und Appliances, aber ich glaube daran führt letztlich kein Weg dran vorbei.

  7. Andres Müller sagt:

    Meiner Meinung handelt es sich inzwischen um Terroristen die auch vor Menschenopfern in Spitälern und massenhaftem Identitätsdiebstahl nicht zurückschrecken.

    Dafür würde es schon Gesetze geben, wenn man endlich diese Bedrohungen entsprechend der Schwere des Verbrechens und vor allem der Schwere potentieller Bedrohungen verfolgen und bestrafen würde.

    Doch ich befürchte dass staatliche Hacker dann weniger Möglichkeiten hätten um die Bevölkerung auszuspionieren, folglich werden vermutlich Vorstösse welche die Hersteller von Bedrohungssoftware Terroristen gleichsetzen blockiert.

    So schneidet man sich seit Jahren in das eigene Fleisch und die Cyber -Terroristen können die Sektkorken knallen lassen.

    • 1ST1 sagt:

      Vorsicht, Absatz 3 ist Aluhut-Fraktion.

      • Andres Müller sagt:

        warum Vorsicht?
        Meine Angaben bezüglich Staatlicher Hacker beruhen (z.b. Deutschland) aus Presseberichten der Bundesregierung und dann der Berichterstattung darüber in den Medien.
        Obwohl Gerichte das Hacker -Treiben des Staates für Verfassungswidrig erklärten wird offenbar munter weiter digital Eingebrochen, Verwanzt und gefährliche Trojaner hochgeladen.

        Pressebericht zum Beispiel hier bitte schön:

        https://netzpolitik.org/2020/bnd-gesetz-eine-neue-lizenz-zum-hacken/

        Wie soll man hohe Strafen gegen Cyberkriminelle fordern können wenn der Staat solche Leute sogar per Anzeige sucht…
        Ich bin pessimistisch was die staatliche strafrechtliche Reaktionssubstanz auf Ransomware und Trojaner wie Emotet anbetrifft. Hacker haben meines Wissens nur etwas zu befürchten wenn sie z.B. Hollywood Filme auf Torrent hochladen und oder Kinderpornografie betreiben.
        Ich habe selbst schon email von Kriminellen erhalten die mich mit dem Tode bedroht haben. Reaktion des Staates auf Erbitten um Reaktion war sozusagen Zero, eine Nonsens Antwort.

        Ich habe keine Angst vor Aluhüten, wenn dann eher von den Politikern dahinten die denen Aufträge zur Cyberkriminalität vergeben.

        • 1ST1 sagt:

          Staatlixche Hacker sind natürlich möglich, ich denke hier aber eher an Russland, Iran, China, Nordkorea und weitere Schurkenstaaten. Denen geht es nicht darum, Privatleute aluhutmäßig zu überwachen. Denen geht es entweder um Spionage im Staats- oder Industriebereich, sondern um finanzeille Erpesssung. Nordkorea z.B. braucht massive Devisen für sein Bomben/Raketenprogramm.

  8. No sagt:

    Warum blockiert Microsoft nicht VBA besser, z.B. für alle Dateien mit dem ADS “Zone 3”, oder keine routinemäßige Installation der DLL?

  9. Anzeige

  10. Paul sagt:

    Gute Idee, aber nur wenn:
    1. Strafen die auch wirklich sehr wehtun, da höher sind als die Erpressungs-Gelder
    1a. Strafen unabhängig hoch von der Erpressungs summe. Es darf sich einfach nicht lohnen auch kleine Beträge zu zahlen.
    2. Sehr guter Schutz + Belohnung von Whistlebowern, da sonst einfach alles,
    Angriff, Übernahme, Epressung, Zahlung geheim bleiben. (Derzeit ist jeder seinen Job los der die Erpressungszahlung seiner Firma melden würde und identifiziert werden kann.)
    3. Strafen auch wenn sie -angeblich- der Firma das Knick bricht.
    Dann wird endlich genug in Sicherheit und KnowHow investiert, vorher….
    4. Anonyme Meldestelle

    Problem für Juristen:
    Was ist das für eine Straftat wenn man einer Erpressung/Nötigung nachgibt?
    “Förderung einer kriminellen/terroristischen Vereinigung”?

  11. Buc sagt:

    Das klingt ja schön und gut aber:
    Letztlich hat man das das Opfer kriminalisiert und zum Täter gemacht und die Kriminiellen gehen straflos aus. Juristisch unmöglich denke ich.
    Interessant auch der Aspekt, dass dann der Staat ungewollt von jeder (entdeckten) Lösegeldzahlung profitiert und per Geldstrafe seinen Anteil kassiert. Abgesehen davon, dass die Opfer sich zweimal überlegen werden, ob sie sich an die Ermittlungsbehörden wenden, wenn sie in Betracht ziehen evtl. das Lösegeld zu bezahlen. Schlecht für die Aufklärungsquote.
    Soweit ich weiss, landen bei Schutzgeldzahlungen der Mafia bisher auch nicht die Opfer im Gefängnis…
    Solche Ideen sind unausgegoren und wenig zielführend und legen nur die Hilflosigkeit der “klassischen” Antivirusanbieter offen.

  12. Bernard sagt:

    “indem Zahlungen an die Erpresser verboten”

    Sitzen bei EmsiSoft nur … (darf ich leider nicht schreiben, wäre nicht gut)?

    Nicht diese Zahlungen sind das Problem, sonder der Microsoftsche Scheiss mit dem Online-ZWANG!!!

    Ich brauche kein Online-Konto für mein Betriebssystem, ich brauche keine Cloud (OneDrive), ich brauche kein Skype, ich brauche keinen Kühlschrank oder DVD-Player, der ins Internet geht.

    VERBIETET diesen Schwachsinn endlich! Über 20 Jahre hat das Internet ohne diesen Mist funktioniert.

    Brecht Microsoft endlich das Genick und zerschlagt den Konzern! Office und Windows müssen getrennt werden. Das Betriebssystem Windows muss OHNE einen Browser geliefert werden!

    Jeder darf sich Edge oder Firefox oder Chrome selbst installieren, aber bitte ohne Zwangsbeglückung.

    Alles andere sind Krokodilstränen.

    Und legt offen, wer in München bestochen wurde.

    • Günter Born sagt:

      Sehe ich deutlich anders! Ich nehme kein Blatt vor den Mund, was Microsoft und dessen Produkte betrifft. Und bzgl. Online-Zwang in Win/Browser-Beglückung bin ich d’accord. Es geht aber um die Frage, wie Ransomware wirksam begegnet werden kann – auch Linux-Systeme sind ja gefährte. Eine juristische Regelung, die Lösegeldzahlungen verbietet – weltweit angelegt – würde die Geschäftsgrundlage von Ransomware arg ändern. Problem ist: Der Leidensdruck muss noch steigen, um so etwas hin zu bekommen.

      Ansonsten muss ich mal einen weiteren Beitrag schreiben – es geht um die Frage, dass IT-Verantwortlich bald in der Haftung stehen, wenn solche Vorfälle auftreten und schuldhaftes Verhalten nachgewiesen wird. Bisher hat man sich davor gedrückt, das im Gesetz mal explizit aufzugreifen.

      • DWE sagt:

        Grundlegend haftet der Geschäftsführer hierfür, da dieser i.d.R auch die Gelder für die IT-Sicherheit freigibt (oder auch nicht) passt das ja.

      • Bernard sagt:

        es geht um die Frage, dass IT-Verantwortlich bald in der Haftung stehen, wenn solche Vorfälle auftreten und schuldhaftes Verhalten nachgewiesen wird

        Finde ich nicht gut, dass es die Firmenleitung wieder einmal auf den “kleinen” Mann abwälzen kann.

        Wenn man so sieht, was es da an Sonderwünschen gibt, z.B. Admin-Passwort für die Geschäftsleitung, ist so eine Haftung eine Katastrophe.

        Das war ja auch in München das Problem, das die Herren von der Verwaltung, die etwas Besseres sind, sich von den Systemadministratoren nicht verbieten lassen wollten, was sie auf den Dienst-PCs installieren…

    • 1ST1 sagt:

      Der Online-Zwang ist nicht das Problem. Ob du deine Dateien jetzt in der Cloud speicherst, oder lokal, ist aus Sicht des Ransomware-Angreifers egal, der veschlüsselt dir beides, wenn du dich nicht schützt, und es ihm gelingt, seinen Schadcode bei dir auf dem PC auszuführen. Ich habe auch noch nicht gelesen, dass es jemand gelungen ist, ein OneDrive zu knacken, ohne den damit verbundenen PC zu knacken. Abgesehen von Cloud-Act, da wissen wir ja letztlich nichts darüber, ob/wie NSA/CIA usw. auf solche Dateien zugreift, aber die werden sicher wohl nichts verschlüsseln und den Benutzer erpressen, denen geht es um andere Dinge. Aber darum geht es auch nicht. Auch dass Software online aktiviert werden muss, ist nicht dieses Problem, lässt sich aber damit begründen, dass das wohl der einzige (halbwegs) funktionierende Schutz vor Raubkopien ist – wir müssen den Softwareunternehmen durchaus zugestehen, dass sie mit ihrem Produkt was verdienen wollen – auch wenns gelegentlich überzogene Preise sind, aber auch das ist ein ganz anderes Problem.

      Computerviren gibts schon fast so lange, wie es Computer gibt, erste Proof-of-Concepts verbreiteten sich ganz ohne Netzwerk, über “infizierte” Bootsektoren und “infizierte” ausführbare Dateien, in die der Schadcode eingefügt wurde. Das gab es nicht nur auf MS-DOS-PCs, sondern auch schon auf dem Atari ST ST und dem Commodore Amiga.

      (Nebenbei: Der erste Antivirus von GData lief auf dem Atari ST, damals noch rein als On-Demand-Scanner. Auf dem Amiga kann ich mich noch an ein lustiges “Virus konstruction-kit” erinnern, in dem man sich seine lustigen Bootsektorvieren selbst zusammen klicken konnte, und dann Disketten damit per Mausklick infizieren konnte, war das ein Spaß, die Blicke der Opfer waren unbezahlbar, wenn sich dann plötzlich der ganze Desktop des Amiga um 180° drehte, oder der Mauspfeil anfing zu tanzen, und sich das Virus auf jede weitere eingelegte Diskette verbreitete…)

      Die Vernetzung ist also nicht das Problem, die ist ja sogar gewollt, denn natürlich wollen wir mit dem PC im Internet surfen.

      Das Problem ist, dass viele Firmen offensichtlich ihre Hausaufgaben beim Thema Sicherheit nicht machen, von denen lesen wir dann hier und auf Heise und Golem usw. als Ransomware-Opfer, und ich bin dann immer wieder erstaunt, was da für Namen dabei sind – die sollten eigentlich genug Finanzen dafür haben, sich entsprechende Sicherheitsexperten zu leisten, die das RICHTIG umsetzen können. Und dass es Microsoft nicht gelingt, das Problem “Mimikatz” endlich mal an der Wurzel zu packen und ein völlig neues, aus heutiger Sicht sicheres Authentifizierungsprotokoll einführt, und das schnellstens.

  13. Mance sagt:

    Wahrscheinlich ist dieser Beitrag vollkommen sinnlos und zeigt, dass ich keine Ahnung von den Zusammenhängen habe. Aber mir will das einfach nicht einleuchten, dass man das Problem nicht an der Wurzel packen kann. Ich denke bspw. analog zum Abfangen von Briefbomben an prominente Persönlichkeiten. Da wird die eingehende Post konsequent voruntersucht bevor der Adressat sie in die Hände bekommt und und öffnen kann. Was passiert wenn man das nicht konsequent macht, zeigt bspw. der Fall Helmut Zilk 1993.
    Also warum kann man den E-Mail Verkehr einer Fa. od. Institution nicht erst mal in einem separaten Topf landen lassen wo dann geprüft werden kann was da eingegangen ist und welche Risiken bestehen. Erst dann wird die Post, nach Bereinigung, an die Adressaten verteilt. Das dürfte beim heutigen Stand Technik m. E. kein grosses Problem sein.
    Zumindest ist das Verbieten von Lösegeldzahlungen auch nicht der Weisheit letzter Schluss. Das Letzte was mir einfallen würde, solange nicht alle Möglichkeiten davor voll ausgeschöpft sind.

    • 1ST1 sagt:

      Solche Mail-Security-Appliances, die man seinem Exchange-Server vorschalten kann, gibt es. Man kann auch direkt auf dem Exchange-Software installieren, die beim Mailempfang da erst mal rein schaut. Das geht, wird aber offensichtlich nicht überall gemacht. Aber, ich habe solche Mails schon mehrfach bei uns gesehen, und den darin enthaltenen Dropper (entweder *.doc oder *.vbs) zu Virus-Total hoch geladen. Wenn der ganz frisch ist, wird der dort von kaum einer Engine erkannt, erst nach ein paar Stunden/Tagen, steigt dann die Erkennungsrate. Wenn man sich dann den VBS/VBA-Sourcecode dieser Dropper anschaut, wird auch schnell klar, warum das so ist.

      • Mance sagt:

        Ja, aber dann ist die allgemeine Empfehlung immer die neuesten Updates zu laden natürlich richtig, kann aber für eine gewisse Zeit auch nicht 100%ig schützen (ist aber auch den meisten klar).
        Ich stelle mir vor, natürlich in einer abgeschotteten Umgebung wo kein Schaden entstehen kann, nicht darauf zu warten bis er als Schädling bekannt ist, sondern ihn einfach anzustossen um zu sehen was er macht.
        Wie gesagt, ist nur eine Grundvorstellung, Erkenntnisse aus der analogen Welt in die digitale zu übertragen. Ich bin sicher wir haben genug kluge Köpfe die sowas realisieren könnten.

  14. Gerold sagt:

    Beitrag vom August 2020:

    Daten von jedem zwei­ten Mit­tel­ständ­ler kur­sie­ren im Dar­knet

    Dienstliche E-Mail-Adressen und Passwörter finden sich zuhauf in der Schmuddelecke des Internets, zeigt eine aktuelle Untersuchung im Auftrag der Versicherer. Dass sie dort gelandet sind, liegt auch am unbedarften Verhalten der Mitarbeiter.

    https://www.gdv.de/de/medien/aktuell/daten-von-jedem-zweiten-mittelstaendler-kursieren-im-darknet-61434

  15. Lukas sagt:

    Was mich wundert, wie einfach teilweise die Ransomware in die Unternehmen kommt.
    Ist es denn so schwer unsichere Dateien (z.B. zip, doc, docm) einfach zu filtern?
    Und was im Internet hängt muss eben erst recht regelmäßig gepacht werden und auch besonders abgesichert und isoliert werden.
    Setzt man diese 2 Punkte um ist man wahrscheinlich schon mal besser abgesichert als 90 % der Konkurrenz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.