Namen wie Petya, GoldenEye, Emotet und LeChiffre geistern seit einigen Jahren durch die Medien und sind kreative Namen der Entwickler für die gefürchteten Verschlüsselungstrojaner – oder auch Ransomware.

Was ist eigentlich Ransomware?

Es handelt sich um ein Schadprogramm, dass in den meisten Fällen durch Anhänge in Mailnachrichten in das Unternehmen gelangt. Ist das unternehmenseigene Netz erst einmal infiziert, beginnt die Software damit, die Unternehmensdaten derart zu verschlüsseln, dass ein Zugriff ohne den entsprechenden Schlüssel nicht mehr möglich ist. Oftmals erfolgt der Angriff erst Monate nach der Infektion, zwischenzeitlich hat die Verschlüsselungssoftware auch die Backups des Unternehmens befallen und schließt diese beim aktiv werden mit ein, in den Verschlüsselungsprozess. Kurz nachdem die Daten verschlüsselt sind, erhält man in der Regel eine Aufforderung zur Lösegeldzahlung. Erst nach der Zahlung erhält man den Schlüssel, um die Daten wieder lesbar zu machen – oder eben nicht.

Der Opferkreis der Täter reicht von prominenten Nachrichtenseiten wie Heise.de, über die Juwelierkette Wempe bis hin zum Kammergericht in Berlin. Gerne werden aber auch kleine und mittelständische Unternehmen in Visier genommen, wie ein Fall aus Ostfildern in Baden-Württemberg zeigt, bei dem ein Unternehmen aus dem produzierenden Gewerbe mehrere Tage nicht arbeiten konnte. Besonders die Kleinunternehmen sind ein Opfer, die den Angriffen der Täter wenig Gegenwehr entgegenstellen, da die IT-Infrastruktursicherheit in der Regel nur rudimentär ausgeprägt ist.

Die Gefahr der Verschlüsselungstrojaner schwebt über jedem Unternehmen, wie das Schwert des Damokles, egal ob es sich um ein Global Player oder Kleinunternehmen handelt. Jeder Unternehmer sollte sich ins Bewusstsein rufen, dass die Aufrechterhaltung des operativen Betriebes ohne Zugriff auf die Unternehmensdaten schlichtweg nicht oder nur mit erheblichen Schwierigkeiten möglich ist.

Wie kann ich mich gegen den Virus schützen?

Ein umfassender Schutz kann nur über eine Kombination von technischen und organisatorischen Schutzmaßnahmen erreicht werden. Selbstredend sollten geeignete Virenschutzprogramme sein, die im besten Fall von zwei unterschiedlichen Herstellern sind und automatisch geupdatet werden, so dass immer die neuesten Signaturen aktueller Viren bekannt sind. Dazu gehört ein funktionierendes Patchmanagement, wodurch die Aktualität der eingesetzten Soft- und Hardwareprodukte gewährleistet ist. Andernfalls besteht immer die Gefahr der Ausnutzung von bekannten Sicherheitslücken durch einen Hacker, wenn diese nicht rechtzeitig nach Bekanntwerden auf den Systemen geschlossen wurden. Technische Schutzmaßnahmen können noch so ausgereift sein, die Gefahr, die vom Faktor Mensch als schwächstes Glied in der Security-Kette ausgeht, kann dadurch nicht beseitigt werden. Eine regelmäßige Schulung und Sensibilisierung der Mitarbeiter, hinsichtlich der Gefahren von Schadprogrammen, ist unverzichtbar und muss als ebenso wichtig angesehen werden, wie ein funktionierender Virenscanner. Ohne entsprechendes Problembewusstsein der IT-Benutzer wird früher oder später ein schadhafter E-Mailanhang angeklickt und damit die Büchse der Pandora geöffnet. Daneben sind noch viele weitere Faktoren maßgeblich, um ein angemessenes Sicherheitsniveau um Unternehmen zu erreichen. Oftmals fehlt der Unternehmensleitung allerdings die notwendige Übersicht über den aktuellen Status der Informationssicherheit, insofern kann die tägliche Arbeit mit einem ungesicherten Lauf über ein Drahtseil gleichgestellt werden.

Wie bin ich im Katastrophenfall richtig abgesichert?

Einen hundertprozentigen Schutz gegen die Bedrohung durch einen Verschlüsselungstrojaner zu erreichen ist nahezu unmöglich, da menschliches Versagen niemals auszuschließen ist und dieser Risikofaktor daher immer bestehen bliebt. Gegen den Eintritt des Katastrophenfalls müssen insofern bereits im Vorfeld ausreichend Maßnahmen getroffen werden, um gegen einen drohenden Datenverlust gewappnet zu sein. Das einzige probate und unerlässliche Mittel ist ein strukturiertes Backup-Konzept zur Absicherung gegen Datenverluste. Das Unternehmen muss jederzeit in der Lage sein, verschlüsselte Daten innerhalb eines kurzen Zeitraumes wiederherstellen zu können. Bei der Erstellung eines umfassenden Datensicherungskonzeptes sind zahlreiche Faktoren zu beachten, wie Verfügbarkeitsansprüche, Lagerorte der Datenträger und Wiedereinspielungszeiten. Darüber hinaus muss das Datenträgermanagement im eigenen Unternehmen geregelt ablaufen, so dass jederzeit bekannt ist, wer über Speichermedien verfügt und wo diese eingesetzt werden. Es muss klar definiert werden, welche Daten zu welchen Zeitpunkten gesichert werden müssen und in wessen Verantwortungsbereich diese Aufgabe fällt. Datensicherungen sollten grundsätzlich nicht über das Firmennetzwerk erreichbar sein und offline aufbewahrt werden, so dass sich Schadprogramme nicht auf bereits erstellte Backups übertragen lassen. Der Datensicherungsprozess muss als Routineaufgabe definiert werden, wozu, neben der täglichen Kontrolle des Sicherungserfolges, auch ein regelmäßiger Wiederherstellungstest durchzuführen ist, ob die Daten fehlerfrei auf die Systeme zurückgespielt werden können. Daneben gibt es noch viele weitere Parameter, die es zu beachten gilt für die Erreichung eines angemessenen Datensicherheitsniveaus.

Zur Feststellung des Sicherheitsniveaus empfiehlt es sich ein Datensicherungsaudit zu initiieren und im Anschluss eine grundsätzliche Prüfung der Risikolage hinsichtlich der Informationssicherheit im Unternehmen einzuleiten. Die Ausfallschäden, bei fehlender Zugriffsmöglichkeit auf die eigenen Daten, können mitunter existenzvernichtende Wirkung haben, insofern sollten angemessene Schutzmaßnahmen getroffen und nicht an der falschen Stelle gespart werden.