DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Locky ver­schlüsselt Daten

Ran­somware ist keine neue Erfindung. Aus aktu­ellem Anlass lohnt es sich jedoch, eine dieser Vari­anten näher zu betrachten: Locky wütet gerade vor allem in Deutschland! Der Anwender muss trotz AV-Software vor­aus­schauend handeln.

 


Ransom bedeutet über­setzt Lösegeld. Der Zugang zum End­gerät wird gesperrt und es muss Lösegeld bezahlt werden, um wieder an seinen Daten zu kommen. Doch Ran­somware ist nicht gleich Ran­somware.
Die gerade aktive Schad­software Locky gehört zu den Cryp­to­lo­ckern. Diese sperren nicht nur das End­gerät, sondern ver­schlüsseln Pro­gramme und Daten auf allen erreich­baren Lauf­werken. Inter­essant dabei ist, dass sich diese Art von Schad­software nicht auf die tra­di­tio­nellen End­geräte beschränken muss, sondern auch Tablets und Smart­phones befallen kann.


Nun könnte man meinen, aktuelle Anti­­viren-Software könne den Befall ver­hindern. Das grund­le­gende Problem von AV-Software kann jedoch wie folgt skiz­ziert werden: Durch Bau­kästen können in kurzer Zeit beliebig viele modi­fi­zierte Vari­anten dieser und anderer Ran­somware erstellt werden. Es gibt zwangs­läufig eine gewisse Latenzzeit, bis ein schäd­liches Ver­halten iden­ti­fi­ziert und sie von den AV-Scannern erkannt wird. Für diese ist eine neue Variante nichts anderes als ein neuer Virus. Kurz zusam­men­ge­fasst: Die AV-Scanner können eine Infektion erst nach einer Über­gangszeit erkennen. Eine Infektion bei ganz neuen Viren kann also durch AV-Scanner nicht ver­hindert werden.


Standard-Schut­z­­vor­­­keh­­rungen unter­stützen bei jeg­licher Art von Malware
Das fol­gende Maß­nah­men­bündel gehört zwar zum Standard-Reper­­toire, dennoch ein kurzer Über­blick mit ein paar Anmer­kungen. Warum? Auf­grund der hohen Infek­ti­onsrate (gemeldet werden 5000/h in Deutschland) liegt es nahe, dass die Umsetzung der Maß­nahmen doch das ein oder andere Defizit auf­weist:

  • Backups, falls alle anderen Maß­nahmen ver­sagen
  • Ein Betriebs­system für das es noch Sicher­heits­up­dates gibt (Lücken sind immer vor­handen, nur dann werden diese nicht mehr behoben)
  • Sicher­heits­up­dates für Betriebs­system und alle instal­lierte bzw. vor­handene Software (Mal­wa­re­scanner suchen nach allen vor­han­denen Pro­grammen. Deren Lücken sind für ältere Ver­sionen weit­läufig bekannt. Dies betrifft auch por­table Apps. Sämt­liche Pro­gramme können durch die Malware ange­sprochen und akti­viert werden.)
  • Keine Links oder Anhänge aus Mails von Unbe­kannten öffnen
  • Vor­sicht mit Mails, deren Absender zwar bekannt ist, der Inhalt aber eher unge­wöhnlich oder uner­wartet (Gerne werden geka­perte E‑Mail Accounts benutzt, um Spam und Malware an Bekannte zu ver­breiten)
  • Keine Instal­lation von Plug-Ins/Er­­wei­­te­­run­­­gen/­­Zer­­ti­­fi­­ka­­ten/­­neuen Apps etc. wenn Medi­en­da­teien oder Anhänge dies ver­langen
  • Instal­lation von Programmen/Apps aus unbe­kannten oder nicht seriösen Quellen
  • Einsatz einer Benut­zer­ver­waltung und einer Rech­te­ver­waltung (Wer darf was, in welchem Umfang, vor allem Pro­gramme kon­fi­gu­rieren, de- oder instal­lieren) (Der Anwender benötigt für das täg­liche Arbeiten keine admi­nis­tra­tiven Rechte)
    — Einsatz von Sicher­heits­software
    besonders wichtig: Ein ver­nünf­tiger Schutz wird nur in der rich­tigen Kon­fi­gu­ration erreicht
    o Einsatz von kos­ten­pflich­tiger AV-Software (hat leider genau aus diesem Grund einen zusätz­lichen Funk­ti­ons­umfang für besonders Kri­ti­sches)
    o Firewall (der Standard-Schutz betrifft vor allem die Richtung von außen nach innen: genauso wichtig, aber nur von einem Admin durch­zu­führen, ist die Ein­richtung eines Schutzes gegen uner­laubte Kon­takt­auf­nahme von innen nach außen, da bei einem infi­zierten System Malware sonst beliebig kom­mu­ni­ziert werden kann)
    — Bauch­gefühl, dass etwas nicht stimmt (Rech­nungen / unan­ge­for­derte Infos etc./Anmeldebestätigungen / Kon­takt­an­fragen etc.)

In diesem Blu­men­strauß sind auch wieder die unge­liebten und feh­lerträch­tigen Ele­mente zur Medi­en­kom­petenz des Mit­ar­beiters. Letztlich soll ja auch noch gear­beitet werden, was heute bei zu viel an tech­ni­scher Sicherheit kaum mehr sinnvoll möglich ist.


Der Umgang mit Ran­somware
So banal dies klingt: Sobald ein ver­nünf­tiger Schutz auf tech­ni­scher Basis eta­bliert ist, besteht der nächste Schritt für einen Unter­nehmer darin, seine Mit­ar­beiter über die jeweils aktu­ellen, beson­deren Gefähr­dungen in Kenntnis zu setzen. Dies betrifft vor allem deren Ver­brei­tungswege. Bei uner­war­teten Mails mit Anhängen oder bei eigen­ar­tigen Vor­gängen am System sollte sofort nach einem fest­ge­legten Ver­fahren pro­phy­lak­tisch Alarm gegeben werden.
Unklar ist, ob die Zahlung eines Löse­gelds tat­sächlich dazu führt, die Daten wieder her­stellen zu können. Das FBI in den USA emp­fiehlt bei­spiels­weise zu zahlen emp­fiehlt genau das Gegenteil, also nicht zu zahlen! Auf der Seite der Polizei  erhalten Sie weitere Infos, unter anderem zum Vor­gehen bei einer Anzeige.


Des­in­fektion?
Eine Des­in­fektion kann sinnvoll sein. Erfah­rungs­gemäß bleiben je nach Viren­scanner jedoch Teile der Software zurück. Bei ca. 390.000 neuer Vari­anten von Viren pro Tag ist dies auch wieder nicht ver­wun­derlich.
Ist der Schädling erst einmal im System, sollten alle betrof­fenen End­geräte neu auf­ge­setzt werden, also alles löschen. Die Daten sind hof­fentlich regel­mäßig durch ein Backup auf ein externes System abgelegt. Eine schnelle Wie­der­her­stellung ermög­licht ein voll­stän­diges Backup, das auch Betriebs­system, Pro­gramme und Daten umfasst. Sind diese Backups jedoch von einem infi­zierten System erreichbar, besteht das Risiko, dass auch diese ver­schlüsselt wurden.
Ist die Wie­der­her­stellung mittels Backup keine Option können durch Seiten wie Tools zur Berei­nigung her­un­ter­ge­laden werden. Weitere Infos dazu auch hier.
Aber Achtung: Es besteht keine Gewähr, dass bereits ver­schlüs­selte Daten wieder her­ge­stellt werden können! Gehen Sie davon aus, dass diese Daten ver­loren sind.


Fazit:
Mit Schäd­lingen wie Cryp­to­lo­ckern ist nicht zu spaßen: Sie ver­schlüsseln alle Daten, die sie erreichen können. Eine Berei­nigung ent­fernt bes­ten­falls den Schädling, bringt die Daten jedoch nicht wieder zurück. Die Spie­gelung von Fest­platten oder ins System inte­grierte Backups sind bei diesen Schäd­lingen kein Schutz.
Schutz bietet lediglich eine durch­gängige Pro­phylaxe, die auch Mit­ar­beiter mit ein­be­zieht. Sollte dies nichts nützen, ist ein extern auf­be­wahrtes Backup der einzige Schutz vor Daten­verlust.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.