Ransomware: "Von Zahlungen ist abzuraten"

futurezone: Anfang des Jahres wurde das österreichische Unternehmen FACC Opfer eines Betrugs mit einer Schadenshöhe von 50 Millionen Euro. Grund waren gefälschte Rechnungen oder ein sogenannter "CEO-Fraud". Wie können sich Unternehmen vor solchen Betrugstricks schützen?
Michael Krausz: Ich kenne solche Fälle auch aus eigener Praxis. Im vergangenen Jahr wurde eine Wiener Firma auf diese Art um 1,4 Millionen Euro erleichtert. Solche Fälle kommen meist nicht durch eine Manipulation des Datenverkehrs zustande sondern durch APTs (Anm.: Advanced Persistent Threat) auf dem Sender oder Empfänger-PC. Typischerweise geht dem eine zielgerichtete Attacke voran. Das geht auch bis zum Anbringen von Wanzen zum Abhören. Man versucht herauszufinden, wer sind die Lieferanten oder mit welchen Firmen es aktuell Verträge gibt. Schützen können gesundes Misstrauen, gut durchdachte Prozesse und Buchhaltungsabläufe. Es hilft auch wenn man miteinander redet. Sind die notwendigen Prozesse vorhanden und durchdacht, dann sind Firmen bei 60 bis 90 Prozent aller Betrugsmaschinen gefeit. Um den Rest muss sich die Sicherheitsabteilung kümmern.

Wie sind heimische Unternehmen in punkto Sicherheit aufgestellt?
Die meisten Firmen sind fünf bis zehn Jahre hintennach. Für diejenigen, die am Weltmarkt mitmischen, trifft das nicht zu, die sind vorne. Es hängt aber auch vom Geschäftsmodell ab. Nicht jedes Geschäftsmodell ist für jede Art von Angriff gleichermaßen anfällig. Es gibt Firmen, die leben von Wartungsverträgen, die über 20 Jahre laufen. Bei denen ist es zumeist egal, wenn Know-how gestohlen wird. Bei anderen kann es dazu führen, dass sie aus dem Geschäft gedrängt werden.

Worauf ist zu achten?
Es gibt drei Ebenen der Sicherheit. Die IT, die physikalische Sicherheit und der Faktor Mensch. Man muss alle drei in einer Art und Weise adressieren, dass eine lebbare Sicherheit dabei herauskommt. Wenn ich in Ihr Büro gehen und den Server stehlen, oder Ihre Mitarbeiter bestechen kann, dann ist es egal wie viel sie in IT-Sicherheit investieren oder investiert haben. Angreifer suchen immer die Lücke, die am leichtesten auszunutzen ist.

DDoS-Angriffe (Distributed Denial of Service), bei denen Netzinfrastruktur mit enorm vielen Datenpaketen überlastetet werden, nehmen laut dem jüngsten Internet-Sicherheitsbericht in Österreich zu. Ein aufsehenerregender Fall betraf zuletzt die Telekom Austria.
Eine DDoS-Attacke steht immer in einem strategischen Zusammenhang. Entweder ist es Erpressung oder man will dem Unternehmen gezielt schaden. Für Unternehmen stellt sich die Frage, wie viel sie in die Sicherheit investieren wollen. Firmen fahren auf jeden Fall besser, wenn sie Annahmen darüber machen, mit welcher Bandbreite sie attackiert werden und dann entsprechende Verteidigungssysteme schaffen. Es ist aber ist ein Katz- und Mausspiel.

Erpresserischen Forderungen wird bei DDoS-Attacken kaum nachgegeben?
Wer zahlt, dem kann es passieren, dass die Angreifer jede Woche wiederkommen. Das Unternehmen sollte auf jeden Fall Anzeige erstatten.

Gilt das auch für Ransomware? Hinter vorgehaltener Hand heißt es oft, dass es billiger sein könnte zu bezahlen, als einen Experten zu engagieren.
Das ist eine philosophische Frage. Es kann günstiger sein, aus rechtsstaatlicher Sicht ist aber davon abzuraten. Es gibt auch keinerlei Verlässlichkeit, dass man tatsächlich das Passwort bekommt, um die Verschlüsselung aufzuheben. Das Risiko bleibt.

Wie hoch ist da die Quote?
In 70 Prozent der Fälle wird das Passwort auch bei Bezahlung nicht herausgegeben, in 30 Prozent wird das Passwort ausgehändigt.

Zu welcher Vorgangsweise raten sie bei Datendiebstählen?
Prinzipiell sollte man bei jeder Art von Erpressung versuchen, mit professioneller Unterstützung mit dem Täter in Kontakt zu kommen, um ihn zu einem persönlichen Treffen zu bewegen. Der Sinn des Treffens ist, dass der Täter verhaftet werden kann. Oft zieht sich das über Monate. Bei Datendiebstählen wird oft auch ein Sample angekauft, um zu sehen ob es nicht eine Betrugsmasche ist. Man sollte sich auf jeden Fall von staatlichen oder privaten Stellen Unterstützung für die Verhandlungen suchen. Denn wenn die Daten erst einmal in der freien Wildbahn sind, wird man erpresst. Wenn ein Unternehmen Daten verliert, die hochgradig relevant sind, führt das über kurz oder lang zum Untergang, weil das Vertrauen weg ist. Schützen kann man sich nur, wenn man sich an Standards hält. Dann sieht man, dass diesen Firmen über Jahre nichts passiert. Die, die es nicht machen, bei denen kracht es.

Die Verbreitung von Smartphones hat auch mobile Geräte zunehmend ins Visier von Angreifern gerückt. Was raten Sie Smartphone-Nutzern?
Als unbedarfter Nutzer kann man nichts anderes tun, als sich ein iPhone zu kaufen. Apple hat eine überlegene Sicherheitsarchitektur. Ohne Sicherheitsüberprüfung gelangt keine App in den App Store, das ist bei Android anders. Dort ist ein Sicherheitstest keine Bedingung. 90 Prozent der Angriffe auf Smartphones betreffen die Android-Welt.

Wie steht es um die Sicherheit im Internet der Dinge? Der Ruf vieler Anwendungen ist, was die Sicherheit betrifft, nicht besonders gut.
Diese Bedenken sind völlig richtig. Das hat damit zu tun, dass viele Hersteller es verabsäumt haben, sich mit der Sicherheit auseinanderzusetzen. Man hat Sicherheitsaspekte lange nicht ernst genommen. Das fällt ihnen jetzt auf den Kopf.

Sind Ihnen schon Vorfälle bekannt?
Aus Österreich noch nicht. Es ist aber ein Problem. Es gibt Berichte von Samsung-Kühlschränken, die zu Spamservern wurden. Sie verschicken E-Mails um Lebensmittel zu bestellen, waren aber gar nicht abgesichert und konnten deswegen als Spam-Server missbraucht werden. Es betrifft schleichend immer mehr Leute. Man sollte auch fragen, was die Sicherheitsimplikationen sind, wenn jede Glühbirne ein IP-Adresse hat, was eine der Überlegungen vor Jahren war, als es um die Größe des Adressraums von IPv6 ging.

Michael Krausz ist seit 1996 in 21 Ländern als Berater für Informationssicherheit tätig und hat fünf Bücher zum Thema veröffentlicht. In Österreich war er am Aufbau des Zertifizierungswesens für ISO 27001 beteiligt. Mit der Norm werden Anforderungen für IT-Sicherheitsverfahren festgelegt.