Ransomware-Angriffe: „Wissen, wo die Kronjuwelen liegen“
In den USA attackierten Erpresser vor kurzem Colonial Pipeline, einen Betreiber der wichtigsten Treibstoff-Leitungssysteme des Landes. Über das 8850 Kilometer lange Netz wird normalerweise Treibstoff zu Flughäfen und quer durch das halbe Land bis nach New York geliefert. Doch rund eineinhalb Wochen standen die Hauptleitungen still. Der Preis für Benzin schnellte in die Höhe, ein regionaler Notstand wurde aufgerufen.
Bei dem Angriff auf Colonial Pipeline wurde das Firmennetz mit einer sogenannten „Ransomware“ lahmgelegt. Das bedeutet, dass Erpresser Dateien im System verschlüsselt haben, so dass darauf niemand mehr zugreifen konnte und sie Lösegeld erpresst haben.
Wie Angreifer vorgehen
Doch warum müssen eigentlich ganze Leitungen zum Transportieren von Treibstoff außer Betrieb genommen werden, wenn auf den Firmenrechnern „ein paar Dateien“ verschlüsselt worden sind? Diese Frage stellte die futurezone Avi Kravitz, Cybersecurity-Spezialist bei Blue Shield Security. Kravitz betreut im Schnitt fast jede zweite Woche Kund*innen, die Opfer von Ransomware-Attacken geworden sind. „Weil die Angreifer höchst professionell und zielgerichtet vorgehen“, erklärt Kravitz.
Die Dateien werden etwa nicht bereits dann verschlüsselt, wenn die Angreifer zum ersten Mal Zugriff auf das System haben, sondern erst dann, wenn sie dieses genau analysiert und weitere Zugriffsrechte ergattert haben. „Es gibt den sogenannten OODA-Loop (beobachten, orientieren, entscheiden, handeln). So geht das Militär vor, wenn es um Kriegsführung geht. Dieser wird auch von Cyberkriminellen genutzt, um ihre Ziele zu attackieren“, sagt der Cybersecurity-Experte.
Eindringen ins Firmennetzwerk
Zuerst werde ein Unternehmen ausgespäht, danach wird das „schwächste Glied“ angegriffen, sagt Kravitz. „Hier passiert die größte manuelle Arbeit." Danach werde in dem System die Ransomware-Software installiert. „Bis hierhin sprechen wir nur von einem lokalen Ereignis, doch die Kriminellen wollen sich im gesamten Netzwerk ausbreiten. Dafür brauchen sie allerdings weitere Zugriffsrechte.“ Dazu müssen die Angreifer die gesamte Infrastruktur kennenlernen. „Sie müssen wissen, wo die Kronjuwelen liegen“, erklärt Kravitz.
„Dieser Prozess kann über mehrere Wochen gehen“, so der Experte. Wenn die Angreifer das System vollständig unter Kontrolle haben, geht es los: „Sie drücken einen Knopf und die gesamte Infrastruktur wird schlagartig lahmgelegt. Dann kommt die Lösegeldforderung“, schildert Kravitz den gesamten Vorgang, der sich im Hintergrund abspielt, bevor in einer Firma wirklich nichts mehr geht. Das erklärt auch, warum selbst die Steuerung der Leitungen zum Transport von Treibstoff nicht mehr möglich ist, oder aber die Patientenversorgung in einem Krankenhaus, wenn dieses angegriffen wird.
„Sie drücken einen Knopf und die gesamte Infrastruktur wird schlagartig lahmgelegt. Dann kommt die Lösegeldforderung."
Das sind die häufigsten Fehler, die gemacht werden
„Firmen müssen dann nicht nur verschlüsselte Dateien aus einem Backup-System einspielen, sondern sie müssen sämtliche Systeme komplett neu aufsetzen. Das kann je nach Unternehmensgröße bis zu einigen Wochen dauern. Hier entsteht den Firmen eigentlich der größte Schaden“, sagt der Experte. Hinzu kommt, dass es mittlerweile „Ransomware-As-A-Service“-Anbieter gibt, die die Tools für derartige Angriffe zur Verfügung stellen. Kriminelle können sich dann je nach Unternehmen aus verschiedenen Baukästen die Cybercrime-Werkzeuge zusammenkaufen, die für ihr jeweiliges Ziel am besten passen.
Denn angreifbar ist jedes Unternehmen. Manche davon haben eigentlich eine relativ gute Cybersecurity-Strategie am Papier, machen in der Praxis jedoch ein paar Fehler, die ihnen am Ende schaden können. Einer davon ist laut Kravitz, das Konzept aus der Schublade nie unter „Realbedingungen“ zu testen. „Alles bringt außerdem nichts, wenn keine regelmäßige Wirksamkeitsüberprüfung durchgeführt wird, mit der die Effektivität der Maßnahmen bewertet wird“, warnt der Experte.
Doch auch weitere Fehler sind häufig: „Wir machen regelmäßig Analysen und dabei sehen wir, dass manche Systeme super abgesichert sind, aber die Firmen dann bei wichtigen Steuersystemen einfach die Standardpasswörter nicht geändert haben“, erklärt Kravitz. Ein anderer beliebter Fehler sei, dass Firmen zwar Backups erstellen würden, diese jedoch so abspeichern, dass Angreifer im Fall einer Ransomware-Attacke auch darauf zugreifen und diese ganz einfach mitverschlüsseln können. „Das sind die häufigsten Fehler, die ich in meiner Praxis sehe“, so Kravitz.
Kritische Infrastruktur besonders gefährdet
Besonders kritisch wird alles, wenn Angreifer Firmen wie Colonial Pipeline, die zur kritischen Infrastruktur zählen, lahmlegen, oder aber Krankenhäuser oder andere Gesundheitsdienste. Colonial Pipeline zahlte etwa fünf Millionen US-Dollar Lösegeld an die Erpresser.
„Bei kritischer Infrastruktur ist die Wahrscheinlichkeit, dass dieses Lösegeld bezahlt wird, viel höher als bei herkömmlichen Unternehmen. Und wenn nicht bezahlt wird, ist der Schaden meist ein hoher und zwar für alle“, erklärt Kravitz. „Jeder Tag Stehzeit kostet in der Umgebung von kritischer Infrastruktur ein Vermögen und hat einen enormen Einfluss auf unser tägliches Leben“, so Kravitz. Deshalb würde es aus Sicht von Angreifern umso mehr Sinn machen, derartige Betriebe anzugreifen.
Im Fall von Colonial Pipeline sagten die Anbieter der Ransomware-Software, mit der das Unternehmen angegriffen wurde, dass es nicht ihr Ziel sei, Probleme für die Gesellschaft zu schaffen, sondern lediglich Geld zu verdienen. Krankenhäuser und öffentliche Infrastruktur seien eigentlich von ihren Angriffen ausgenommen, hieß es in einer Stellungnahme der „Dark Side“-Gruppe, die die Software für den Angriff geliefert hatte.
Doch gerade der Angriff auf die Pipeline-Firma zeigt, dass es Auswirkungen weit über die Firmengrenzen hinaus geben kann. „Es mag sein, dass manche Angreifer, die sich ihre Ziele ganz genau aussuchen, einen moralischen Kompass haben oder auch nicht. Das wird die Zeit zeigen“, so Kravitz. Es gebe jedoch auch immer auch Angreifer, die rein opportunistisch agieren würden: „Die differenzieren sicherlich nicht.“
Es mag sein, dass manche Angreifer, die sich ihre Ziele ganz genau aussuchen, einen moralischen Kompass haben oder auch nicht. Das wird die Zeit zeigen."
Vorbereitungen für den Ernstfall
Firmen bleibt daher nur eines übrig: Sich auf einen derartigen Vorfall vorzubereiten. „Früher oder später wird es einen treffen“, so Kravitz. Neben umfangreichen Tests der eigenen Sicherheitskonzepte empfiehlt der Experte, schon bei den „Basics“ zu beginnen und das wäre das Einführen einer Zwei-Faktor- oder Multi-Faktor-Authentifizierung. Denn nicht selten beginnen derartige Vorfälle mit dem Stehlen von Login-Daten.
Zudem brauche es ein „sicheres Konzept für Administratoren“, denn diese seien er häufigste Weg, wie sich die Angreifer in ein IT-System einnisten können. Neben einem Offline-Backup empfiehlt Kravitz zudem noch die Härtung des „Active-Directory“-Systems. Danach heißt es, ähnlich wie bei Corona: Testen, testen, testen.