Ransomware/Crypto-Trojaner/Erpressungstrojaner: Die Bezeichnungen sind vielfältig für einen der bekanntesten IT-Incidents. Ob Locky, Petya, WannaCry oder der Bundes-Trojaner, bekannte Beispiel gibt es genug. Dies verdeutlicht die allgegenwärtige Gefahr.
Der Sicherheitsvorfall beim Staatstheater Stuttgart hat uns veranlasst, das Thema näher zu betrachten.
Trojaner sind beliebt und verbreitet
Ziel der Angreifer ist es mit „Trojanern“ Systeme unbrauchbar zu machen, so dass diese ohne Freischaltung durch den Hacker nicht mehr verwendet werden können. In aller Regel erfolgt dies durch die Verschlüsselung aller relevanter Daten. Somit sind Anwendungen, Dokumente, sowie Datenbanken nur noch eingeschränkt oder gar nicht mehr nutzbar.
Hierzu werden Verschlüsselungsverfahren verwendet, die sicherstellen, dass auch mit hohen technischen und finanziellen Mitteln keine Möglichkeit besteht die Daten zu entschlüsseln. Haben solche Trojaner erst einmal alle Daten verschlüsselt, sind Unternehmen wie auch Privatpersonen häufig bereit viel Geld zu bezahlen, um wieder Zugriff auf die eigenen Daten zu erhalten. Über anonyme Bezahlsysteme wie z.B. die Transaktion von Bitcoins, ist zudem sichergestellt, dass der Hacker auch bei der Lösegeldübergabe unentdeckt bleibt. Selbst wenn man zahlt, ist man jedoch völlig abhängig vom Angreifer. Nur wenn dieser den Entschlüsselungscode preisgibt, ist eine Zugang zu den Daten wieder möglich.
Schutzmaßnahmen gegen Crypto-Trojaner
Das Eindringen von Malware bzw. Crypto-Trojanern kann auf vielfältige Weise erfolgen. Folgende technische und organisatorische Maßnahmen sind deshalb zu empfehlen:
Für Client-PCs
| Das Installieren von Programmen sollte nur durch Administratoren, die sich mit einem eigenen Benutzer anmelden müssen, möglich sein. |
| Es sollten nur erforderliche Programme, Treiber, Dienste, etc. auf dem PC installiert sein. |
| Softwarefirewalls auf den Clients sollten unerwünschten Internetverkehr, insbesondere das Eindringen von Außen, verhindern. |
| Virenscanner sollten das Öffnen oder Starten unerwünschter Dateien oder Programme verhindern. |
| Die Datenbank der Virenscanner sollte immer aktuell gehalten werden. |
| Auch Programme, insbesondere Browser, sollten auf dem neusten Versionsstand sein, insbesondere wenn sicherheitsrelevante Updates ausgegeben wurden. |
| E-Mail-Programme sollten Anhänge nicht automatisch öffnen oder Webinhalte automatisch nachladen. |
Für Server
| Das Installieren von Programmen sollte nur durch Administratoren, die sich mit einem eigenen Benutzer anmelden müssen, möglich sein. |
| Server sollten gehärtet sein. Das heißt, es sollten nur erforderliche Programme, Treiber, Dienste, Schnittstellen etc. auf dem Server installiert sein. |
| Zugangsdaten zu anderen Systemen/Servern etc. sollten nicht im Klartext auf dem Server abgelegt sein, um ein Ausbreiten des Trojaners zu verhindern. Ebenso sollten nur sehr eingeschränkte Zugriffsrechte eines Servers auf andere Systeme/Server bestehen. |
| Jedes System/Server etc. sollte mit einem separaten Passwort versehen sein. |
| Auch Server sollten durch Virenscanner geschützt und regelmäßig überprüft werden. |
| Es sollten Monitoring-Mechanismen zum Einsatz kommen, die ungewöhnliches Verhalten (z.B. Zugriff auf gewisse Daten nicht mehr möglich; hohe Auslastung von Lese- und Schreibvorgänge auf das Storage) melden. |
Im Netzwerk
| Einsatz einer Firewall an allen wichtigen Netzwerkübergängen, die Kommunikationswege auf das Minimum begrenzt. |
| Intrusion Detektion und Intrusion Prävention an den Netzwerkübergängen und Identifikation von Schadsoftware. |
| Netzwerktrennung der Datenverarbeitungsanlagen je nach Risiko und Anwendungsbereich (z.B. DMZ für Server, die an das interne Netz angebunden sein müssen, extra Druckernetzwerk/IoT-Netzwerk, Separierung der Client-Systeme etc.). |
| Entwicklung einer Notfalllösung für den Ausfall einer Firewall. Das Arbeiten ohne Firewall ist keine Lösung! |
| Abgestuftes Berechtigungskonzept auf Netzwerk-, Server-, Datenbank-, Datei- und Datumsebene, welches auch auf das Erstellen, Lesen und Verändern von Daten angewendet wird. |
| Einschränkung der Fernzugriffsmöglichkeiten auf das Netzwerk. |
Für Anwender
| Anwender müssen sensibilisiert sein, wie sie mit Dateien, Mailanhängen oder externen Medien umzugehen haben und wie sie verdächtige Dateien erkennen können. |
| Wenn sie auf ihren PCs verdächtige Aktivitäten entdecken, müssen Anwender wissen, was sie machen sollen. Zum Beispiel, dass sie ihren PC ausschalten, ihn vom Netzwerk trennen und sofort die IT informieren.
Die Wege zur Meldung solcher Verdachtsfälle müssen auch in kritischen Situationen funktionieren (z.B. alternativer Meldeweg per Telefon / Mobiltelefon, wenn eine Meldung über den PC auf ein Ticketsystem nicht mehr möglich ist). |
| Da diese Daten häufig nicht von der Datensicherung berücksichtigt werden, müssen Anwender dazu angehalten werden, wichtige Daten nicht lokal auf dem PC zu speichern. |
Für Administratoren
| Administratoren sollten nur Software von sicheren und verifizierten Quellen installieren. |
| Sicherheitsupdates sollten schnellstmöglich installiert werden. Hierfür ist es erforderlich, dass auch konkrete Maßnahmen entwickelt werden, die sicherstellen, dass Administratoren von Sicherheitsupdates erfahren. |
| Administratoren sollten nur für administrative Zwecke mit Admin-Accounts arbeiten. Ansonsten sollten sie einen eigenen Benutzer-Account verwenden. |
Spezielle Schutzmaßnahmen für Fernwartungssoftware gegen Crypto-Trojaner
Laut den Zeitungsberichten ist der Trojaner beim Staatstheater-Stuttgart über ein Fernwartungssystem eines externen IT-Dienstleisters eingedrungen. Um dies zu verhindern, sollten…
- Fernwartungszugriffe nur aktiviert werden, wenn es erforderlich ist,
- die Zugriffe nach erfolgter Arbeit wieder deaktiviert werden,
- IT-Dienstleister nur die Rechte in Systemen erhalten, die sie verwalten und die erforderlich sind,
- IT-Dienstleister ähnliche oder höherwertigere technische und organisatorische Maßnahmen im Einsatz haben, als Sie selbst. So vermeiden Sie das Aufweichen Ihrer Schutzmaßnahmen.
Weitere präventive Maßnahmen sind Notfallkonzepte und Backups
Die IT-Abteilungen in Unternehmen sollen einen hundertprozentigen Schutz umzusetzen. Diesen gibt es jedoch nicht – Lücken wird es immer geben. Deshalb ist es wichtig, sich auf den Ernstfall vorzubereiten. Empfehlenswerte Maßnahmen sind:
| Notfallkonzept |
| Definition eines schriftlichen Notfallprozesses, für die einzelnen zu erwartenden Szenarien. |
| Definition wichtiger Prüfbereiche im Vorfeld, um Infizierungen zu erkennen, Sicherheitslücken zu schließen und eine weitere/erneute Infizierung bei der Widerherstellung zu vermeiden. |
| Aufnahme wichtiger Kontaktdaten für den Notfall von: Entscheidungsträgern, Dienstleistern oder / und Lieferanten. |
| Vorhalten des Notfallkonzeptes in Papierform. |
| Testen/Üben des Notfallprozesses. |
| Backups |
| Von allen wichtigen Daten sollten Backups erzeugt werden. |
| Die Backups sollten getrennt von den Systemen gespeichert werden. |
| Empfehlenswert ist es, Backups physisch und ohne Anbindung ans Internet an einem sicheren externen Ort aufzubewahren. |
| Wichtige Passwörter sollten nicht nur digital, sondern auch in Papierform, sicher verschlossen, aufbewahrt werden. |
Schwachstellen von Backups in Bezug auf Crypto-Trojaner
Viele Backups werden durch die Anwendungen und Systeme selbst erstellt und auf die Backupsysteme kopiert. Hierfür ist es erforderlich, dass von dem System ein Zugriff- häufig über Netzlaufwerke – , möglich ist. Trojaner suchen gezielt nach solchen Verbindungen und versuchen diese ebenfalls zu verschlüsseln. Ist nicht nur das System, sondern auch das Backup verschlüsselt, besteht meist keine Möglichkeit mehr die Daten wiederherzustellen und man ist dem Angreifer ausgeliefert.
Deshalb ist es wichtig, dass Systeme, Server oder Anwendungen keinen Zugriff auf ihre Backups erhalten. Dies kann erreicht werden, indem die Verbindung nach erfolgtem Backup getrennt wird. Dennoch birgt auch dies eine Unsicherheit, da kurzfristig ein Zugriff besteht.
Besser ist es, wenn separate Backupsysteme/-anwendungen eingesetzt werden, die zum Backupzeitpunkt Zugriff auf die Systeme, Server oder Anwendungen nehmen, die Daten kopieren und die Verbindungen wieder trennen. Da es in den Systemen meist nicht vorgesehen ist, dass andere Programme Schreibberechtigungen haben, kann meist auch ein Crypto-Trojaner keine Verschlüsselung vornehmen.