Wenn sich heute ein Bibelschreiber die gr\u00f6\u00dften Plagen der Menschheit einfallen lie\u00dfe, dann w\u00fcrde ihm sicher nicht als letztes Ransomware einfallen \u2013 Krankenh\u00e4user, Gemeindeverwaltungen, Gro\u00dfunternehmen \u2013 sie alle z\u00e4hlen zu den Gepeinigten, denen innerhalb einer Schrecksekunde alle oder viele, besonders wichtige Daten abhandengekommen sind. Ebenso erwischte es Privatleute, dies aber vor allem zu Beginn der Ransomware-Welle, inzwischen aber haben die Erpresserbanden ihr Vorgehen professionalisiert und wollen an die richtigen Fleischt\u00f6pfe: Privatleute k\u00f6nnen schon mal den Vorteil des physikalischen Zugriffs auf ihren Rechner nutzen, die Daten ver\u00e4rgert abschreiben und neu anfangen, Installations-CD rein, Platte\/SSD formatieren und der Spuk hat ein Ende.<\/p>\n
Und: Zu Ransomware gibt es auch keine Weihnachtsgeschichte, es sei denn man betrachtet drastisch \u00fcberlaufende \u00dcberstundenkonten und wochenlangen Besuch von Polizei-Forensikern als Frohe Botschaft. Allerdings \u2013 auch das z\u00e4hlt zur Wahrheit der Ransomwaregeschichte \u2013 man kann sich heute gegen derlei Angriffe wappnen und auch die Folgen eines gegl\u00fcckten Angriffs so klein wie m\u00f6glich halten, wenn man sich nur an die Ratschl\u00e4ge von Experten h\u00e4lt. Das Konzept ist in sich schon ziemlich schl\u00fcssig \u2013 wirklich Hand und Fu\u00df bekommt es aber erst, wenn man daf\u00fcr sorgt, dass jeder Rechner nur mit den Ger\u00e4ten kommunizieren kann, mit denen er kommunizieren darf. Daf\u00fcr hat man schon Ende der 90er Jahre das Konzept der Broadcast-Domains entworfen, mit denen man das Netz in kleinere Segmente unterteilte, um den Kommunikationstraffic zwischen den Maschinen klein zu halten \u2013 in Zeiten, in denen die meisten lokalen Netze mit 10 MBit\/s auskommen mussten, ein durchaus zugkr\u00e4ftiges Argument, um teurere Hardware zu beschaffen.<\/p>\n Schnell erkannte man, dass die Unterteilung des Gesamtnetzes in kleinere Segmente weitere Vorteile bot: Ein Mitarbeiter der Lagerverwaltung bekam die Rechner der Buchhaltung gar nicht erst zu Gesicht, konnte also auch gar nicht versuchen, sich unberechtigt Zugriff zu verschaffen. Allerdings verkompliziert das Unterteilen des Netzes in kleine Einheiten den Gesamtaufbau erheblich. Denn oft genug geht es gar nicht anders, als dass eine Abteilung auf die Daten einer anderen zugreifen k\u00f6nnen muss, weil sie sonst ihre Aufgabe nicht erledigen kann. So muss beispielsweise der Einkauf die Abfrage eines Lieferanten, wo denn das Geld bleibt, mit einem Blick auf die Zahlungsvorg\u00e4nge der Buchhaltung beantworten k\u00f6nnen. Je kleiner man die Netzsegmente macht (und m\u00f6glichst klein ist im Sinne des Schutzes vor Ransomware w\u00fcnschenswert), desto mehr solche \u00dcberg\u00e4nge m\u00fcssen gepflegt und verwaltet werden.\u201c Immerhin steht fest: Die Frage ist heute nicht mehr, ob ein Unternehmen oder eine Kommunalverwaltung angegriffen wird, die Frage lautet inzwischen: Wann wird es geschehen. Kommunalverwaltungen sind f\u00fcr die Erpresser einerseits lohnende Ziele, weilsie nahezu unbegrenzt kreditf\u00e4hig sind, andererseits aber lohnen sie sich immer weniger, weil vom BSI immer besser funktionierende Konzepte an die Hand gegeben werden, um kommunale Netze besser vor solchen Angriffen zu sch\u00fctzen.<\/p>\n Doch auch in Gro\u00dfunternehmen wird immer weiter daran gearbeitet, Angriffe auf die Speicher des Netzwerks ins Leere laufen zu lassen, oder zumindest so weit daf\u00fcr zu sorgen, dass sie nur minimalen Schaden anrichten k\u00f6nnen. Auf der einen Seite werden Mitarbeiter immer besser geschult, nicht mehr auf die vermeintliche Mail vom Chef hereinzufallen, an der eine Datei h\u00e4ngt, deren Icon aussieht wie ein PDF, das unbedingt gedruckt werden soll, das aber letztendlich den Trojaner im Netz aktiviert, der dann m\u00f6glicherweise gro\u00dfen Schaden anrichten kann. Wenn solche Dateien mehr ge\u00f6ffnet werden k\u00f6nnen, weil die Mitarbeiter wissen, dass genau so ein Angriff aussieht, dann laufen viele Angriffsbem\u00fchungen ins Leere.<\/p>\n Allerdings verwenden die Erpresser inzwischen sehr viel M\u00fche und auch Zeit darauf, eine Situation zu schaffen, in der trotz aller Schulungen ein Mitarbeiter die sch\u00e4dliche Datei doch \u00f6ffnet. Dabei ist es gleich, ob der Mitarbeiter Angst davor hat, dass das Nicht-\u00d6ffnen zu einem gro\u00dfen Schaden f\u00fchren k\u00f6nnte, oder ob er einfach nur in Sicherheit gewiegt worden ist \u2013 wenn der Fehler erst einmal gemacht worden ist, dann erst wird deutlich, ob das Sicherheitskonzept der Kommunalverwaltung oder des Unternehmens tats\u00e4chlich funktioniert \u2013 und wo es eventuell nicht erkannte Schwachstellen hatte.<\/p>\n Auch die Firma Radware befasst sich mit diesem Thema, wie in diesem Artikel<\/a> auf lan-wan-telecom.de deutlich wurde. Der relativ kurze Artikel verwies auf ein Whitepaper<\/a> (englisch!), das den Verantwortlichen f\u00fcr ein Netz ein Gesp\u00fcr f\u00fcr die Gr\u00f6\u00dfe der Aufgabe vermitteln soll \u2013 und auch vermittelt:<\/p>\n Viele L\u00f6segeldforderungen enthalten die Androhung eines kleineren Vorl\u00e4uferangriffs, der die Zielorganisation als ein Unternehmen „identifiziert“, das bereit ist, unter Androhung zu zahlen. Ein Demonstrationsangriff kann die Form eines kleinen Angriffs annehmen.<\/p>\n Die Bezahlung von DDoS-Angreifern kann in mehrfacher Hinsicht sch\u00e4dlich sein und ist keine Garantie daf\u00fcr, dass sie Ihr Unternehmen in Ruhe lassen und\/oder die Bedingungen einhalten. Diese Vorl\u00e4uferangriffe\u00a0 sollen die F\u00e4higkeiten der Angreifer demonstrieren. Au\u00dferdem kann die Zahlung einer Forderung die \u00dcberlebensf\u00e4higkeit der angegriffenen Organisation gef\u00e4hrden.<\/p>\n Radware empfiehlt, das L\u00f6segeld nicht zu zahlen. Bei vielen L\u00f6segeldangriffen gibt es Hinweise auf einen Vorl\u00e4uferangriff,. Diese Bedrohung sollte unbedingt an die daf\u00fcr zust\u00e4ndigen\u00a0 Personen in der Organisation gemeldet werden. Daher sollten Unternehmen ihre Mitarbeiter aktiv \u00fcber die Existenz von RDoS-Angriffen aufkl\u00e4ren und ihnen zeigen, wie sie sich im Falle eines L\u00f6segeldangriffs verhalten sollten. (Teile \u00fcbersetzt mit DeepL.com (kostenlose Version))<\/p>\n","protected":false},"excerpt":{"rendered":" Wenn sich heute ein Bibelschreiber die gr\u00f6\u00dften Plagen der Menschheit einfallen lie\u00dfe, dann w\u00fcrde ihm sicher nicht als letztes Ransomware einfallen \u2013 Krankenh\u00e4user, Gemeindeverwaltungen, Gro\u00dfunternehmen \u2013 sie alle z\u00e4hlen zu den Gepeinigten, denen innerhalb einer Schrecksekunde alle oder viele, besonders wichtige Daten abhandengekommen sind. Ebenso erwischte es Privatleute, dies aber vor allem zu Beginn der […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,5,11],"tags":[],"class_list":["post-786","post","type-post","status-publish","format-standard","hentry","category-firmen-news","category-networks","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=786"}],"version-history":[{"count":3,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/786\/revisions"}],"predecessor-version":[{"id":789,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/786\/revisions\/789"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nSo schrieb lan-wan-telecom.de<\/a> Mitte dieses Jahres in einem gemeinsam mit der Dietzenbacher Controlware<\/a> erarbeiteten Artikel<\/a>: \u201eHeute aber gilt die damalige Annahme, dass man aus dem eigenen Netz nicht angegriffen werden kann, nicht mehr \u2013 niemand ist vor Ger\u00e4ten aus dem eigenen Netz sicher, weil Angreifer durch die \u00dcbernahme ungesicherter Maschinen ins Netz eindringen und als vermeintlich vertrauensw\u00fcrdiges Ger\u00e4t den eigentlichen Angriff durchf\u00fchren. Deshalb gilt heute in gut gesicherten Umgebungen das No-Trust-Prinzip \u2013 jedes Ger\u00e4t gilt nicht nur als Datenlieferant, sondern auch als potentielle St\u00f6rquelle und muss \u201ebeweisen\u201c, dass der jeweilige Zugriff ohne b\u00f6se Absicht und im Rahmen der zugelassenen Berechtigungen erfolgt.<\/p>\n
\nDennoch: Eine m\u00f6glichst kleine Segmentierung des Netzes und eine durchdachte und konsequent durchgehaltene Zugriffsrechtvergabe sind auf jeden Fall ein guter Anfang, um einen Angriff einer Erpresserbande wenn schon nicht zu verhindern, dann doch seinen Schaden so klein wie m\u00f6glich zu halten.<\/p>\n\u201eWie man auf eine RDoS-Bedrohung reagiert<\/h4>\n
Nicht zahlen<\/h4>\n