Ransomware GoldenEye: So können Firmen vorsorgen

David Kelm ist Gründer des Cyber-Security Start-Ups IT-Seal, das sich auf Social Engineering im Allgemeinen und Phishing im Speziellen spezialisiert.  IT-Seal hilft Unternehmen dabei, ihr wertvollstes Gut – den Mitarbeiter – vor aktuellen Bedrohungen zu schützen. Dazu wird die reale Verwundbarkeit getestet, analysiert und durch Optimierungsempfehlungen verringert. Im Tresorit-Blog erklärt er, was es mit der aktuellen Ransomware-Welle in Deutschland auf sich hat und wie sich Unternehmen gegen GoldenEye und ähnliche Angriffe wappnen können.

 
Die Verbreitung von sogenannter Ransomware per E-Mail ist zwar nicht neu, aber noch immer extrem gefährlich für Unternehmen. Ransomware sind Schadprogramme, die auf infizierten Systemen die Kontrolle über Firmendaten übernehmen und dann ein Lösegeld fordern, damit die Daten wieder freigegeben werden. Die aktuelle Angriffswelle “GoldenEye” erreicht dabei ein bemerkenswertes Level an Professionalität, sodass selbst gut geschulte und aufmerksame Anwender zu Phishing-Opfern werden können. Neben Sicherheitsschulungen sollten daher noch weitere Maßnahmen ergriffen werden, die zum Schutz des Unternehmens beitragen.

So verbreitet sich Ransomware

“GoldenEye” ist seit wenigen Tagen aktiv und greift gezielt Unternehmen in Deutschland an. Dabei tarnt sich die E-Mail etwa im Namen der Bundesagentur für Arbeit als täuschend echte Bewerbungsmail. Und dies ohne die sonst häufig vorkommenden formalen oder sprachlichen Fehler, sondern mit konkretem Bezug zu einer echten Stellenausschreibung. An solchen Details lassen sich Phishing-Mails sonst oft erkennen. Im Anhang ist dann eine XLS-Datei zu finden, in der die Ransomware hinter Makros versteckt liegt. In vielen Fällen ist zudem eine vollkommen legitime PDF-Datei angehängt, die keine Infektion verursacht, sondern nur die Glaubwürdigkeit der Scheinbewerbung zusätzlich unterstreicht.
Phishing-Angriffe sind seit einigen Jahren auf einem beeindruckenden Hoch, so ist beispielsweise die Anzahl von Phishing-Mails zwischen den Quartalen Q4 2015 und Q1 2016 um unglaubliche 789% gestiegen. Im Jahr 2016 wurde Ransomware zumeist und sehr erfolgreich über E-Mails verbreitet und ist gemeinsam mit den Phishing-Angriffen in ihrer Häufigkeit weiter gestiegen. Mittlerweile hat sich auch die Professionalität dieser Angriffe enorm verbessert, GoldenEye zeichnet sich dabei durch eine bisher nicht dagewesene Qualität von bösartigen Massenemails aus. Solch eine Energie wurde bisher nur in besonders hochwertige Ziele, wie beispielsweise bei der Chef-Masche investiert, bei denen E-Mails im Namen des Geschäftsführers um Kontodaten oder Überweisungen durch die Buchhaltung bitten. Nun erreichen diese gefährlichen Angriffe noch viel mehr Unternehmen.

Durch das immense Aufkommen von geschäftlichen E-Mails und menschliche Fehler gehen die infizierten Mails trotz Sicherheitsmaßnahmen immer wieder durch das Netz und können zu Infektionen der Firmensysteme führen, die am Ende Datenverlust, Produktionsausfälle oder Datenabfluss bedeuten können.

Wie können Unternehmen vorsorgen?

Sensibilisierung potentiell betroffener Mitarbeiter durch Sicherheitsschulungen ist ein wichtiger Schritt, um künftigen Phishing-Angriffen vorzubeugen. Doch auch jeder noch so gut ausgebildete Anwender ist phishbar. Es sind daher zusätzliche Sicherheitsmaßnahmen ratsam, um Phishing nicht als dauerhaftes Problem bekämpfen zu müssen. Welche Maßnahmen konkret am sinnvollsten sind, ist individuell zu entscheiden. Dennoch gibt es einige grundlegende Tipps, die ohne große Kosten in jedem Unternehmen zur Sicherheit beitragen können.

Firmeninterna sparsam kommunizieren

So ist die Preisgabe von Informationen im Internet zwar ein wirkungsvolles Mittel für Marketing und Unternehmenskommunikation, aber sie birgt auch ein Risiko: Angreifer sammeln diese Informationen und nutzen sie, um professionelle Angriffe zu gestalten. Zum Beispiel wird die bereits erwähnte Chef-Masche enorm erleichtert, wenn auf Twitter zu lesen ist, dass der Geschäftsführer gerade auf Dienstreise ist und die Mitarbeiter der Buchhaltung samt E-Mail auf der Unternehmensseite gelistet sind. Daher sollte bei jeglicher Veröffentlichung, seien es Dokumente, Stellenausschreibungen, soziale Medien oder die eigene Website immer bedacht werden, was potentielle Angreifer mit diesen Informationen anfangen könnten – und ob sich die Veröffentlichung dann noch immer lohnt.

E-Mail-Verifizierung und -Filter verbessern

Um sich gegen gespoofte E-Mails zu schützen, können Systemadministratoren des Unternehmens die E-Mail-Filter so konfigurieren, dass SPF-, DKIM- und DMARC-Einträge überprüft werden. Zudem sollten die eigenen Einträge korrekt gesetzt sein. So kann die Bedrohung schnell und einfach gemindert werden, da es den Nutzern erleichtert, echte E-Mails von falschen zu unterscheiden.

Sicherheitskopien in der Cloud

Unternehmensdateien können vorsorglich geschützt werden, indem sie regelmäßig redundant auf unabhängigen Servern gespeichert werden und zusätzlich automatisch mit sicheren Cloudspeicheranbietern synchronisiert werden. So kann je nach Art des Angriffs entweder die unabhängige Sicherheitskopie oder die Versionengeschichte in der Cloud dabei helfen, die durch Ransomware blockierten Daten wiederherzustellen.

Professionelles Bewerbungsportal

Um speziell die Bedrohung durch Bewerbungs-Mails mit GoldenEye zu minimieren, kann zudem ein Online-Bereich eingerichtet werden, über den sich standardmäßig alle Bewerber melden und Dokumente hochladen müssen. Wenn nun dennoch eine Bewerbung per E-Mail übermittelt wird, ist dies so auffällig, dass die Mitarbeiter des HR-Teams aufmerksamer auf den Inhalt achten.

Nichtsdestotrotz gilt: Beim geringsten Zweifel sollte man einen Anhang oder Link unbekannter Absender nicht unbedarft öffnen, sondern besser bei der IT-Abteilung nachfragen. Es gibt dabei keine dumme Frage: Wenn zehn Fehlalarme helfen, einen Angriff zu verhindern, spart das der IT-Abteilung viel Zeit und Ärger.