Unternehmensdaten vor Trojanerangriffen sichern

Wenn plötzlich nichts mehr geht

Für viele sind Computer ein eher notwendiges Übel. IT-Sicherheit wird allgemein als lästig empfunden. Aber Computer, Laptops und Smartphones sind für die alltäglichen Abläufe in Firmen nicht wegzudenken. Schon wenn eine Kleinigkeit nicht funktioniert, wird das deutlich. Wenn plötzlich Dokumente unauffindbar sind, Angebote nicht verschickt werden können oder die E-Mail-Kommunikation ausfällt, wird es richtig kompliziert. Dahinter kann zum Beispiel ein Trojaner stecken.

Zu spät! Ein Trojaner kann den Zugriff auf Daten blockieren, die für Unternehmen existenziell sind. Foto: 2017 PR IMAGE FACTORY

So allgegenwärtig wie die Technik selbst sind heute leider auch die Angreifer auf IT-Systeme. Ihre Werkzeuge sind besser und ausgefeilter. Schon lange versuchen Antiviren-Hersteller und andere IT-Sicherheitsanbieter mehr oder weniger erfolgreich, ihre Kunden vor größerem Unheil zu bewahren. Neue Angriffsplattformen wie Emotet stellen jedoch auch etablierte Anbieter vor große Herausforderungen. Kann man wirklich darauf vertrauen, dass deren Produkte ausreichend sind und zuverlässig schützen? Im Zweifelsfalle wird die Antwort leider – zumindest manchmal – „Nein“ lauten.

Mittels kleiner, kontinuierlicher Veränderungen im Programmcode trickst Emotet einen (signaturbasierten) Antivirenschutz schnell aus und bleibt so lange unentdeckt. Dabei ist es nicht entscheidend, ob der Anwender sich Emotet über einen Download, einen E-Mail-Anhang oder den infizierten USB-Stick eines Kunden eingefangen hat. Bekannt ist Emotet vor allem als „Verschlüsselungstrojaner“, der den Zugriff auf Daten verhindert. In einem Netzwerk angelangt, untersucht er es zuerst bis ins Detail. Alle vorhandenen Geräte – egal ob Arbeitsplätze, Dateiserver, Drucker oder die Finanzbuchhaltung – werden erfasst. Quasi gleichzeitig werden die Informationen an einen „Command-and-Control-Server“ (C&C) im Internet gemeldet. Hier zeigt sich nun, was der Schädling alles kann. Angriffscodes für exakt die jeweils genutzten Computersysteme können gezielt nachgeladen werden. Sind Geräte nicht auf dem aktuellen Software- oder Firmwarestand, findet sich schnell eine interessante Lücke. Und selbst wenn nicht – die Angreifer haben Zeit! Über den C&C-Server werden sie genau informiert, wenn sich in den kommenden Monaten neue Lücken in den Systemen finden. Für die Angreifer besteht kein Grund zur Eile. Sie haben sich gemütlich eingenistet.

Kann teuer werden

Durch den C&C-Server werden die Attacken bei interessanten Zielen aber auch durchaus
von Menschen per Hand nachgesteuert. Auf den ersten Blick klingt dies irrsinnig und auch zu teuer. Aber bei genauerer Betrachtung zeigt sich, dass es sich hier um ein sehr erfolgreiches Geschäftsmodell handelt. Sind die Daten im Netzwerk erst einmal verschlüsselt, wird von den Opfern in der Regel Lösegeld erpresst. Mindestens einige hundert Euro.

Da die Angreifer die Systeme, die Daten und damit ihre Opfer und Firmen bestens kennen, werden die Forderungen durchaus an die Leistungsfähigkeit des Unternehmens angepasst. So wird häufig eine wesentlich höhere Summe gefordert. Bei einer durchschnittlichen Forderung von 1.000 Euro, und selbst wenn nur 700 Opfer pro Monat wirklich zahlen sollten, kommt hier doch ein nettes Sümmchen für die Angreifer zusammen. Jedenfalls sofern sie nicht doch eines fernen Tages erwischt werden. Ihr Erfolg in den vergangenen Monaten lässt befürchten: So schnell müssen sie sich keinen neuen Job suchen.


Fünf Tipps zum Schutz wichtiger Daten

  1. Computersysteme sollten auf dem aktuellen Stand sein und Updates zügig eingespielt werden.
  2. Backup-Konzept überprüfen! Sicherheitshalber gibt es zwei Backups der wichtigsten Daten: eins direkt vor Ort und ein zweites verschlüsseltes woanders – durchaus zum Beispiel in der Cloud. Ein  professioneller Blick auf das Backup- und Wiederherstellungskonzept ist wertvoll.
  3. Alle Mitarbeiter müssen wissen, welche Daten besonders wichtig sind und wo diese Daten aufbewahrt werden. Der sicherste Ort ist der eigene Server.
  4. Ermitteln, wie lange bestimmte Funktionen im Unternehmen maximal ausfallen dürfen, wann es schmerzhaft wird und ab wann ein nicht mehr zu beherrschendes Risiko für den Weiterbestand des Unternehmens vorliegt.
  5. Mit dem IT-Dienstleister eine Netzwerktrennung umsetzen. Der PC am Empfang muss bestimmt nicht direkt mit den Buchhaltungssystemen kommunizieren. Ein in mehrere Zonen aufgeteiltes Netzwerk wird kaum Opfer eines „Flächenbrands“.
Kontakt:

Kontakt:
Jens Liebau
Telefon (06151) 4607882
team@bitinspect.de
www.bitinspect.de