Ransomware: Angriff auf Media Markt und wie Sie Ihr Unternehmen schützen

Hafnium, Emotet & Co. – Sicherheitslücken in Systemen werden immer wieder durch Hacking-Gruppen ausgenutzt. Einige Fälle, wie der Angriff auf die Stadt Witten oder auf den Konzern MediaMarktSaturn, gehen dabei durch alle Medien.

Die Angriffe auf kleinere Unternehmen finden meist weniger Beachtung, kommen aber mindestens genauso häufig vor. Eine beliebte Angriffstaktik: Ransomware. Diese Form der Schadsoftware kam auch bei Media Markt und Saturn zum Einsatz und hat per Verschlüsselung eine Vielzahl an Servern lahmgelegt.

Doch was genau ist Ransomware? Wie funktioniert sie? Und wie können Unternehmen sich schützen? Wir haben die wichtigsten Fragen für Sie beantwortet.

Zuletzt gab es auch bei Media Markt und Saturn einen Vorfall mit Ransomware. In der Nacht vom 07. auf den 08. November wurde der Konzern attackiert und mit der Ransomware Hive infiziert. Betroffen waren Kassen- und Warenwirtschaftssysteme in den Filialen sowie insgesamt 3.100 Server. Entsprechend wurden die Mitarbeitenden angewiesen, die Kassen vom Netz zu nehmen und Computer nicht zu nutzen.

Die Hacking-Gruppe forderte zunächst ein Lösegeld von 240 Mio. US-Dollar in Bitcoin. MediaMarktSaturn konnte sie aber auf 50 Mio. US-Dollar runterhandeln.

Ransomware ist eine Schadsoftware, die in der Regel eingespielt wird, um den Zugriff auf Daten und Systeme einzuschränken oder zu unterbinden. Dies funktioniert meist per Verschlüsselung. Im Anschluss wird ein Lösegeld (englisch = Ransom) – üblicherweise in einer digitalen Währung, z. B. Bitcoins – gefordert. Erst nach Zahlung werden die Daten wieder entschlüsselt. Allerdings gibt es hierfür keine Garantie. Daher empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), auf Lösegeldforderungen nicht einzugehen.

Teilweise kommt es auch zur Doppel-Erpressung und Hacker:innen fordern sowohl ein Lösegeld für die Entschlüsselung als auch für die Geheimhaltung. Durch die Drohung, Daten zu veröffentlichen, wird zusätzlicher Druck aufgebaut, der auch nach dem Einspielen von Backups bestehen bleibt. In Deutschland kam es bereits mehrfach zur Veröffentlichung von Daten. Lösegelder bewegen sich dabei meist im sechsstelligen Euro-Bereich, können aber auch einen achtstelligen Bereich erreichen.

Mittlerweile ist ein halbautomatisiertes, stufenweises Vorgehen bei Cyber-Angriffen üblich. Dabei gelangen beispielsweise durch Phishing-Mails Schadprogramme auf ein System. Diese Programme öffnen dann automatisch die digitale Tür für weitere Malware, wie z. B. Ransomware. Zu diesen Zwecken werden Organisationen teilweise bereits im Vorfeld gezielt ausspioniert, um das jeweilige Opfer zu bewerten und ein geeignetes Lösegeld festzulegen.

Die Folge: Netzwerke sind häufig vollständig kompromittiert, oft sind auch vorhandene Back-ups betroffen und die Bereinigung der betroffenen Netzwerke kann abhängig von der Größe mehrere Monate dauern. Außerdem kommt es zu Arbeitsausfällen von mehreren Tagen bis zu einigen Wochen. Ohne aktuelle Datensicherung kann sich dies auf mehrere Monate erstrecken und insbesondere für kleinere Unternehmen existenzbedrohende Ausmaße annehmen. Neben finanziellen Schäden kann es bei der Veröffentlichung von Daten zudem zu einem Reputationsverlust kommen.

Zu den Betroffenen zählen die unterschiedlichsten Organisationen: Von Großkonzernen zu KMUs jeder Branche bis hin zu Krankenhäusern und kommunalen Verwaltungen – Ransomware ist ein weit verbreitetes Problem.

Ein Beispiel für eine Ransomware ist das Schadprogramm WannaCry. 2017 wurden innerhalb von nur drei Tagen in über 150 Ländern Daten auf mehr als 200.000 Rechnern verschlüsselt. Insgesamt waren vermutlich mehrere Millionen Computer mit WannaCry infiziert.

Im Jahr 2021 gab es so viele Ransomware-Angriffe wie noch nie zuvor. Vor allem wegen der bevorstehenden Weihnachtsfeiertage warnen BSI und Bundeskriminalamt vor einem erhöhten Risiko für Cyberangriffen. Grund dafür ist zum einen, dass – trotz der Zerschlagung Anfang des Jahres – wieder Emotet-Spam verschickt wird. Das zeigt gleichzeitig auch, wie dynamisch die Cybercrime-Szene ist.

Zum anderen werben Ransomware-Gruppierungen offen um neue Mitglieder. Hacking-Gruppen sind längst keine Teenager im Kinderzimmer mehr, sondern organisierte Gruppen, die Cybercrime as a Service anbieten, und so jährlich Millionen-Beträge erwirtschaften.

Feiertage, Wochenenden und Urlaubszeiten eignen sich zudem besonders für Angriffe, da viele Organisationen weniger reaktionsfähig sind und nicht zeitnah die nötigen Maßnahmen einleiten können.

Außerdem warnt das BSI davor, dass immer noch nicht alle Microsoft-Exchange-Server in Deutschland gepatcht sind. Die weiterhin bestehende Sicherheitslücke erhöht für die jeweiligen Organisationen das Risiko für Angriffe.

Bei dem Schutz vor Ransomware kommt es vor allem auch auf Geschwindigkeit an. Das hat nicht zuletzt ein Test von Palo Altos Unit gezeigt. In einem Versuch wurde ein Netz von 320 Honeypots –Ködern mit Sicherheitslücken – aufgesetzt. Das erschreckende Ergebnis: Es ging bereits nach wenigen Minuten los und innerhalb von 24 Stunden waren 80% der Honeypots geknackt.

Sicherheitslücken und schwache Passwörter machen es Hacking-Gruppen leicht, in fremde Systeme einzudringen. Mit den folgenden Maßnahmen können Sie die Gefahr von Ransomware deutlich reduzieren:

• Durchführung einer Risikoanalyse und Ableitung der benötigten Maßnahmen
• Erstellung und regelmäßige Anpassung von Sicherheitskonzepten unter Berücksichtigung von IoT-Geräten und Produktionssystemen: Wie sollen die Systeme geschützt werden?
• Nutzung systemspezifischer Schutzmechanismen: Welche Schutzmechanismen bieten die verwendeten IT-Systeme, Betriebssysteme und Anwendungen?
• Betrieb, Konfiguration und regelmäßige Aktualisierung von geeigneten Virenschutzprogrammen
• Erstellung und regelmäßige Anpassung von Notfallplänen: Wie wird mit einem Vorgang umgegangen? Wer ist für welche Schritte zuständig?
• Berechtigungs- und Rollenkonzepte nach dem Need-to-know-Prinzip
• Netzwerk-Trennung und Rechte-Trennung im Active Directory: So können sich Schadprogramme nicht ungehemmt verbreiten.
• Vollständige Backup-Strategie: inklusive Offline-Backups (können von außen nicht angegriffen werden) und Testphasen
• Update- und Patchmanagement: Betriebssysteme und Software auf dem Laufenden halten, v. a. Sicherheitsupdates für kritische Schwachstellen schnell einspielen
• Sensibilisierung: Mitarbeitende regelmäßig über die Bedrohung durch Schadprogramme aufklären (z. B. Phishing-Mails) und Hilfestellungen für den Notfall geben
• Auf dem Laufenden bleiben: Welche Angriffstaktiken gibt es? Wo gibt es kritische Sicherheitslücken?

Einen vollständigen Schutz vor Schadsoftware wird es nicht geben – sowohl die eingesetzten Systeme und Anwendungen als auch die Angriffsarten entwickeln sich stetig weiter. Ergreifen Organisationen die nötigen Maßnahmen, können sie das Risiko allerdings massiv reduzieren. Auch hier gilt: Prävention ist meist günstiger als der Umgang mit den Konsequenzen.

Sie möchten Ihre Organisation IT-sicher und zukunftsfähig aufstellen? Wir unterstützen Sie! IT-Sicherheit bedeutet für uns zuallererst, den IT-Betrieb zu strukturieren und nichts dem Zufall zu überlassen. Gemeinsam mit Ihnen klären wir die benötigten Maßnahmen und setzen sie strukturiert um.

Bundesamt für Sicherheit in der Informationstechnik (2021): „Erhöhte Bedrohung: Ransomware-Angriffe zu Weihnachten“, 02. Dezember 2021, https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211202_Ransomware_Weihnachten.html, letzter Zugriff am 07. Dezember 2021.

Bundesamt für Sicherheit in der Informationstechnik (2021): „Fortschrittliche Angriffe: Neue Qualität aktueller Angriffe und Prognose“, März 2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Managementabstract-Angriffe.pdf;jsessionid=0035F1F4530CBE878FBF7D611ACE8C47.internet082?__blob=publicationFile&v=2, letzter Zugriff am 07. Dezember 2021.

Bundesamt für Sicherheit in der Informationstechnik (o. J.): „Fortschrittliche Angriffe – dynamische Entwicklung“, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Fortschrittliche-Angriffe/Fortschrittliche-Angriffe_node.html, letzter Zugriff am 07. Dezember 2021.

Bundesamt für Sicherheit in der Informationstechnik (o. J.): „Ransomware – Vorsicht vor Erpressersoftware“, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Schadprogramme/Ransomware/ransomware_node.html;jsessionid=0035F1F4530CBE878FBF7D611ACE8C47.internet082, letzter Zugriff am 07. Dezember 2021.

Knop, Dirk (2021): „Praxisversuch: Verwundbare Systeme bereits nach wenigen Minuten gehackt“, 24. November 2021, heise online, https://www.heise.de/news/Studie-Systeme-mit-verwundbarer-Software-schon-nach-Stunden-gehackt-6275440.html, letzter Zugriff am 07. Dezember 2021.

Spiegel Netzwelt )2021): „MediaMarkt und Saturn offenbar von Ransomware betroffen“, 08. November 2021, https://www.spiegel.de/netzwelt/gadgets/mediamarkt-und-saturn-offenbar-von-ransomware-betroffen-a-22695fa6-145a-4470-b774-6de0c61290e8, letzter Zugriff am 07. Dezember 2021.