Krypto-Trojaner zielen auf kleine Betriebe

Hacker haben Handwerksbetriebe als lukrative Opfer entdeckt. Damit Betriebe sich nicht selbst digitale Schädlinge einfangen, sind umfangreiche Vorsichtsmaßnahmen nötig.

Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe

Viele Handwerker empfinden Erpresser-Viren nicht als Gefahr, weil sie Virenscanner nutzen. Doch genügt das wirklich? Im Interview gibt Jürgen Schüler, Leiter des Kompetenzzentrums IT-Sicherheit der Handwerkskammer Rheinhessen, wertvolle Tipps für Betriebe.

Schüler: Die aktuell laufende Welle mit Verschlüsselungstrojanern zielt vor allem auf kleinere und mittelständische Firmen. Der Grund: Betrieben dieser Größenordnung fehlt es oft an entsprechenden Sicherheitsvorkehrungen und IT-Fachwissen, um sich wirksam vor einem Krypto-Trojaner zu schützen. Weil der Leidensdruck für die Betroffenen hoch ist, zahlen sie in einem Drittel der Fälle das Lösegeld. Denn wenn kein Backup vorhanden ist, lassen sich die Dateien – nach derzeitiger Erkenntnis – ohne eine Zahlung nicht wiederherstellen. Doch jedes fünfte Unternehmen erhält seine Daten trotz Überweisung nie zurück.

DHB: Wie funktionieren Erpresser-Viren?
Schüler: Heute lauern Trojaner in Initiativbewerbungen oder täuschend echt aussehenden Rechnungs- oder Mahnschreiben, Bestellbestätigungen, in Paketempfangsbestätigungen oder Faxen, die per Mail versandt werden. Teilweise unter Verwendung von echten Firmennamen und -adressen, zum Teil in perfekter Nachahmung tatsächlicher Firmen-E-Mails. Im Anhang befindet sich meist ein sogenannter Downloader, der die eigentliche Schadsoftware nachlädt. Der Link führt zu einer ausführbaren Datei, die einen Ransomware-Trojaner enthält. Ein Klick auf den Link verschlüsselt dann die Daten auf dem Rechner, auf Netzlaufwerken oder eingebundenen Cloud-Diensten. Für die Entschlüsselung wird dann ein Lösegeld gefordert. Das Lösegeld ist in Bitcoins, einer Krypto-Währung, zu entrichten. Danach erhält man mit etwas Glück den Code zum Entschlüsseln seiner Daten.

DHB: Kann ein PC infiziert werden, wenn man grundsätzlich keine Mail-Anhänge öffnet?
Schüler: Ja. Das alleinige Aufrufen einer manipulierten Internetseite genügt, um den Computer zu infizieren und automatisch die Schadsoftware zu laden (Drive-By-Infektion). Darüber hinaus scannen Täter das Internet aktiv nach Systemen, die Fernwartungszugänge ins Internet anbieten – zum Beispiel Microsoft Remote-Desktop. Dann führen sie Brute-Force-Angriffe auf das Passwort durch und installieren im Erfolgsfall eine Ransomware-Malware, die Systeme verschlüsselt.

DHB: Können Antiviren-Programme Sicherheit bieten?
Schüler: Antiviren-Programm können nur bekannte Schadprogramme erkennen, blockieren und gegebenenfalls beseitigen. Antiviren-Programme, die proaktive Verfahren nutzen, können Schadsoftware zwar aufgrund ihres Verhaltens identifizieren, bieten aber keine Garantie für eine Erkennung. Daher sind Virenscanner nur eine Ergänzung zu allgemeinen Vorsichtsmaßnahmen.

So schützen Sie sich vor Erpresser-Viren

Das Kompetenzzentrum IT-Sicherheit empfiehlt Handwerkern die folgenden Schutzmaßnahmen gegen Erpresser-Viren:

• Sensibilisierung der Mitarbeiter: Nicht auf jeden Link und verdächtige E-Mails klicken – denn Trojaner werden meist per E-Mail-Anhang oder Drive-by-Download verteilt. Niemals auf Links klicken, die Downloads starten. Stattdessen den Absender bitten, die Unterlagen auf anderen Wegen zur Verfügung zu stellen. Wenn kein Kontakt möglich ist: Mail löschen.
• Regelmäßige Offline-Backups auf externe Speichermedien: So lassen sich im Schadensfall fast alle Daten wiederherstellen. Damit Backups vom Trojaner nicht mitverschlüsselt werden, sind spezielle Backup- und Speicherrichtlinien nötig. Diese müssen verhindern, dass Anwender und Schadsoftware auf Sicherheitskopien im Netzwerk zugreifen können.
• Zugangsbeschränkungen einrichten: Diese halten auch Schadsoftware davon ab, sich überall zu verbreiten. Auf Geschäftsdaten sollten nur autorisierte Personen zugreifen.
• Software immer auf dem neusten Stand halten: Durch Updates und Patches werden Angriffspunkte durch bekannte Schwachstellen minimiert.
• Sicherheitssoftware installieren: Zum Schutz vor vielen Bedrohungen empfehlen sich Programme mit mehrstufigen Schutzverfahren – inklusive Filterung von schadhaften E-Mail-Anhängen und Blockierung von Makros in Office-Dokumenten.
• Die Ausführung aktiver Inhalte in Web-Browsern einschränken: z. B. Click-to-Play sowie Browser-Plug-ins, wie Flash, Java oder Silverlight. Am sichersten ist die komplette Deaktivierung von ausführbaren Skripten im Betriebssystem.
• Ausführbare Anhänge blockieren oder in Quarantäne verschieben: Dies gilt auch, wenn diese in Archiven enthalten sind. Ausgewählte Beispiele: .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, MS-Office-Dokument mit Makros oder verschlüsselte Archive (z. B. Zip-Dateien)

Maßnahmen für Opfer von Erpresser-Viren

Wie sollte man als Opfer eines Erpresser-Virus am besten reagieren? Das Kompetenzzentrum IT-Sicherheit empfiehlt Handwerkern die folgenden Maßnahmen:

• Zur Begrenzung des Schadens: infizierte Systeme sofort vom Netz trennen.
• Schadsoftware finden und deaktivieren, um weitere Infektionen zu verhindern.
• IT-Systeme ganz neu aufsetzen und alle Daten von Sicherungskopien wiederherstellen.
• Kein Lösegeld zahlen.
• In jedem Fall eine polizeiliche Strafanzeige erstatten.

Das Kompetenzzentrum IT-Sicherheit

Das Kompetenzzentrum (KOMZET) für IT-Sicherheit und Qualifizierte digitale Signatur ist eine Einrichtung der Handwerkskammer Rheinhessen. Es ist bundesweit zuständig für die Verbesserung der IT-Sicherheit in Handwerksunternehmen und unterstützt diese bei der Anpassung der IT-Grundsicherheit an die Spezifikationen und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und ist Teil des Technologietransfernetzes im Handwerk. Das erklärte Ziel: Sie wollen Handwerker für die Risiken der Informationstechnologie sensibilisieren und bei der Umsetzung entsprechender Sicherheitskonzepte unterstützen. Das KOMZET zeigt zum Beispiel konkrete Sicherheitslücken auf, vermittelt passende Security-Spezialisten und unterstützt beim Aufbau einer sicheren IT-Umgebung. Darüber hinaus entwickeln die Berater individuelle Konzepte zum Schutz mobiler Geräte, zur Datenverschlüsselung sowie für den sicheren Zugriff auf das Unternehmensnetz. Die Experten stehen auch bei allen Fragen rund um Datenschutz zur Verfügung und helfen in Notfällen – zum Beispiel bei Cyber-Attacken durch Computerviren.

 

Hier geht es zum Webauftritt des Kompetenzzentrums IT -Sicherheit.

Glossar: Wichtige Fachbegriffe kurz erklärt

Brute-Force-Angriff: Eine Hacker-Methode, um Passwörter durch automatisiertes, massenhaftes Ausprobieren von Zeichenfolgen herauszufinden.

Krypto-Trojaner: Eine Schadsoftware, die sich meist in Downloads oder E-Mail-Anhängen versteckt. Nach Aktivierung verschlüsselt der Trojaner erreichbare Daten und fordert zur Entschlüsselung ein Lösegeld. Bekannte Krypto-Trojaner sind Locky oder Cerber.

Ransomware: Erpressungssoftware, die entweder Dateien ungewollt verschlüsselt oder den Startbildschirm sperrt, sodass kein Zugriff auf das PC-System möglich ist. Gegen ein Lösegeld wird Abhilfe versprochen.