Aktuelle Ransomware-Attacken: Auch deutsche Unternehmen betroffen
In den letzten Tagen gab es zahlreiche Berichte über Ransomware in Unternehmen. Betroffene Unternehmen fanden Teile ihrer Daten verschlüsselt vor. Coop Schweden hat nach eigenen Angaben am Freitag mehr als die Hälfte seiner 800 Filialen geschlossen, nachdem Kassen und Selbstbedienungskassen nicht mehr funktionstüchtig waren. Coop selbst war nicht betroffen, wohl aber ein Unternehmen (Kaseya VSA), mit dem Coop Schweden in Sachen Softwaredienstleistung zusammenarbeitet. Das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit auch und teilt mit, dass nach derzeitigem Stand in Deutschland mehrere IT-Dienstleister und Unternehmen betroffen sind. Das BSI gibt allerdings keine Auskunft über die Betroffenen selbst. Kritische Infrastrukturen oder die Bundesverwaltung sind nach derzeitiger Kenntnis des BSI nicht betroffen. Betroffene Unternehmen werden weiterhin gebeten, sich an das BSI zu wenden.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | Synology DiskStation DS224+ 2 Bay Dekstop NAS | 368,90 EUR | Bei Amazon ansehen | |
2 | Synology DS223J 2 Bay Desktop NAS, weiß | 191,90 EUR | Bei Amazon ansehen | |
3 | Synology DiskStation DS723+ NAS/Storage Server Tower Ethernet LAN Black R1600 | 528,18 EUR | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Firmen sehen sich immer mehr mit zweierlei Erpressung konfrontiert. Die verschlüsselten Daten ansich und der Androhung, sensible Daten zu veröffentlichen oder weiterzugeben. Es werden also Daten vor dem Verschlüsseln gesichtet und ggf. runtergeladen.
Mag mir jemand erklären, warum Ransomware ein so großes Problem ist? Warum macht man dann Datensicherungen, wenn sie wenn die Daten weg sind, dann doch nicht helfen.
In meiner Verantwortung in einem kleinen Unternehmen war das Problem damals noch vor der Mittagspause erledigt.
Daher werden die Daten ja oft vorher kopiert und unter Androhung veröffentlicht. Außerdem ist es durchaus eine Herausforderung hunderte PCs neu aufzusetzen. Schonmal die Logistik dahinter getestet? Nicht zu unterschätzen. 😉
Aber wenn Daten massenhaft kopiert werden, dies also eine ungewöhnliche „Aktion“ ist, sollten Systeme das heutzutage erkennen und einschreiten. Und sensible Daten sollte man schon selbst verschlüsselt haben.
Und PCs mit Daten sind eher die Ausnahme, Stichwort Thin-Clients. Und das Aufsetzen geht schneller, als die Überlegung und Entscheidung, Lösegeld zu zahlen. Von den Kosten ganz zu schweigen.
Also ich bin auch immer sehr erstaunt, wie viel Ärger Ransomware-Attacken heutzutage bereiten. Und das, obwohl ich es eigentlich besser wissen müsste. Denn es ist geradezu erschreckend, wie hemdsärmelig viele IT-Systeme in Mittelständischen und großen Unternehmen konzipiert sind. Manche Systeme sind so ge- und verwachsen, dass sie über Jahre zu einem nicht mehr beherrschbaren Chaos geworden sind. Meist klatscht man dann einen Proxy/ eine Firewall an den Perimeter und verbietet erst einmal alles. Und von Linux kennt man meist das Phänomen, dass es angeblich kostenlos ist, man sich aber keine Experten leisten will, die dann überraschenderweise doch Geld kosten. Aber generell ist es so, dass an gut ausgebildeten Leuten gerne gespart wird. Ich habe schon einmal eine Firma erlebt, deren Leiter des IT-Betriebs gar kein IT’ler war, sondern vorher (nur ein Beispiel wegen Anonymität) im Fuhrpark gearbeitet hat, der irgendwann dem Outsourcing zum Opfer fiel.
Und wie soll man unter solchen Umständen Konzepte erstellen, dass Daten nicht im Klartext gespeichert werden, man salted Hashes verwenden sollte, RAID kein Backup ist, PC lokal keine Daten speichern, Passwörter durch 2FA ergänzt werden, Nodes automatisch isoliert werden, wenn der Median der maximalen Datenraten zu x Prozent überschritten wurde. usw.? Anders kann ich mir nicht erklären, dass sogar vermeintliche IT-Spezialfirmen so leicht gehackt werden und erpressbar sind.
Im Endeffekt ist es also wahrscheinlich wie immer: Gewinnoptimierung zu Lasten von Sicherungsmechanismen, von denen man hofft, dass man sie nie braucht. Und idiotischerweise kann sich das wirklich rechnen. Wenn eine Hackergruppe wie aktuell REvil 70 Millionen USD erpresst, könnte das buchhalterisch auf ein paar Jahre gerechnet einen höheren Gewinn produzieren, als wenn man nachhaltig in aufwändige und teure Abwehrmechanismen investiert. Das ist dann zwar eine Sauerei, aber mit „sauberem Handeln“ sind noch die wenigsten Leute zu viel Geld gekommen.
Die Welt ist nicht so schwarz-weiß wie ihr das hier beschreibt. Eure allgemeinen Aussagen sind allesamt eine Tautologie. Am Ende ist Ransomware ein Fakt. Jeder Experte geht davon aus, dass jedes Unternehmen irgendwann getroffen wird. Die Frage ist nur wann. Also jeden, der davon getroffen wird als Idiot abzustempeln, der eine Sauerei veranstaltet ist schon sehr kurz gegriffen.
Eigentlich bist erst Du mit dem Begriff „Idiot“ um die Ecke gekommen. Bisher wurde lediglich ausgeführt, welche Motive oder Gründe für den Erfolg von Ransomware verantwortlich sein können. Dass es immer und überall so ist, bleibt letztlich auch eine fehlerhafte Interpretation von Deiner Seite. Denn das war nicht die Aussage und kann es bei beispielhaften Argumenten auch gar nicht sein.
Lustig finde ich nur Deine Aussage, die Welt sei nicht schwarz-weiß, aber am Ende sei Ransomware Fakt. Ja was denn nun? Das ist genauso widersprüchlich, wie „es gibt keine Nationalstaaten“ mit der Aussage zu vollenden „, aber ich wohne in Deutschland“.
Und „jeder Experte geht davon aus“ ist ohne Belege oder Beispiele genauso hilfreich wie die Aussage „acht von zehn Frauen empfinden ihr Haar nach zwei Wochen geschmeidiger“. Aha…
@Tandeki
Viel Geschwurbel vom Küchentisch, dafür ohne Inhalt.
Deine Meinung in Ehren. Aber das Fehlen von Argumenten mit einem argumentationsfreien Beitrag zu bemängeln, ist unlogisch. Ich schätze, Du und ISMS-Typ seid ein und derselbe Mensch, denn beide Beiträge sind erstaunlich ähnlich frei von Argumenten. Und für gewöhnlich sind die User hier in der Lage, sich inhaltlich mit den Themen auseinander zu setzen.
Mir haben Tandekis Ausführungen sehr gefallen.
Für so belanglose Halbsätze wie von DOSirgendwas mühe ich mich nur ungern in die Kommentare.
Danke Paubolix. Durch Argumente gestützte Kommentare, wie z.B. der Deine, sind auch der Grund, weshalb ich mir den Kommentarbereich überhaupt ansehe. Schließlich bereichern diese den Artikel meist durch weiterführende Informationen.
Hast Du Dir die Analyse des Angriffs auf heise durchgelesen? Diese Ransomware-Attacke war nämlich noch viel schlimmer, als wir zunächst angenommen haben. Offenbar nutzten die Hacker einen Zero-Day-Exploit in der SaaS-Oberfläche der Kaseya-Software aus (die dem Hersteller bereits bekannt war), verteilten über den Update-Mechanismus der Software dann einen quasi „offiziellen“ Patch des Herstellers auf die on-premises Kundensysteme und nahmen dort mehrere Veränderungen vor. Unter anderem ersetzten sie den Windows Defender mit einer alten Version, die weitere Exploits möglich machte. Dass die Kundensysteme so leicht verändert werden konnten, lag wohl daran, dass Kaseya für seine on-premises Installationen Ausnahmen in Antivirensoftware und Firewall empfahl und die Software Systemrechte benötigt.
Also blöder kann man sich echt nicht mehr anstellen.
Hört sich ähnlich wie SolarWinds an.
Der Angriff kommt von innen. Wuhu.
Kommen viele Ransomewareinfektionen nicht aus dem inneren?
so hier durch ein Update einer Komponente.
Mich wundert es eher, dass die Staaten + eigtl. zuständige Behörden das seit Jahren bekannte Problem null angehen.
Hauptache es werden Staatstrojaner und ähnliches für die Überwachung aller bereitgestellt.
Was genau soll denn welcher Staat oder welche Behörde genau denn tun? Was erwartest Du, das Du als „hilfreiche angehen“ bezeichnen würdest?
Strafverfolgung durch internationalem Haftbefehl inkl. Sicherungsverwahrung für 10+ Jahre. Und das ist noch (m)eine humane Bestrafung solcher…
Wenn ich die letzten Monate recht verfolgt habe, ist es ja noch nicht einmal gelungen, Beweise für die russische Herkunft der Hacker zu finden. Und selbst wenn man diese hätte, wie soll man die entsprechend haftbar zu machenden Personen denn auffinden? Das setzt mindestens eine Zusammenarbeit mit den lokalen Behörden voraus. Und ich schätze, Putin hat daran kein Interesse. Und selbst wenn, die grenzübergreifende Zusammenarbeit scheitert ja schon oft zwischen EU-Nachbarstaaten. Aber ich schweife ab. Ich denke einfach, dass man die Hacker nicht ausfindig machen kann.
Diesmal sind es die Russen. Als Obama President war, da war es Nordkorea. Bei Trump waren es die Chinesen. Beweise wie du sagst gibt es aber nicht. Ich finde unsere Berichtserstattung einfach lächerlich.
Ramsomeware legt Fehler offen, diese Fehler muss man beheben. Im grundegenommen muss man dafür dankbar sein.
Ich bin auch für jede Kritik dankbar, den dann weiß ich woran ich arbeiten muss.