11.12.2017

Ransomware: Was kann man dagegen tun?

Ihre Systeme sind durch Firewall, Antiviren-Programm und idealerweise auch noch einen Update-Automatismus von Betriebssystem und wichtigsten Anwendungen geschützt? Das ist gut und vernünftig, aber leider noch kein Grund, sich zufrieden zurückzulehnen. Denn immer wieder schwappen Wellen an Schadsoftware über die IT-Landschaften - wie es am aktuellen Beispiel des Locky-Virus´ zu sehen ist.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Ransomware

Ein Virenscanner reicht nicht

Mit Locky treibt derzeit eine besonders perfide Schadsoftware ihr Unwesen. Dabei ist es nicht allein die schiere Anzahl an betroffenen Systemen, die Administratoren und IT-Verantwortlichen Schweissperlen auf die Stirn treibt. Von bis zu über 5000 Infektionen pro Stunde berichten einschlägige News-Seiten, «17000 Rechner täglich attackiert», berichtet etwas bescheidener das Handelsblatt - und gibt auch gleich den Grund für die Besorgnis vieler Administratoren mit an: «Ein Virenscanner reicht nicht», um der Bedrohung Herr zu werden. Ist nämlich erst einmal ein System befallen, geht meist nichts mehr - ausser dem Löschen des gesamten Systems und dem Hoffen darauf, dass ein verwertbares Backup vorhanden ist. Betroffen war übrigens sogar das renommierte Fraunhofer-Institut, wie der Nordbayerische Kurier berichtete. Locky hatte nämlich «die Computer der Fraunhofer Projektgruppe Prozess-Innovation an der Universität Bayreuth infiziert», dort wurde «das Netzwerk komplett von der Außenwelt abgeschottet, ebenso die 100 angehängten Rechner. Ihr Chef Rolf Steinhilper (...) schreibt derzeit per Hand einen Forschungsbericht zu Ende», so der Nordbayerische Kurier.

«Locky» - Gut getarnt

Der Virus kommt meist harmlos als Emailanhang daher; dabei sind die Emails an sich inzwischen sehr gut gefälscht oder imitieren «echte» Mails dermassen perfekt, dass selbst gewieftere Anwender schon auf angebliche Rechnungen, Word-Dokumente oder Faxe in den Anhängen hereingefallen sind und diese geöffnet haben. «Früher» war es eigentlich zumeist gut an Rechtschreibfehlern, zweifelhaften Betreffs oder ähnlich verräterischen Anzeichen gut zu erkennen, wenn eine Mail gefälscht war. Bei Locky trifft dies nicht immer zu, und wenn der tückische Anhang erst einmal geöffnet wurde, beginnt der Virus umgehend damit, die Dateien des Systems zu verschlüsseln. Dabei geschieht dies in der Regel mit einem dermassen kompexen und sicheren Schlüssel, dass selbst modernste Rechnersysteme Jahre brauchen würden, um die Verschlüsselung aufzubrechen - direkte «Heilung» des Systems also quasi ausgeschlossen.

Geld gegen Freischaltung

Im nächsten Schritt erscheinen Meldungen auf dem Bildschirm, in denen der Betroffene zur Zahlung eines «Lösegeldes» aufgefordert wird. Angeblich bekommt er dann einen Freischaltschlüssel, mit dem die Sperre der Daten aufgehoben werden könne. Es handelt sich bei Locky mithin um eine so genannte Ransomware - Geld gegen Freischaltung.

Es kann eindringlich davor gewarnt werden, darauf einzugehen, und dies aus gleich mehreren Gründen. Zum Einen ist es keineswegs sicher, dass Sie als möglicher Betroffener nach Zahlung des Geldes überhaupt irgend einen Freischaltcode erhalten. Zum Zweiten ist damit die Schadsoftware an sich nicht entfernt - analog zu «klassischen» Erpressungen wäre somit also eine Wiederholung der Tat keineswegs ausgeschlossen. Und zum Dritten ist es einfach eine grundsätzliche Haltung, Erpressern nicht nachzugeben, um weder die kriminelle Tat an sich zu belohnen noch Nachahmer zu ermutigen.

Was tun, wenn der eigene PC verschlüsselt worden ist?

Zuerst einmal: Trennen Sie das System umgehend vom Netz! Zwar ist der Locky prinzipiell nicht virulent, was bedeutet, dass er sich nicht selbsttätig über die vernetzten Systeme in Ihrem LAN verbreitet, wie es andere Viren und Trojaner in der Vergangenheit durchaus schon getan haben. Da Locky aber sämtliche Dateien, auf die er Zugriff bekommt, verschlüsselt, greift er sich auch auf dem PC möglicherweise eingebundene Netzlaufwerke - hier ist Achtung geboten! Wenn die Dateien auf einer Freigabe verschlüsselt werden, trifft dies natürlich auch andere Nutzer, die dann ebenfalls keinen Zugang mehr auf die Daten haben.

Im nächsten Schritt bliebe nur das Löschen des Systems mit anschliessender Neuinstallation - so bitter dies für manchen auch sein mag. Vor allem taucht spätestens hier die Frage nach der Datensicherung auf - die Sie als fleissiger Leser und Befolger der IT-Tipps auf Weka.ch sicher entspannt und guten Gewissens beantworten können. Bei den Daten auf Serverfreigaben muss dieser Punkt natürlich durch Ihren Administrator geklärt werden - sofern Sie dies nicht selber sind.

Abschliessend noch zwei Fragen, die sich der eine oder andere sicher stellen mag angesichts der ständig wieder auftauchenden Bedrohungen durch Viren, Trojaner und Co. Wie kommt es überhaupt, dass die digitalen Schädlinge sich teilweise so gravierend und rasant verbreiten können? Und weshalb greift die Anti-Virensoftware, die man auf seinem System installiert (und in der Regel ja zuvor auch mehr oder weniger teuer bezahlt hat), nicht?

Die Verbreitung

Zum ersten Punkt lautet die einschlägige Binsenweisheit, dass sich Viren und Trojaner doch nur Leute einfangen, die sich auf «Schmuddelseiten» herumtreiben oder auf der Jagd nach illegal herunterzuladender Software den Cybergangstern auf die virtuelle Leimrute tappen. Dies ist aber mitnichten korrekt - wie man gerade am Beispiel des Locky sieht, verstehen die Programmierer und Verbreiter von Schadsoftware Ihr Handwerk und tarnen Ihre Software geschickt in harmlos erscheinenden Mails, vor dessen Erhalt kaum jemand gefeit ist. Zwar leisten Spam- und AV(Anti-Virus)-Systeme auf dem Mailserver schon eine gute Vorarbeit, aber ganz wird man den Erhalt solcher Virenmails kaum verhindern können.

Ist die Anti-Virensoftware nutzlos?

Zum zweiten Punkt ist zu sagen, dass die AV-Hersteller sich natürlich immer ein Wettrennen liefern ähnlich demjenigen von Hase und Igel aus der alten Fabel. Kaum ist Schädling Nummer XX durch entsprechende Updates und Signaturen bekämpft, erscheint eine neue Variante des Schädlings, für die erst einmal wieder eine «Medizin» entwickelt werden muss. Nichtsdestotrotz schützen Updates und aktuell gehaltene AV-Systeme vor vielen, vielen Bedrohungen, die längst erkannt und entschärft sind, auf ungeschützten und nicht aktuell gehaltenen Systemen immer noch Schaden anrichten könnten - ein berüchtigtes und abschreckendes Beispiel war der «I-Love-You» Virus, der seinerzeit sogar bei der bundesdeutschen Bundeswehr immensen Schaden anrichten konnte, weil deren Administratoren es versäumt hatten, Updates der Windows-Systeme einzuspielen.

Eine bewährte Sicherheitsmassnahme gilt den Makros in Word - Sie sollten sicherstellen, dass deren automatische Ausführung deaktiviert ist. Gehen Sie dazu (je nach Office-Variante) in die Optionen Ihres Word = Trust Center = Einstellungen für das Trust Center = Makroeinstellungen = «Alle Makros mit Benachrichtigung deaktivieren».

Es gilt!

Alle Emails sorgfältig zu lesen und einen Blick auf die Anhänge zu werfen - schickt jemand tatsächlich eine Rechnung im Doc-Format? Ein solches Vorgehen wäre übrigens ohnehin leichtsinnig, weil Word-Dokumente sehr einfach geändert werden können. Besser ist es, PDFs zu verschicken, die idealerweise noch mit einem Passwort gegen Kopieren und Ändern gesichert sind - so bekommen Sie nebenbei noch eine Erhöhung der Dokumentensicherheit in Ihrer geschäftlichen Emailkorrespondenz.

Fazit

Ein gutes Anti-Viren-Programm sollte heutzutage auf jedem PC und Server installiert sein - und dann bitte auch in der jeweiligen Business-Variante, die Ihr gesamtes Netzwerk abdeckt. So manches Unternehmen gerade aus dem KMU-Bereich spart hier an der falschen Stelle und installiert die kostenlos herunterzuladenden Versionen. Das verstösst aber in der Regel nicht nur gegen die Nutzungsbedingungen, die die kostenfreie Nutzung nur im privaten Bereich gestatten. Schwerwiegender ist noch, dass die «freien» Versionen zumeist weniger schnell auf aktuelle Bedrohungen reagieren. Zudem sind diese üblicherweise auch gar nicht für die Nutzung auf Servern gedacht und sperren sich meistens gegen eine Installation auf einem Serversystem.

Quelle: www.linbit.com

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 27. Februar 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 22. März 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos