Ransomware – Juwelier Wempe zahlt Lösegeld

Der Fall Wempe zeigt: Ransomware-Angriffe sind lukratives Geschäft

Der „Fall Wempe“ ereignete sich bereits Ende Juni und wirkte wie eine prompte Bestätigung der grundsätzlichen Problemlage, auf die ein NZZ-Artikel kurz zuvor aufmerksam machte (Mahr EDV berichtete: hier): Von Cyber-Kriminellen erpresste Unternehmen neigen zur Kooperation mit den Erpressern, weil sie, um noch größeren wirtschaftlichen Schaden abzuwenden, möglichst schnell wieder Zugriff auf ihre Daten benötigen. Die Erpresser wiederum machen solche ökonomische Abwägung leicht, weil sie zum einen die jeweilige Höhe der Lösegeldforderung ans betroffene Unternehmen anpassen, also „bezahlbar“ gestalten (siehe auch Abendblatt), und sich zum anderen bei der versprochenen Wiederherstellung von Dateien in der Vergangenheit als vergleichsweise verlässlich erwiesen haben. Empfehlungen, nicht mit Cyber-Erpressern zusammen zu arbeiten, weil man diese so nur zum Weitermachen motiviere, bleiben angesichts dieser Praxis wirkungslose Appelle.

Besondere Bedrohungslage für KMUs?

Unter der Überschrift „Kleine Unternehmen sind besonders gefährdet“ zitiert das Handelsblatt entsprechende Warnungen des BSI und von Linus Neumann, Sprecher des Chaos Computer Clubs (CCC). Während es bei Konzernen zwar zu hohen Schadenssummen kommen könne, meint etwa das BSI, sei bei kleineren Unternehmen schnell die wirtschaftliche Existenz gefährdet, wenn entscheidende Daten nicht wiederhergestellt würden. Linus Neumann ergänzt laut Handelsblatt, „dass sich Lösungen für fortgeschrittene IT-Sicherheit bislang vor allem an Konzerne richteten […] Für kleine und mittelständische Unternehmen gebe es ‚allerlei windige Anbieter und Schlangenöl-Produkte‘, die also unwirksam sind. Zudem fehle es gerade kleinen Organisationen oft an Expertise.“

Effektiver Schutz vor Ransomware

Der IT-Dienstleister Mahr EDV vertritt jedoch die empirisch bestätigte Auffassung, dass sich auch KMUs unter der Maßgabe wirtschaftlicher Rentabilität effektiv gegen Ransomware aufstellen können. Daher im folgenden eine Checkliste, die hilfreich sein möge, zu überprüfen, ob die eigenen Unternehmens-IT-Struktur gegen Ransomware ausreichnet gewappnet ist:

[*]Ein wirklich sicheres tägliches Backup
(siehe: Checkliste für eine Sichere Datensicherung).
– Das Kopieren von Daten auf eine USB-Festplatte oder NAS reicht für Unternehmen bei weitem nicht mehr aus, und muss daher als fahrlässig bezeichnet werden.
[*]Schulung der Mitarbeiter zur Erkennung von Spam und Onlinegefahren
(siehe: Woran erkenne ich Spam?)
– Die meisten Viren gelangen durch die Unkenntnis von Nutzern in die Computer: mal sind es Anhänge in Emails, die vermeintlich vom Chef stammen, oder Webseiten, die wie bei Bad Rabbit dazu auffordern, irgendetwas zu installieren. Ihr Team kann diese Fallstricke erkennen, wenn eine entsprechende Schulung erfolgte.
[*]Sicherstellung von regelmäßigen möglichst täglichen automatischen Updates für alle PCs und Server
(siehe bspw.: Option zum Monitoring)
– Sie erwerben einen neuen PC, ein Betriebssystem oder eine Anwendung und glauben, für 2-3 Jahre up to date zu sein? Jede Software hat zahlreiche Sicherheitslücken, die fast wöchentlich ans Licht kommen. Der Hersteller stellt Updates zur Verfügung, die diese schließen, wenn eine umgehende Installation erfolgt. Die schnelle Installation auf allen PCs und Servern in einem Unternehmen während und außerhalb der Arbeitszeit sicher zu stellen, schafft kein Mensch, sondern nur ein ausgefeiltes Update Management.
[*]Prüfung des Virenschutzes, der Firewall und Durchführung von externen Audits
(siehe: Schutz vor Petya Ransomware)
– Viele Prüfungen, wie die Aktualität des Virenschutzes, kann ein Monitoring automatisiert 24/7 und zu geringen Kosten vornehmen. Dann hat die IT Abteilung auch mehr Zeit für das Wesentliche. Andere Prüfungen sollten durch externe Audits erfolgen. Es kann schlichtweg nicht erwartet werden, dass die interne IT Abteilung ihre eigenen Fehler ohne ein externes Audit aufdeckt.