Kryptotrojaner – eine sich rasant ausbreitende Schadsoftware

In der IT-Security wird 2016 als das „Jahr der Kryptotrojaner“ in Erinnerung bleiben. Diese Angriffsform, englisch auch als Ransomware bezeichnet, ist nicht neu, trat bisher aber nur selten auf. Ab Anfang 2016 überrollte uns jedoch eine regelrechte Angriffswelle und wurde medial sehr stark aufgegriffen. Die Schadsoftware verbreitete sich auf unterschiedlichstem Wege, verschlüsselte alle Dateien, die sie zu sehen bekam und forderte niedrige bis horrende Lösegelder für die Entschlüsselung der so „entführten“ Daten. Immer neue Varianten der Kryptotrojaner sorgten dafür, dass die Antivirensoftwarehersteller ihre Erkennungssysteme ständig anpassen mussten und damit meistens einige Stunden bis Tage hinter der Angriffswelle hinterherhinkten.

Goldeneye – Personalabteilungen im Visier

Zum Jahresende suchten sich die Täter mit dem Kryptotrojaner „Goldeneye“ dann einen besonders perfiden Verbreitungsweg – ein aufwändig fingiertes Bewerbungsschreiben wurde gezielt an die Personalabteilungen von Unternehmen versandt, die offene Stellen ausgeschrieben hatten. Im Anhang fand sich eine Excel-Datei mit dem Logo der Bundesagentur für Arbeit, die beim Öffnen dazu aufforderte, die Ausführung von Makros zu aktivieren, um Bewerberdaten von der Bundesagentur nachzuladen.

Diese Vorgehensweise diente nicht nur dazu, vorhandene Sicherheitseinstellungen zu unterlaufen, indem der Empfänger im guten Glauben die Makroausführung bestätigte. Sie führte gleichzeitig dazu, dass die E-Mails in vielen Fällen ganz gezielt dort landeten, wo sie besonders hohen Schaden anrichten konnten: in der Chefetage. Denn gerade bei kleineren Unternehmen werden interessante Bewerbungen häufig direkt von Führungskräften oder Geschäftsführern gesichtet. Einmal aktiviert, wurde der Schadcode sofort aktiv und verschlüsselte alle verfügbaren Dateien auf dem betroffenen Computer und im internen Netz. Um diese wieder „freizukaufen,“ wurde häufig ein Lösegeld verlangt.

Auch Hiscox Kunden betroffen

Auch unsere Versicherungskunden wurden nicht von Goldeneye verschont. Im Zeitraum vom 5. bis zum 7. Dezember wurde der Trojaner bei einer Handvoll Versicherungsnehmern aktiviert. Die Schadsoftware schlug auf PCs in der Personalabteilung oder aber direkt beim Geschäftsführer zu und verschlüsselte Daten.

Diese Vorfälle zeigen, wie essenziell eine regelmäßige Datensicherung ist. So können alle Daten relativ zügig aus der Sicherung wiederhergestellt werden und der Schaden hält sich in Grenzen. Die Datensicherung sollte unbedingt auch lokale Laptops berücksichtigen, andernfalls sind diese Daten mit hoher Wahrscheinlichkeit verloren. Denn meist ist die Kryptografie der Trojaner auf dem neusten Stand der Technik, was eine Entschlüsselung mit heute verfügbaren Mitteln beinahe unmöglich macht.

Kryptotrojaner wie „Goldeneye“ verdeutlichen die Bedeutung präventiver technischer und organisatorischer Schutzmaßnahmen. Wie können sich Unternehmen am besten vor ihnen schützen?

  • Eine regelmäßige und funktionierende Sicherung ist eines der wichtigsten Elemente im Rahmen der IT-Sicherheit. Im Schadenfall kann so der Totalverlust sämtlicher Daten verhindert werden.
  • Regelmäßige Trainings zur Sensibilisierung aller Mitarbeiter für Cyber-Gefahren – auch in herausgehobenen Positionen – sollten ein Muss sein.
  • Sämtliche Datenbestände sollten täglich gesichert und die Funktionsfähigkeit der Rücksicherung regelmäßig geprüft werden.
  • Gesicherte Daten müssen abgetrennt aufbewahrt werden, sodass möglichst keine Systeme außer dem Sicherungsserver Zugriff haben.
  • Virenschutzsysteme mit automatischer Aktualisierung sollten Standard sein.
  • Speziell bei „Goldeneye“: Die Makrofunktion in Windows sollte deaktiviert sein.

Unser Tipp: Cyber Risk Managment by Hiscox Kunden erhalten kostenlos ein Cyber Online Training für alle Mitarbeiter.