Welche Alternativen haben Unternehmer gegen Ransomware?
Unternehmer haben – im eigenen Interesse – die Verantwortung, sich gegen Cyber-Angriffe zu schützen. Die Folgen sind häufig katastrophal und können „ein Vermögen“ kosten.
Bei derzeit 20.000.000 neuer Viren und Trojaner pro Monat wird jedem klar, dass die Lösung nicht allein bei einer Anti-Viren Software und einem aktuellen Backup liegen kann.
Wir fragen bei einem versierten Sicherheitsexperten nach, wie er die Lage einschätzt und was die Unternehmen zusätzlich tun können, um Ihre Sicherheit zu verbessern und ihre Geschäftstätig aufrecht zu erhalten.
Andreas Barthel: Herr Kress, Sie sind Security Experte, ISO27001 Lead Auditor, ScrumMaster und Fachbereichsleiter beim Bundesfachverband der IT-Sachverständigen und Gutachter e.V. für die Themen SSH, M2M, Industrie 4.0 und IoT. Wie beurteilen Sie die aktuelle Diskussion um Ransomware bzw. Krypto-Trojaner.
Christian Kress: Ich sehe einen Wettlauf: Die Angreifer auf der einen Seite und die Kunden und die Hersteller von Sicherheitslösungen auf der anderen Seite. Dabei registriere ich, dass viele Kunden die Grenzen des Leistbaren erreicht haben.
Andreas Barthel: Wie meinen sie das?
Christian Kress: Übliche Maßnahmen, um sich vor Ransomware zu schützen sind aktuelle Antivirenschutz Programme, eine funktionierenden und aktuelle Datensicherung, umfassend gepatchte Systeme bzw. Anwendungen und leistungsfähigere Firewall Systeme. Dies sind alles sehr sinnvolle Maßnahmen, die jedoch keinen umfassenden Schutz ermöglichen. 2009 waren ca. 20 Millionen Viren bekannt. Aktuell kommen jeden Monat 20 bis 50 Millionen Viren und Trojaner hinzu. Ich glaube nicht, dass Unternehmen diesen Wettlauf mit den oben genannten Maßnahmen gewinnen können.
Andreas Barthel: Sie zielen mit Ihrer Aussage auf aktuelle Technologien wie SIEM (Security Information Event Management) oder APT (Advanced Persistent Threat) Prevention ab?
Christian Kress: Nein, ganz und gar nicht. Auch dies können sehr sinnvolle Maßnahmen sein, wenn für das Unternehmen eine entsprechende Bedrohungslage oder die regulatorische Anforderung gibt. Für die überwiegende Anzahl der Unternehmen ist dies jedoch nicht der Fall und auch nicht bezahlbar.
Andreas Barthel: Also geht es in Richtung Sensibilisierung der Mitarbeiter, oder?
Christian Kress: Auch dieser Punkt ist wichtig, allerdings bin ich davon überzeugt, dass es beim Wunsch bleiben wird und möchte dies an einem Beispiel aus der Sicht eines Cyber-Kriminellen verdeutlichen: Als Angreifender suche ich in dem mich interessierenden Zielunternehmen ein geeignetes Opfer über XING oder LinkedIn, das mir wahrscheinlich den Zugang zu den gewünschten Ressourcen ermöglichen wird. Dann nutze ich frei verfügbare Programme, die mir für jede beliebige Person innerhalb von Minuten eine Art soziales Profil erstellen. Mit Hilfe dieser Programme kann ich z.B. erkennen, dass die von mir ausgewählte Person am Wochenende an einem Halbmarathon teilgenommen hat. Ich bekomme automatisch den Veranstalter angeboten und jede Menge weiterer Details. Mit diesen Informationen schreibe ich eine 100%-ig personalisierte E-Mail im Namen des Veranstalters. Als Anlage füge ich eine von mir präparierte PDF-Datei bei, die ich als „Bestenliste – Finden Sie Ihr persönliches Ranking“ ausweise. Das Ganze geht unter der bekannten E-Mail Adresse des Veranstalters an die Zielperson. Die Wahrscheinlichkeit, dass auch sensibilisierte Mitarbeiter, z.B. der Datenschutzbeauftragte auf den Dateianhang klicken, liegt bei über 90%.
Andreas Barthel: Das ist wirklich übel! Wie sieht also Ihre Empfehlung aus?
Christian Kress: Wenn ich einen Kampf nicht gewinnen kann, werde ich ihn aus dem Weg zu gehen. Es gibt sehr zuverlässige Zahlen die belegen, dass mehr als 75% der erfolgreichen Angriffe über den E-Mail Kanal in das Unternehmen gelangen.
Andreas Barthel: Sie schlagen nicht wirklich vor, den E-Mail Dienst abzuschalten und wieder zum guten alten Fax-System zurück zu kehren.
Christian Kress (lacht): Nein, nicht wirklich. Wenn Sie sich die die oben genannten 75% etwas genauer ansehen, werden Sie immer wieder auf 3 Probleme stoßen:
Christian Kress: Nein, durchaus nicht. Eine E-Mail als reiner Text und nicht im HTML-Format würde einen großen Teil des heutigen Angriffspotentials den Wind aus dem Segel nehmen. Ich muss nicht notwendigerweise zum 99. Mal mein Firmenlogo versenden. So kann z.B. Outlook so eingestellt werden, dass nur Text möglich ist.
Andreas Barthel: Ich verstehe. Aber was ist mit den beiden anderen Punkten, insbesondere mit den Dateianhängen?
Christian Kress: Hier ist zunächst wichtig zu verstehen, wozu es diese Dateianhänge gibt. In der Praxis stoße ich häufig auf 2 Situationen:
Andreas Barthel: Wie könnte hier nach Ihrer Einschätzung eine Lösung aussehen?
Christian Kress: Eine Lösung, die auch von sehr kleinen Unternehmen extrem kostengünstig eingeführt werden kann, ist ein lokaler SSH Server, der nur eine Anmeldung per Zertifikat ermöglicht. Mit Hilfe dieses Servers werden alle Daten, die früher unverschlüsselt per Mail gesendet oder empfangen wurden, automatisch verschlüsselt übertragen. Gleichzeitig findet eine sehr sichere Authentifikation statt, indem der öffentliche Schlüssel des Kommunikationspartners auf dem eigenen Server hinterlegt wird.
Es ist so, als ob der Kommunikationspartner von mir sein persönliches Schloss in meine Tür eingebaut bekommt. Diese Form der Authentifikation ist absolut fälschungssicher. Gleichzeitig lassen sich weitreichende Automatisierung im Unternehmen einrichten, z.B. eine Datei nicht nur entgegen zu nehmen, sondern den Eingang der Datei automatisch zu quittieren, dem Sender die Datei umgehend zu entziehen und automatisch in die Zieldatenbank zu importieren, wo die Daten letztendlich landen sollten. Im Grunde haben sie ganz nebenbei ein Einschreiben mit Rückschein mit einem eindeutigen Verantwortungsübergang realisiert.
Die Kosten der ersten Einrichtung für den SSH Server sind minimal und am Ende spart das Unternehmen Zeit und Geld bei gleichzeitig reduzierter Fehlerrate, da es keine oder weniger manuelle Arbeitsschritte gibt. Für den Kommunikationspartner fallen übrigens gar keine Kosten an.
Andreas Barthel: Ich verstehe, aber ist das nicht eine reine Sonderlösung?
Christian Kress: Keineswegs. Es ist zunächst nur eine mögliche Option, die es wert sein könnte betrachtet zu werden. Ich kenne Unternehmen, die bei der Einführung dieser Lösung „nebenbei“ ganz andere Themenbereiche mit gelöst haben, z.B. den schnellen Transport von sehr großen Datenmengen in Form von Multimedia Dateien oder die Möglichkeit, externe Projektpartner auf eine konsistente Datenbasis zugreifen zu lassen, ohne die Informationen jeweils verteilen zu müssen. Auch die Erfüllung offener Compliance Vorschriften war ein Thema.
Alles Punkte, die ohne irgendeinen zusätzlichen Aufwand entstehen konnten. Die IT Abteilung hatte an dieser Stelle eine koordinierende und begleitende Rolle eingenommen und gleichzeitig sichergestellt, dass für jeden neuen Anwendungsfall Standards geschaffen und gelebt werden. Und nicht zuletzt könnten der schnellere Datentransport, der höhere Grad an Automatisierung und der bewusstere Umgang mit sensiblen Informationen Ansätze sein, sich als Unternehmen über differenzierte Angebote am Markt zu positionieren.
Andreas Barthel: Wo ist der Unterschied zu E-Mail Verschlüsselung?
Christian Kress: Eine sehr gute Frage! Teile sind tatsächlich gleich, z.B. die verschlüsselte Datenübertragung und der gesicherte Urheber eine E-Mail. Wenn dies die einzigen Beweggründe sind, könnte E-Mail Verschlüsselung das Mittel der Wahl sein. Wenn es jedoch um weitere Anforderungen geht, z.B. die Übertragung großer Datenvolumen, der höhere Grad der Automatisierung, die Verbindlichkeit oder auch die Möglichkeit Daten bereitzustellen, statt Daten zu verteilen, dann hat eine SSH-basierte Lösung möglicherweise die Nase vorn. Auch der Umgang mit den relevanten Schlüsseln ist für viele Anwender im SSH-Umfeld einfacher.
Andreas Barthel: Das kann ich nachvollziehen. Damit lässt sich nicht nur das Sicherheitsniveau erhöhen, sondern es werden auch bestehende Arbeitsprozesse optimiert.
Christian Kress: Genau. Die IT hat heute mehr denn je den klaren Auftrag, ihren spezifischen Beitrag zum Erfolg des Unternehmens beizutragen.
Andreas Barthel: Vielen Dank für das Gespräch.
Unternehmer haben – im eigenen Interesse – die Verantwortung, sich gegen Cyber-Angriffe zu schützen. Die Folgen sind häufig katastrophal und können „ein Vermögen“ kosten.
Bei derzeit 20.000.000 neuer Viren und Trojaner pro Monat wird jedem klar, dass die Lösung nicht allein bei einer Anti-Viren Software und einem aktuellen Backup liegen kann.
Wir fragen bei einem versierten Sicherheitsexperten nach, wie er die Lage einschätzt und was die Unternehmen zusätzlich tun können, um Ihre Sicherheit zu verbessern und ihre Geschäftstätig aufrecht zu erhalten.
Andreas Barthel: Herr Kress, Sie sind Security Experte, ISO27001 Lead Auditor, ScrumMaster und Fachbereichsleiter beim Bundesfachverband der IT-Sachverständigen und Gutachter e.V. für die Themen SSH, M2M, Industrie 4.0 und IoT. Wie beurteilen Sie die aktuelle Diskussion um Ransomware bzw. Krypto-Trojaner.
Christian Kress: Ich sehe einen Wettlauf: Die Angreifer auf der einen Seite und die Kunden und die Hersteller von Sicherheitslösungen auf der anderen Seite. Dabei registriere ich, dass viele Kunden die Grenzen des Leistbaren erreicht haben.
Andreas Barthel: Wie meinen sie das?
Christian Kress: Übliche Maßnahmen, um sich vor Ransomware zu schützen sind aktuelle Antivirenschutz Programme, eine funktionierenden und aktuelle Datensicherung, umfassend gepatchte Systeme bzw. Anwendungen und leistungsfähigere Firewall Systeme. Dies sind alles sehr sinnvolle Maßnahmen, die jedoch keinen umfassenden Schutz ermöglichen. 2009 waren ca. 20 Millionen Viren bekannt. Aktuell kommen jeden Monat 20 bis 50 Millionen Viren und Trojaner hinzu. Ich glaube nicht, dass Unternehmen diesen Wettlauf mit den oben genannten Maßnahmen gewinnen können.
Andreas Barthel: Sie zielen mit Ihrer Aussage auf aktuelle Technologien wie SIEM (Security Information Event Management) oder APT (Advanced Persistent Threat) Prevention ab?
Christian Kress: Nein, ganz und gar nicht. Auch dies können sehr sinnvolle Maßnahmen sein, wenn für das Unternehmen eine entsprechende Bedrohungslage oder die regulatorische Anforderung gibt. Für die überwiegende Anzahl der Unternehmen ist dies jedoch nicht der Fall und auch nicht bezahlbar.
Andreas Barthel: Also geht es in Richtung Sensibilisierung der Mitarbeiter, oder?
Christian Kress: Auch dieser Punkt ist wichtig, allerdings bin ich davon überzeugt, dass es beim Wunsch bleiben wird und möchte dies an einem Beispiel aus der Sicht eines Cyber-Kriminellen verdeutlichen: Als Angreifender suche ich in dem mich interessierenden Zielunternehmen ein geeignetes Opfer über XING oder LinkedIn, das mir wahrscheinlich den Zugang zu den gewünschten Ressourcen ermöglichen wird. Dann nutze ich frei verfügbare Programme, die mir für jede beliebige Person innerhalb von Minuten eine Art soziales Profil erstellen. Mit Hilfe dieser Programme kann ich z.B. erkennen, dass die von mir ausgewählte Person am Wochenende an einem Halbmarathon teilgenommen hat. Ich bekomme automatisch den Veranstalter angeboten und jede Menge weiterer Details. Mit diesen Informationen schreibe ich eine 100%-ig personalisierte E-Mail im Namen des Veranstalters. Als Anlage füge ich eine von mir präparierte PDF-Datei bei, die ich als „Bestenliste – Finden Sie Ihr persönliches Ranking“ ausweise. Das Ganze geht unter der bekannten E-Mail Adresse des Veranstalters an die Zielperson. Die Wahrscheinlichkeit, dass auch sensibilisierte Mitarbeiter, z.B. der Datenschutzbeauftragte auf den Dateianhang klicken, liegt bei über 90%.
Andreas Barthel: Das ist wirklich übel! Wie sieht also Ihre Empfehlung aus?
Christian Kress: Wenn ich einen Kampf nicht gewinnen kann, werde ich ihn aus dem Weg zu gehen. Es gibt sehr zuverlässige Zahlen die belegen, dass mehr als 75% der erfolgreichen Angriffe über den E-Mail Kanal in das Unternehmen gelangen.
Andreas Barthel: Sie schlagen nicht wirklich vor, den E-Mail Dienst abzuschalten und wieder zum guten alten Fax-System zurück zu kehren.
Christian Kress (lacht): Nein, nicht wirklich. Wenn Sie sich die die oben genannten 75% etwas genauer ansehen, werden Sie immer wieder auf 3 Probleme stoßen:
- Der Absender einer Information ist nicht eindeutig ermittelbar
- Viele Probleme entstehen durch infizierte Dateianhänge, die weder von der Firewall noch von der Antivirensoftware rechtzeitig erkannt werden.
- Es handelt sich um aktiven Content in der Mail selbst, z.B. Grafiken oder andere Inhalte, die von externen Quellen nachgeladen werden.
Christian Kress: Nein, durchaus nicht. Eine E-Mail als reiner Text und nicht im HTML-Format würde einen großen Teil des heutigen Angriffspotentials den Wind aus dem Segel nehmen. Ich muss nicht notwendigerweise zum 99. Mal mein Firmenlogo versenden. So kann z.B. Outlook so eingestellt werden, dass nur Text möglich ist.
Andreas Barthel: Ich verstehe. Aber was ist mit den beiden anderen Punkten, insbesondere mit den Dateianhängen?
Christian Kress: Hier ist zunächst wichtig zu verstehen, wozu es diese Dateianhänge gibt. In der Praxis stoße ich häufig auf 2 Situationen:
- Austausch von unstrukturierten Informationen in Form von Word-, Excel- oder PDF-Dateien. Diese könnten z.B. Angebote oder auch Projektdokumente sein.
- Austausch von strukturierten Informationen, die danach manuell weiterverarbeitet werden, z.B. für einen Import in eine Datenbank.
Andreas Barthel: Wie könnte hier nach Ihrer Einschätzung eine Lösung aussehen?
Christian Kress: Eine Lösung, die auch von sehr kleinen Unternehmen extrem kostengünstig eingeführt werden kann, ist ein lokaler SSH Server, der nur eine Anmeldung per Zertifikat ermöglicht. Mit Hilfe dieses Servers werden alle Daten, die früher unverschlüsselt per Mail gesendet oder empfangen wurden, automatisch verschlüsselt übertragen. Gleichzeitig findet eine sehr sichere Authentifikation statt, indem der öffentliche Schlüssel des Kommunikationspartners auf dem eigenen Server hinterlegt wird.
Es ist so, als ob der Kommunikationspartner von mir sein persönliches Schloss in meine Tür eingebaut bekommt. Diese Form der Authentifikation ist absolut fälschungssicher. Gleichzeitig lassen sich weitreichende Automatisierung im Unternehmen einrichten, z.B. eine Datei nicht nur entgegen zu nehmen, sondern den Eingang der Datei automatisch zu quittieren, dem Sender die Datei umgehend zu entziehen und automatisch in die Zieldatenbank zu importieren, wo die Daten letztendlich landen sollten. Im Grunde haben sie ganz nebenbei ein Einschreiben mit Rückschein mit einem eindeutigen Verantwortungsübergang realisiert.
Die Kosten der ersten Einrichtung für den SSH Server sind minimal und am Ende spart das Unternehmen Zeit und Geld bei gleichzeitig reduzierter Fehlerrate, da es keine oder weniger manuelle Arbeitsschritte gibt. Für den Kommunikationspartner fallen übrigens gar keine Kosten an.
Andreas Barthel: Ich verstehe, aber ist das nicht eine reine Sonderlösung?
Christian Kress: Keineswegs. Es ist zunächst nur eine mögliche Option, die es wert sein könnte betrachtet zu werden. Ich kenne Unternehmen, die bei der Einführung dieser Lösung „nebenbei“ ganz andere Themenbereiche mit gelöst haben, z.B. den schnellen Transport von sehr großen Datenmengen in Form von Multimedia Dateien oder die Möglichkeit, externe Projektpartner auf eine konsistente Datenbasis zugreifen zu lassen, ohne die Informationen jeweils verteilen zu müssen. Auch die Erfüllung offener Compliance Vorschriften war ein Thema.
Alles Punkte, die ohne irgendeinen zusätzlichen Aufwand entstehen konnten. Die IT Abteilung hatte an dieser Stelle eine koordinierende und begleitende Rolle eingenommen und gleichzeitig sichergestellt, dass für jeden neuen Anwendungsfall Standards geschaffen und gelebt werden. Und nicht zuletzt könnten der schnellere Datentransport, der höhere Grad an Automatisierung und der bewusstere Umgang mit sensiblen Informationen Ansätze sein, sich als Unternehmen über differenzierte Angebote am Markt zu positionieren.
Andreas Barthel: Wo ist der Unterschied zu E-Mail Verschlüsselung?
Christian Kress: Eine sehr gute Frage! Teile sind tatsächlich gleich, z.B. die verschlüsselte Datenübertragung und der gesicherte Urheber eine E-Mail. Wenn dies die einzigen Beweggründe sind, könnte E-Mail Verschlüsselung das Mittel der Wahl sein. Wenn es jedoch um weitere Anforderungen geht, z.B. die Übertragung großer Datenvolumen, der höhere Grad der Automatisierung, die Verbindlichkeit oder auch die Möglichkeit Daten bereitzustellen, statt Daten zu verteilen, dann hat eine SSH-basierte Lösung möglicherweise die Nase vorn. Auch der Umgang mit den relevanten Schlüsseln ist für viele Anwender im SSH-Umfeld einfacher.
Andreas Barthel: Das kann ich nachvollziehen. Damit lässt sich nicht nur das Sicherheitsniveau erhöhen, sondern es werden auch bestehende Arbeitsprozesse optimiert.
Christian Kress: Genau. Die IT hat heute mehr denn je den klaren Auftrag, ihren spezifischen Beitrag zum Erfolg des Unternehmens beizutragen.
Andreas Barthel: Vielen Dank für das Gespräch.
