Risikofaktor Mitarbeiter: Unterschätzte Gefahr von Ransomware-Attacken

Ransomware-Attacken: Lesen Sie, wie sich die IT-Infrastruktur vor dem Risikofaktor Mensch schützen lässt.

Okt 21, 2021 - 4 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Kennen Sie den Fantasy-Film „Pans Labyrinth“? Dort muss ein kleines Mädchen mehrere Prüfungen bestehen. In einer davon sitzt ein Monster an einem reichlich mit Köstlichkeiten gedeckten Tisch. Doch das Mädchen darf die Leckereien nicht anrühren. Am Ende siegen jedoch Appetit und Neugier: Das Mädchen nimmt sich ein paar Weintrauben – und das Monster erwacht zum Leben…

 

Ein unüberlegter Klick kann verheerende Kettenreaktionen auslösen

Ganz ähnlich verläuft die Geschichte im realen Leben oft weltweit in Unternehmen, Behörden oder Instituten: Ein Mitarbeiter erhält beispielsweise eine mysteriöse Mail und denkt, sie käme von seinem Geldinstitut oder einem guten Bekannten. Er lässt sich dazu verlocken, den unbekannten Anhang anzuklicken – und infiziert so das Firmennetzwerk mit der darin enthaltenen Schadsoftware.

Die Folgen können verheerend sein – wenn zum Beispiel eingeschleuste Ransomware (engl. „ransom“ = Lösegeld) wichtige Daten des Firmennetzwerks verschlüsselt. In der Regel erpressen die Cyberkriminellen dann die Geschäftsleitung: Erst gegen die Zahlung eines hohen Lösegeldbetrags sollen die sensiblen Daten wieder entschlüsselt werden. Doch auch dafür gibt es keine Garantie.

Wenn Ransomware die halbe Welt lahmlegt

2019 wurde der Aluminiumkonzern Norsk Hydro Opfer eines Cyberangriffs mit einem Verschlüsselungstrojaner. Dies führte an mehreren Standorten zu Produktionsstillständen. Schlagzeilen machte im Juli 2021 eine Cyberattacke auf den US-amerikanischen IT-Dienstleister Kaseya, die der vermutlich aus Russland operierenden Hackergruppe REVil zugeschrieben wird. Das Tückische an diesem Angriff: IT-Systemhäuser nutzen die Kaseya-Software weltweit für das IT-Management bei Partnern und Kunden. So gelang es den Kriminellen, ihre Erpressungssoftware von Kaseya aus an bis zu 1.500 Unternehmen in aller Welt zu verteilen. Dabei handelte es sich um eine sogenannte Supply-Chain-Attacke, weil sie weite Teile der Lieferkette des betroffenen Unternehmens erfasste. Betroffen waren unter anderem die schwedische Supermarktkette Coop, deren Kassensysteme nicht mehr funktionierten. Auch Schulen, Kindergärten, Krankenhäuser und viele weitere Einrichtungen hatten unter der Attacke zu leiden. Für die Freischaltung der betroffenen Systeme forderten die Erpresser eine Summe von 70 Millionen Dollar in Bitcoin.

Solche Attacken zielen primär auf große Unternehmen und Institutionen ab. Aber naturgemäss sind dabei auch alle kleineren Partner und Lieferanten in der gesamten Lieferkette bedroht. Kein Grund also, sich entspannt zurückzulehnen.

Ernste Cyber-Bedrohungslage über alle Branchen hinweg

Die IT-Sicherheitsexperten von Kaspersky befragten für ihre Studie „Patient Krankenhaus“ (Mai 2021) Entscheider aus der Gesundheitsbranche in Deutschland, Österreich und der Schweiz zur Cyber-Bedrohungslage im Ökosystem Gesundheitswesen. 72 Prozent der deutschen Unternehmen in diesem Bereich waren während der Pandemie von mindestens einem Cyberangriff betroffen. 58,7 Prozent der Befragten in Deutschland und 61,4 Prozent der Teilnehmer aus der DACH-Region stuften die Bedrohungslage durch Malware für ihre Organisation als hoch ein. In Deutschland erfolgten Angriffe vor allem durch

  • Spear-Phishing (43,5%)

    Anders als bei Phishing werden bei Spear-Phishing einzelne Personen ins Visier genommen – zum Beispiel, indem die Kriminellen persönliche Informationen nutzen und sich als Bekannte ausgeben.
  • Spyware (31,5 %):

    Software, die Daten des Nutzers ohne dessen Wissen an den Software-Hersteller sendet.
  • Malware (27,8 %):

    Jegliche Art von bösartiger Software, die beim Nutzer Schaden anrichtet – wie etwa Viren, Adware oder Trojaner, die über Links, Mail-Anhänge, SMS oder auch über USB-Sticks verbreitet werden.
  • Ransomware (25 %):

    Trojaner zur Verschlüsselung von sensiblen Daten und Erpressung von hohen Geldbeträgen.
  • DDoS-Attacken (22,2 %):

     „Distributed Denial of Services” bezeichnet eine Technik, mit der ein Server z. B. durch gezielte Angriffe so überlastet werden kann, dass er für Internet-Nutzer nicht mehr aufgerufen werden kann.
  • DNS-Hijacking:

    Der Netzwerkverkehr eines Unternehmens wird auf einen Server umgeleitet, den der Cyberangreifer kontrolliert. Dort lässt sich dann beispielsweise über den E-Mail-Dienst der betroffenen Firma unbemerkt Schadsoftware einschleusen.

Mitarbeiter unterschätzen die Bedrohung durch Cyberkriminalität 

Von Firewalls über Endpoint-Security und Detection & Response-Modelle, bis hin zu Access Control: Moderne Organisationen investieren viel Geld, um ihre IT-Infrastruktur gegen Cyberangriffe zu schützen. Sie haben ja auch viel zu verlieren – sei es, dass sensible Kunden-, Patienten- oder Unternehmensdaten in die falschen Hände geraten oder der damit verbundene finanzielle Schaden und Image-Verlust. Dennoch bleibt immer ein Risikofaktor, der Cyberkriminellen Tür und Tor öffnen kann: der Mensch.

Verfahren wie die Zwei-Faktor-Authentisierung oder Multi-Faktor-Authentisierung beim Einloggen in sensible IT-Netzwerke machen unbefugten Eindringlingen das Leben deutlich schwerer. Klickt jedoch ein Mitarbeiter in einer Mail z. B. einen infizierten Anhang an oder gibt auf einer gefälschten Website vertrauliche Anmeldedaten ein, kann Ransomware oder Malware trotzdem komplette IT-Infrastrukturen lahmlegen.

Ahnungslosigkeit als Risikofaktor

In ihrem „State-of-the-Phish-Bericht 2021” zeigen die Cybersicherheitsspezialisten von proofpoint, dass das Risikobewusstsein unter Mitarbeitern in der ganzen Welt immer noch unterentwickelt ist: Nur 61 Prozent der befragten Angestellten konnten mit dem Begriff „Phishing“ etwas anfangen. Lediglich 31 Prozent wussten, was es mit Ransomware auf sich hat. Laut Kaspersky wissen 45 Prozent der Mitarbeiter nicht, wie sie reagieren sollen, wenn sie selbst von einem Cyberangriff betroffen sind. Viele kamen nicht auf die Idee, den infizierten Rechner zunächst vom Internet und vom Unternehmensnetzwerk zu trennen, um eine weitere Ausbreitung der Schadsoftware zu vermeiden.

Das Bewusstsein für die Bedrohungslage stärken

Die technischen Sicherheitsvorkehrungen gegen Cyberkriminalität können noch so ausgereift sein. Der Mensch vor dem PC oder mit dem Smartphone wird trotzdem immer wieder in die Fallen der Online-Kriminellen tappen. Umso wichtiger ist es, die Sensibilität im Umgang mit IT-Infrastrukturen zu schärfen, um das Risiko einer Attacke zu minimieren.

Sechs Massnahmen, mit denen Sie Ihr Personal „cybersicherer“ machen

Wir gehen davon aus, dass bei Ihnen Firewalls, Virenscanner, Spamfilter & Co. immer auf dem neuesten Stand sind und in Ihrem Unternehmen nur lizenzierte, vertrauenswürdige Software zum Einsatz kommt. Sie erstellen ferner regelmässig Backups aller wichtigen Daten. Damit sind Sie technisch gut abgesichert. Aber noch nicht sicher genug. 

Passwörter:

Die erste Schwachstelle in Ihrem System sind leicht zu knackende Passwörter und der unbedachte Umgang mit diesen. Sie bilden ein Einfallstor für Cyberkriminelle und ermöglichen rund 30 Prozent aller Attacken. 

  • Achten Sie darauf, dass Ihre Mitarbeiter komplexe Passwörter nutzen und diese regelmässig ändern
  • Sichern Sie den Zugang zu Benutzerkonten zusätzlich durch Zwei-Faktor- oder Multi-Faktor-Authentisierung.

Schulungen:

Oft agieren IT-Abteilungen in ihrer „eigenen Welt“, mit der andere Mitarbeiter nur in Berührung kommen, wenn etwa ein PC oder der Netzwerkzugang nicht funktioniert. Es gilt, die Angestellten anderer Bereiche stärker in die IT-Welt mit einzubinden und so das Problembewusstsein für Cyberbedrohungen zu schärfen.

IT-Regelwerk etablieren:

Neben Verhaltensregeln für Maschinensicherheit, Arbeits-, Gesundheits- und Brandschutz sollten Sie in Ihrer Organisation auch Grundsätze für den IT-Bereich etablieren:

  • „Was muss ich tun, wenn ich denke, mein Gerät könnte mit Schadsoftware infiziert sein?“ -> Gerät ausschalten, vom Netz trennen, WLAN-Router ausschalten, Ansprechpartner informieren
  • Eingeschränkte Vergabe von Zugriffsrechten
  • Verantwortlichkeiten beim Installieren von Software und Updates
  • Systematische Datensicherung

Praxisorientierte Trainings,

die das Bewusstsein für den verantwortungsvollen Umgang mit Web, Mail & Co. schärfen. Die Mitarbeiter müssen verstehen, wie Schadsoftware funktioniert, wie sie verbreitet wird und wie verheerend die Auswirkungen eines Cyberangriffs ausfallen können. Die Menschen müssen lernen, im Zweifelsfall NICHT auf einen Mail-Anhang zu klicken und sich vorher Expertenrat einzuholen. Dies kann zum Beispiel im Rahmen von spontanen Praxisübungen mit simulierten Cyberangriffen geschehen.

Ansprechpartner für IT-Fragen:

Mitarbeiter müssen sich bei Unregelmässigkeiten im Netzbetrieb oder bei Zweifeln an eine fachkundige Person wenden können, die weitere Handlungsempfehlungen gibt und im Fall eines Cyberangriffs die erforderlichen Massnahmen in die Wege leitet.

Mitarbeiterverhalten im Auge behalten:

Achten Sie auf die Online-Kompetenz und die Internetnutzung Ihrer Mitarbeiter, um einzuschätzen, wer beispielsweise Schwierigkeiten hat, dubiose Mail-Anhänge und -Header zu erkennen oder unter Umständen zuweilen gerne potenziell gefährliche Websites aufruft.

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!