Ransomware – Der Tod kommt mit der Post (bzw. per E-Mail)

E-Mails bzw. die Sicherheit von E-Mails und Ransomware sind ein abendfüllendes Thema – ähnlich wie ein spannender Spielfilm. Seit nunmehr über sechs Jahren treiben Emotet und seine berühmten Verwandten aus der Ransomware-Szene ihr Unwesen und sorgen dabei teilweise für einen vollständigen Stillstand der IT-Systeme von Unternehmen. Das richtet schnell mal Schäden in enormer Höhe an.

„Wir haben einen Virenschutz und eine Firewall“

Leider ist wenig darüber bekannt, ob bzw. welchen Virenschutz betroffene Unternehmen hatten – ob Trend Micro, McAfee, Sophos, G Data, Kaspersky oder wie sie alle heißen. Wir lehnen uns aber wohl nicht all zu weit aus dem Fenster mit der Behauptung: Einen Virenschutz und eine Firewall werden wohl fast alle der betroffenen Unternehmen gehabt haben. Während ein Ransomware-Vorfall „in den guten alten Zeiten“ der 2010’er Jahre in der Regel nur bedeutete, dass die Daten auf den Systemen verschlüsselt wurden, heißt ein Ransomware-Vorfall heute oft: Deine Daten sind jetzt in den Händen der Angreifer. Und zwar nicht nur die Daten eines einzelnen Notebooks, sondern die Daten, die über Wochen hinweg gesammelt wurden. In dem Moment, wo sich die Malware bemerkbar macht, sind schon Gigabyte oder Terrabyte an Daten auf Server irgendwo auf der Welt heruntergeladen worden und warten nur darauf, von den Bösen veröffentlicht zu werden. An dieser Stelle kann man nach all den Jahren die Frage „wie konnte das passieren?!“ sehr unterschiedlich betonen. Meist klingt die Antwort in unseren Ohren irgendwie nach „Der Hund hat die Hausaufgaben gefressen“.

Wie konnte das passieren?! – Der Hund hat die Hausaufgaben gefressen!

Ransomware ist in vielen Fällen ein Standardprodukt – oder im Darknet eine Standard-Dienstleistung. Wer betroffen ist, der hat in der Regel an einer oder mehreren Stellen seine Hausaufgaben nicht gemacht. Das klingt vielleicht ein bisschen hart – aber Remotedesktop auf veralteten Systemen mit Passwort-basierter Authentifizierung im Internet ist genauso wenig in irgendeiner Art und Weise mit IT-Sicherheit in Verbindung zu bringen, wie die Zustellung und Ausführung von Office-Makros per E-Mail von beliebigen Absendern. Und beide Punkte sind keine neuen Themen!

Die Verbreitung von DMARC (lang: Domain-based Message Authentication, Reporting und Conformance) ist nach unserer Erfahrung bisher so gering, das wir es hier nicht ausführlich darstellen.

Je nach E-Mail-Security-Appliance gibt es noch weitere Prüfungen, wie das Blacklisting von IP-Adressen oder Domänen oder die Prüfung des Domänenalters. Die „guten“ Phishing-, SPAM-, und Malware-E-Mails kommen da aber durch. Nicht zuletzt, weil hier teilweise zuvor gehackte Unternehmen oder deren E-Mail-Infrastruktur für den Versand der gezielten Angriffsmails verwendet werden. In der Praxis ist das ein Problem. Wir können mit allen Mitteln der Filterung die Anzahl an schadhaften E-Mails, die in der Organisation zugestellt werden, reduzieren – wir werden sie aber nie auf Null bekommen.