IT-Sicherheit

BSI-Warnung: Trojaner bedrohen gezielt Unternehmen

Wie Verschlüsselungstrojaner Existenzen gefährden

von 24.05.2019
Zu sehen ist im Vordergrund ein Binärcode in bläulichen Farben, im Hintergrund ist ein Konferenzraum hinterlegt. Eine BSI-Warnung besagt, dass sich Trojaner immer häufiger an Unternehmen richten. Bild: pixabay.de/geralt
Trojaner haben immer häufiger Unternehmen zum Ziel. Das gibt jetzt eine BSI-Warnung bekannt. Bild: pixabay.de/geralt

Aufgepasst: Die Angriffe von Cyber-Kriminellen auf Unternehmensnetzwerke werden immer raffinierter. Das ist in einer aktuellen BSI-Warnung zu lesen. Die Angriffstechnik ist dabei nicht neu. Ungewöhnlich ist aber, wie gezielt die Angreifer vorgehen.
Wie genau die Bedrohungslage aussieht und welche Maßnahmen das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, stellen wir Ihnen vor.

Zu sehen ist im Vordergrund ein Binärcode in bläulichen Farben, im Hintergrund ist ein Konferenzraum hinterlegt. Eine BSI-Warnung besagt, dass sich Trojaner immer häufiger an Unternehmen richten. Bild: pixabay.de/geralt

Trojaner haben immer häufiger Unternehmen zum Ziel. Das gibt jetzt eine BSI-Warnung bekannt. Bild: pixabay.de/geralt

Was steht in der BSI-Warnung?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit vermehrt Cyber-Attacken auf Unternehmen, die mit einer manuellen und gezielten Ausführung eines Verschlüsselungstrojaners enden. Es heißt in der Veröffentlichung des BSI, dass die Angreifer dabei auf breitangelegte Spam-Kampagnen wie Emotet oder GandCrab setzen. Über die E-Mails mit angehängter Malware oder Links zu gefälschten Webseiten verschaffen sich die Angreifer Zugang zu einzelnen Unternehmensnetzwerken.

Angreifer infiltrieren das System

Nach der erfolgreichen Infektion gehen die Angreifer noch einen Schritt weiter. Erweist sich ein Netzwerk als vielversprechend, verbreiten die Angreifer anschließend gezielt Malware. Bei den in Deutschland bekannten Fällen haben sie sich über Fernwartungstools wie RDP, RescueAssist und LogMeIn Zugriff auf Netzwerke verschafft, um diese dann manuell zu erforschen, Zugangsdaten abzugreifen und potenzielle, weitere Opfer auszuspähen. Auf verschiedenen Systemen im Netzwerk der Opfer wurde zudem eine Backdoor installiert. Erst nachdem die Cyberkriminellen unbemerkt alle verwendbaren Informationen erbeutet hatten, brachten sie die Ransomware schließlich zur Ausführung.
Was das für Unternehmen bedeutet? Ihre Betriebsabläufe werden gehörig auf den Kopf gestellt – so sehr, dass sie schließlich nachgeben und Lösegeldforderungen mehr oder weniger bereitwillig erfüllen.

Was ist Ransomware? – Eine Antwort bekommen Sie in unserem IT-Lexikon.

Was versprechen sich die Angreifer davon?

Ohne Zweifel: Das beschriebene Vorgehen hört sich ganz schön kompliziert an. Kann sich dieser ganze Aufwand für die Angreifer wirklich lohnen? Leider ja. Gelingt es ihnen, auf diese Weise ganze Systeme lahmzulegen, können die Lösegeldforderungen entsprechend hoch ausfallen – deutlich höher, als es bei den bislang ungezielten Ransomware-Kampagnen der Fall war. Die Bitcoin-Forderungen stellen die Erpresser dabei nicht pauschal, sondern handelt diese individuell mit ihren Opfern aus.
Und auch damit geben sich die Angreifer noch nicht zufrieden. In der BSI-Warnung ist weiterhin die Rede davon, dass neben einzelnen Unternehmen mittlerweile sogar IT-Dienstleister betroffen sind. Dieser Braten ist für Kriminelle besonders saftig. Schließlich öffnen sich für die Angreifer Tür und Tor zu deren Kunden, sofern sie sich einmal Zugang zum Netzwerk des IT-Dienstleisters verschafft haben.
Kein Wunder also, dass das Bundesamt für Sicherheit in der Informationstechnik die Lage sehr ernst nimmt und die Sicherheitsempfehlung herausgegeben hat. Immerhin setzte zuvor nur der Nachrichtendienst derartig raffinierte Methoden ein.

Unternehmen sollen BSI-Warnung ernst nehmen

Was bedeutet das konkret? Prinzipiell werden in diesem Szenario keine neuen Angriffstechniken verwendet. Allerdings waren derartig gezielte und manuell ausgeführte Angriffe bisher eher selten. BSI-Präsident Arne Schönbohm: „Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus  um vorbereitende Angriffe handeln kann.“ Jede Primär-Infektion, heißt es in der BSI-Warnung, könnte weitreichende Folgen haben. Deshalb gilt es, genau zu prüfen, welche Zugangsdaten abgeflossen sein könnten, und Maßnahmen zu ergreifen, die eine Rückkehr des Angreifers verhindern.
Im schlimmsten Fall können die aktuellen Angriffe, die unterschiedliche Gruppen mit verschiedener Ransomware verüben, sogar Existenzen bedrohen – nämlich dann, wenn Unternehmen keine Offline-Backups angelegt haben. Es besteht die Gefahr, dass sämtliche Daten verloren gehen, sollten sie irgendwie mit dem befallenen Netzwerk verknüpft und somit aufspürbar sein.

Zu sehen ist ein Laptop, auf dessen Tastatur ein kleines Warnhütchen mit dem Wort „Caution“ (Deutsch: Vorsicht) steht. Bild: www.pixabay.de/ferarcosn

Alle Mitarbeiter sollten vorsichtig damit sein, welche Anhänge oder Links aus E-Mails sie öffnen. Bild: www.pixabay.de/ferarcosn

Sichern Sie sich ab

Da die Zahl der Fälle, in denen es zu existenzbedrohenden Datenverlusten kam, sich in jüngster Zeit häufen, nennt das BSI drei Maßnahmen, die Unternehmen angesichts der Bedrohungslage unbedingt berücksichtigen sollten.

Schutz vor Primärinfektionen

  • Ihre Mitarbeiter sollten mit Anhängen und Links vorsichtig umgehen und im Zweifel erst nach Rücksprache mit dem Absender öffnen; Auffälligkeiten sollten sie umgehend an die zuständigen IT-Spezialisten melden.
  • Die Sicherheitsupdates der Hersteller für Betriebssysteme und Anwendungsprogramme sind zeitnah zu installieren, im Idealfall automatisiert.
  • Setzen Sie auf eine Antiviren-Software.
  • Führen Sie regelmäßig Datensicherungen durch; die Backups sollten zusätzlich offline in einem getrennten Netzwerk gespeichert werden.
  • Prüfen Sie regelmäßig die Login-Daten nach Auffälligkeiten.
  • Unterteilen Sie Ihr Netzwerk nach Vertrauenszonen und Anwendungsbereichen.
  • Erteilen Sie den einzelnen Nutzerkonten nur die zur Aufgabenerfüllung notwendigen Berechtigungen.

Überprüfen von Verbindungen von Dienstleistern zu Kunden

  • Unternehmen, die von Malware infiziert worden sind, sollten Geschäftspartner oder Kunden zeitnah darüber informieren, da auch diese per E-Mail mit gefälschten Absenderadressen Ihres Unternehmen Ziel eines Angriffs werden könnten.
  • Lassen Sie Netzwerkzugriffe und Berechtigungen von externen Dienstleistern überprüfen; sollte der Dienstleister Opfer eines Ransomware-Angriffs werden, könnten die Angreifer über VPN-Verbindungen auch in Ihr Netzwerk gelangen.

Schutz vor Ransomware

  • Gehen Sie bei einem Befall von Ransomware nicht auf die Lösegeldforderung ein.
  • Sofern Sie regelmäßige Backups durchgeführt haben, können Sie Ihre Systeme wiederherstellen.

In weiteren Veröffentlichungen gibt das BSI noch ausführliche Informationen zum Schutz vor Primärinfektionen und zum Schutz vor Ransomware. Die Experten vom IT-SERVICE.NETWORK helfen Ihnen natürlich auch gern bei der Einrichtung eines Antivirus-Managements oder bei der Datensicherung. Lassen Sie sich zu den Möglichkeiten beraten!

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen