Ransomware

«Viren gelangen auf den Rechner, ohne dass etwas angeklickt wird»

Ein Trojaner namens «Locky» verbreitet sich derzeit rasant. Der Schädling verschlüsselt Dateien, die dann gegen Bezahlung eines «Lösegeldes» wieder freigeschaltet werden. Im Interview spricht Sicherheitsspezialist Urs Achermann über die Situation in der Schweiz.

IT-Sicherheitsexperte Urs Achermann rechnet damit, dass Erpresserviren wie «Locky» auch Schweizer Betriebe bedrohen.

 

Erpresser-Software  oder Ransomware wie «Locky» oder «Wannacry» verbreitet sich schnell rund um den Globus. Sie verschlüsselt auf befallenen Windows-Rechner Daten, die sich dann mit einer speziellen Software wieder entschlüsseln lassen. Die Software muss bei den Anbietern gekauft werden. Für Aufsehen sorgte ein Spital in den USA, dessen IT-Infrastruktur von Locky praktisch lahmgelegt wurde. Das Schweizer Nachrichtenportal für die Gesundheitsbranche, Medinside, sprach mit IT-Sicherheitsexperte Urs Achermann über die Situation in der Schweiz.

 

Herr Achermann, in den letzten Tagen hörte man von massiven Hackerangriffen auf Betriebe in Europa und Amerika. Die IT wird jeweils durch Malware lahmgelegt, dann fordern die Täter «Lösegeld», um die blockierten Systeme wieder zu entschlüsseln. Ist die Häufung Zufall – oder ist das eine neue Bedrohung?

Derzeit ist die Medienaufmerksamkeit viel grösser. Früher wurde eher über andere Hackerprobleme berichtet, etwa über Diebstahl von Kundendaten bei Banken. Aber man hat es auch mit einer neuen Vorgehensweise zu tun. Und in vielen Betrieben ist das Geld dann eher zu knapp für den Schutz. Das liegt auch daran, dass es oft am Bewusstsein fehlt für die Problematik.

 

Die aktuellen Hacker-Angriffe haben oft Erfolg, weil einzelne Mitarbeiter die Viren herunterladen, indem sie fälschlicherweise einen «verseuchten» Anhang öffnen. Diese Falle funktioniert offenbar immer wieder –  Bewusstsein hin oder her.

So ist es. Die Infektion kann durch Email-Anhänge geschehen. Und im vergangenen August entdeckten wir solche Kryptoviren, die durch so genannte «Drive by»-Downloads ins System eines Kunden gelangt waren: Ein Mitarbeiter ging auf eine bestimmte Website, diese Site war infiziert – und die Viren gelangten auf sein Gerät, ohne dass überhaupt etwas angeklickt wurde.

 

Da hilft keine Sensibilisierung mehr.

Ja, in solchen Fällen können die Nutzer gar nichts machen. Natürlich sollten die Mitarbeiter wissen, dass sie möglichst nicht auf alles klicken sollten, aber gegen «Drive by»-Downloads hilft das auch nichts. Die einzige Lösung wäre, das Internet vom internen Netz zu trennen.

 

Es kommen auch immer wieder neue Virenformen. Das heisst: Letztlich lässt es sich nicht hundertprozentig vermeiden.

Schwierig. Wir setzen natürlich auf allen Ebenen verschiedene Antiviren-Software ein. Die Antivirenhersteller arbeiten dabei mit Signaturen: Sie melden Beschreibungen von verdächtigen Mustern. Aber sobald die Gegenseite etwas an diesem Muster ändert, wird es mit herkömmlichen Mitteln sehr schwierig. Und heute verändern sich diese Muster ständig. Beim erwähnten Fall im August war entscheidend, dass wir innert 18 Minuten den Benutzer identifizieren konnten, um sein Gerät vom Netz zu trennen. In jenen 18 Minuten schafften es die Viren trotzdem, etwa 20’000 Dateien zu verschlüsseln. Jetzt stellen Sie sich nur vor, dass so etwas übers Wochenende geschieht.

 

In den USA bezahlte ein Spital, das von solchen Blockadeviren befallen wurde, tatsächlich Lösegeld, damit die Angreifer ihre Programme und Dateien wieder freigaben. Kann das wirklich eine Lösung sein?

Ohne die Entschlüsselung der Erpresser gibt es nur eine Möglichkeit, um die Daten wiederzuerlangen: Man muss sie aus dem Backup holen. Aber was tun, wenn man kein Backup hat – oder nur ein Unvollständiges? Und es ist bereits ein grosser Aufwand, 20’000 Dateien zu finden, zu löschen und die Originaldateien wieder zurückladen. Wenn man aber mehr Pech hat und Millionen Dateien blockiert wurden, dann ist es betriebswirtschaftlich verlockend, wie im US-Fall einfach 17’000 Dollar zu bezahlen.

 


Erpressungs-Trojaner: Was ist geschehen?

In mehreren europäischen Ländern und den USA wurden in letzter Zeit immer wieder tausende Rechner durch Ransomware blockiert. Locky beispielsweise befiel 2016 alleine in Deutschland 17’000 Geräte, in den USA waren es über 11’000, wie der «Spiegel Online» berichtet.

Das Vorgehen ähnelte sich stets: Mit Kryptoviren verschlüsseln die Hacker die Daten der Institutionen – dann folgt ein Erpressermail: Gegen eine bestimmte Summe, zahlbar in Bitcoins, erhalten die Opfer einen «Schlüssel», um ihre Daten wieder zu verwenden.


 

Die Kernfrage haben Sie wohl schon weitgehend beantwortet: Könnte das auch in der Schweiz passieren?

Definitiv ja. Solche Vorfälle sind auch schon eingetreten. In allen Fällen, die ich live erlebt habe, konnten wir Gottseidank rasch die Problembereiche isolieren. Beim ersten Vorfall kamen wir recht ins Schwitzen! Oft ist es ja so: Man sieht den Schaden – aber die eigentliche Malware lässt sich in den riesigen vernetzten Systemen nur schwer finden. Wir haben viel aus dem ersten Fall gelernt, gut reagiert und konnten bei den folgenden Vorfällen sehr schnell und professionell handeln.

 

Und wenn es geschieht, werden solche Betriebe gleich bereichs- und abteilungsübergreifend lahmgelegt, von Radiologie über Onkologie bis hin zur Buchhaltung.

Auch das ist logisch. Die verschiedenen Bereiche wollen ja heute vernetzt sein. Und man will immer stärker, dass die Daten zentral erfasst werden.

 

Sie sind spezialisiert auf den Gesundheitsbereich. Dort beschäftigten sich die Sicherheitsbehörden bereits mit der nächsten Stufe: nämlich der Gefahr, dass Hacker aus der Ferne die Kontrolle über Geräte wie Infusionspumpen, Operations-Roboter oder gar Herzschrittmacher übernehmen. Ist das Science Fiction – oder macht Ihnen das auch schon Sorgen?

Definitiv. Heute will man alles digital, und alles soll vernetzt sein. Das bietet enorme Vorteile. Wenn ein Herzschrittmacher autonom meldet, dass etwas nicht mehr stimmt beim Patienten, dann kann dies lebensrettend sein. Aber genau diese Vernetzung macht das Gerät dann angreifbar. Es ist denkbar, dass man mit üblen Absichten einen Menschen quasi virtuell entführen kann, dass man ihn erpresst und ihm androht, beim Herzschrittmacher die Frequenzen zu verändern. Diese Vernetzung der Dinge birgt ein grosses Gefahrenpotential, übrigens nicht nur in der Medizin. Denken Sie nur an die selbststeuernden Autos – auch da liesse sich Gas- oder Bremspedal plötzlich von aussen steuern.

 


Urs Achermann ist Chief Information Security Officer bei der HINT AG, einem Spezialunternehmen für ICT-Prozesse im Gesundheits- und Sozialwesen.

Er ist seit 1993 in der Informatik tätig, davon mehr als 17 Jahre als Spezialist für Informationssicherheit und Datenschutz. Urs Achermann war unter anderem Information Security Officer bei Holcim und bei Julius Bär. Er ist diplomierter Wirtschaftsinformatiker und verfügt über einen Master in Informationssicherheit. Achermann ist Co-Autor des Handbuchs für Informationssicherheit in der Praxis.

 

Jetzt lesen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

2 Kommentare zu “«Viren gelangen auf den Rechner, ohne dass etwas angeklickt wird»

  1. Ohne das ich etwas angelickt habe, kann ich meinen PC wohl starten aber nach der Begrüssung (hallo Bruno) wird der Bildschirm schwarz und nchts geht mehr. Der PC wird nur benutzt um Videos über Hobbys am Fernseher anzuschauen.

  2. Bitte setzen Sie bei jedem Ihrer Artikel am Anfang ein Datum ein. So wissen wir, wie aktuell der Artikel ist und/oder können ihn zu anderen Events in Relation bringen.
    Ohne Datum ist das ein wriklich ernsthafter „outpoint“ namens „Dropped date“.
    Freundliche Grüsse,
    Christian Züllie