IT-Compliance und Ramsonware – Schutz gegen “WannaCry” (Wanna Crypt0r 2.0)?

Schadsoftware für Betriebssysteme war schon immer ein Thema. Ramsonware nicht. Worum geht es? Nun, sofern das Betriebssystem infiziert ist, zeigt sich auf dem Desktop statt des Startbildschirms ein Fenster mit einer Warnung des Inhalts, die Dateien auf der Festplatte seien alle verschlüsselt und man müsse Lösegeld zahlen, um sie wieder nutzen zu können. Ob eine Zahlung zur Freigabe Ihres Rechners führt, ist zweifelhaft.

Ramsonware oder Erpressungs-Software ist aktuell und recht weit verbreitet. Das zeigt die recht aggressive Schadsoftware WannaCry ganz deutlich. Ramsonware betrifft sämtliche Branchen, Regierungsorganisationen und NGO´s. Unterschiede zwischen Unternehmen oder privaten Rechnern werden nicht gemacht. Insofern ist kein Betriebssystem und kein Rechner sicher, schon gar keine Branche. WannaCry hat weltweit Personalcomputer infiziert. Der Umgang mit Ramsonware führt zu zwei Überlegungen: 1. kann man wirksam vorbeugen und 2. was tut man im Ernstfall?

Ramsonware blockt entweder den Zugriff auf den Rechner („Lock Screen“) oder verschlüsselt sämtliche Daten auf dem Rechner (Crypto-Angriff). Bekannte Viren sind Locky, aber auch CryptoWall4, CryptoLocker, Tesla und CTB-Locker. 

WannaCry war seit März bekannt. So gab es eine Warnung von Microsoft und ein Patch gegen das Virus (Sicherheitsupdate MS17-010). Insofern ist es erstaunlich, dass derart viele Rechner betroffen sind. In Unternehmen muss es klare Direktiven mit dem Umgang mit Patches und Antiviren-Software geben. Patches sind dabei ein Thema in der IT-Administration. Hinsichtlich WannaCry wurde schließlich kein verseuchter USB-Stick benutzt, sondern von außen eine Sicherheitslücke im Betriebssystem ausgenutzt. Diese Lücken muss die IT kennen, sobald sie publik werden. Nichts anderes machen die Hacker auch mittels sog. Exploit-Kits (Angler, RIG usw.). Auch hinsichtlich der Nutzung virenanfälliger Software (Flash, Java, Silverlight etc.) muss es eindeutige Vorgaben geben. Das schließt den Zugriff auf Systemdateien der Netzwerkrechner mit ein (wer darf was?). 

Da es keinen 100 prozentigen Schutz geben kann, brauchen Mitarbeiter klare Hinweise im Falle der Infizierung des Rechners. Dazu gehört der Umgang mit dem Rechner ebenso wie die sofortige Information an die IT. 

Nicht nur nach unserer Einschätzung wird diese Bedrohung zunehmen. Wesentlich dabei ist auch, dass übliche Antiviren-Software (soweit sie Verwendung findet) keinen ausreichenden Schutz genießt. Wichtig ist, dass eine mehrfache Infrastruktur dem Schutz Ihrer Daten dient.