Patch me if you can: Einfach verschlĂĽsseln war gestern
Ransomware ist ein so lukratives Geschäft, dass die „Branche“ immer wieder neue Wege ersinnt, um noch verlässlicher Geld zu erpressen. Was kommt als Nächstes?
- David Fuhr
Das Grauen der Security hat viele Gesichter. Und manchmal mutet die Verteidigung an wie der Kampf gegen die sagenumwobene Hydra, der bei Abschlagen eines Kopfes immer zwei nachwuchsen. Gefühltes exponentielles Wachstum der Bedrohungen sorgt für Daueradrenalin und – in Zeiten des Zerrens um Fachkräfte nicht unerheblich – bisweilen den geeigneten „Kick“, um neues Personal für die Branche zu gewinnen.
Fragt man sich, welches Problem denn nun in der vergangenen Dekade das drängendste gewesen sei, so ist sicherlich eine der möglichen Antworten, die nicht sofort Widerspruch von allen Seiten auslöst: Ransomware. Die Hauptgeißel der IT seit den späten 2010ern, vielleicht besser gesagt das gefürchtetste Damoklesschwert, war und ist Erpressung – ausgeführt unter Missbrauch einer der stärksten Waffen der Security, der Kryptografie.
In keinem anderen Feld hat die (mehr oder weniger organisierte) Cyberkriminalität derart systematische Geschäftsprozesse aufgebaut. Klar, auch „nigerianische Prinzen“ bauen Callcenter, um ihre Sales-Trichter zu befüllen. Aber Ransomware-Trojaner-Hirten betreiben Supportprozesse etwa für die Unterstützung beim Einkauf von Bitcoins, von denen viele ITIL hinterherhechelnde Unternehmen nur träumen können.
(K)eine Vorhersage
Ich werde einen Teufel tun und meine Top 10 oder 20 der Security-Predictions für die 2020er in dieser Kolumne breittreten (obwohl ... ;-)). Brauche ich auch gar nicht, denn eine der einschneidendsten Weiterentwicklungen, die uns in den nächsten Jahren sicherlich viele schlaflose Nächte und durchgemachte Wochenenden kosten wird, hat bereits eingesetzt.
Ketzerisch gesagt war bisherige Ransomware eher ein Beitrag zur Qualitätssicherung der IT. Wie tragisch es für die betroffenen Unternehmen auch ist: Backups sollte jede:r haben. Und zwar solche, die nachweislich funktionieren, nicht einfach manipulierbar sind und auch in angemessener Zeit wieder eingespielt werden können. Ransomware 1.0 war und ist der ultimative Test, ob ein IT-Betrieb solide arbeitet. Das haben auch die Angreifer erkannt. Noch scheinen sich Investitionen in neue Trojaner-Varianten und Command-and-Control-Infrastrukturen zu lohnen. Doch die nächste Generation von Erpressungsviren hat bereits ihre Arbeit begonnen.
Denn was ist die Hauptschwäche der bisherigen Masche aus Angreifersicht? Die Opfer können, wenn sie gut vorbereitet sind, ihr Schicksal selbst in die Hand nehmen! Ein einziges gutes Offsite-Backup in Verbindung mit einem soliden Disaster-Recovery-Prozess kann die ganze schöne Erpressung ins Leere laufen lassen. Die paar Stunden Ausfall kann das Unternehmen tragen, das Bezahlen des Lösegelds wird unattraktiv.
Was tun geschickte Angreifer, um Opfern diese Chance zu nehmen? Es braucht einen Bedrohungsvektor, bei dem das Opfer die Zeit nicht wie bei einem Restore zurückdrehen kann. Das gelingt, indem vertrauliche Daten nicht einfach verschlüsselt, sondern vor der Verschlüsselung kopiert werden. Die Kriminellen haben damit ein weiteres Druckmittel, gegen das das Opfer ab diesem Zeitpunkt (fast) nichts mehr unternehmen kann. Auch wenn ein Backup vorhanden ist, können die Angreifer geheime Daten komplett oder häppchenweise veröffentlichen oder damit drohen, dies zu tun. Die ersten bekannten Fälle derartiger Angriffsmaschen – nennen wir es Ransomware 2.0 –, in denen die Erpresser Ernst gemacht haben, wurden bereits 2020 publik und sind bis heute aktuell.
Gestern, heute, ĂĽbermorgen
Das ist nicht das erste Mal, dass die Vertraulichkeit sich als das wirklich schwere Problem entpuppt. Auch wenn morgen der Quantencomputer kommt, lassen sich Authentifizierung und Integritätsschutz noch schnell reparieren, digitale Signaturen erneuern und Token ersetzen. Verloren sind aber die Geheimnisse aller bisher erfolgten Kommunikationen, die irgendjemand irgendwann einmal mitgeschnitten hat. Integrität fällt nur in der Vergangenheit in sich zusammen, Verfügbarkeit in einem gewissen Sinn nur in der Gegenwart bis hoffentlich nur knapp in die Zukunft hinein. Vertraulichkeit bricht, wenn sie bricht, bis in alle Ewigkeit und ist rückwirkend nicht mehr wiederherzustellen.
Was heißt das nun für Unternehmen? Es genügt leider nicht mehr, sich auf gute Business Continuity zu konzentrieren und im Bereich Vertraulichkeit nur das absolute Minimalpensum – etwa "Stand der Technik" nach DSGVO oder IT-Sicherheitsgesetz – zu absolvieren. Vielmehr gilt es heute, zu analysieren, mit dem Leaken welcher Informationen die Organisation erpresst werden könnte, morgen oder in zehn Jahren, und wie diese gestern schon hätten geschützt werden müssen.
Diese Kolumne ist in iX 1/2020 erschienen und wurde fĂĽr die Online-Ausgabe aktualisiert.
(ur)