COGITANDA, einer der führenden Anbieter von Cyber-Versicherung und -Präventionsmaßnahmen berichtet von einer aktuellen Cyber-Bedrohungslage. Jörg Wälder, CEO schreibt in seinem “CEO-Letter” vom 25.04.2019:
Gegenwärtig häufen sich in Deutschland Angriffe durch Schadprogramme auf Unternehmen, Behörden und Privatanwender. Gut getarnt als gefälschte E-Mails von Geschäftspartnern oder Kollegen infizieren Schadprogramme wie aktuell „Emotet“ und „Ryuk“ ganze Netzwerke und stellen eine erhebliche Bedrohung dar.
Auch im COGITANDA Portfolio haben wir über Ostern mehrere erfolgreiche Emotet Angriffe erlebt, die bei den betroffenen Versicherungsnehmern zum vollständigen Stillstand des Betriebes geführt haben, alle Programme und Dateien sind verschlüsselt, alle Backups sind gelöscht worden. In einem der Fälle ist davon auszugehen, dass die Schadenhöhe einige Hunderttausend EURO betragen wird. Das Thema ist für Sie und Ihre Kunden also von hoher Bedeutung und die aktuelle Welle hat gerade erst begonnen. Es lohnt sich also, sich mit dem Thema zu beschäftigen.
Was genau geht in diesen Fällen vor? Emotet sammelt – oft über Wochen unentdeckt – für die Täter Email-Adressen und -Inhalte aus dem System des betroffenen Unternehmens. Diese Informationen werden genutzt, um das Schadprogramm weiter zu verbreiten. Dabei werden den Empfängern E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst vor kurzem in Kontakt standen, zugesandt. Durch korrekte Angabe von Namen und Mailadressen von Absender und Empfänger in der Betreffzeile, in der Anrede und in der Signatur wirken diese Nachrichten echt und verleiten deshalb zum Öffnen des schädlichen Anhangs oder Links.
Sobald die IT-Systeme eines Unternehmens infiziert sind, wird durch Emotet weitere Schadsoftware nachgeladen. Seit ein paar Wochen ist das in Deutschland vermehrt der Bankingtrojaner „Trickbot“. Die Schadprogramme deaktivieren die vorhandenen Antiviruslösungen, lassen Daten an die Angreifer abfließen und ermöglichen die vollständige Kontrolle über das gesamte System.
Hiernach werden Schadprogramme wie „Ryuk“, “LockerGoga” und “GandCab” nachgeladen. Sofern die Kriminellen feststellen, dass das Unternehmen finanzkräftig ist, wird die Ransomware aktiv. Ryuk verschlüsselt auf allen infizierten Rechnern wichtige Geschäftsdateien und löscht anhand der vorher gewonnenen Informationen sämtliche Backups, die er finden kann. In der Folge kommt es häufig zu Produktionsausfällen. Das Unternehmen wird aufgefordert, eine substanzielle Summe an Lösegeld in Form von Bitcoins zu zahlen – in der Hoffnung, dafür den Code für die verschlüsselten Dateien zu erhalten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, generell keine Lösegelder zu zahlen. Es sind etliche Fälle bekannt, in denen das gesamte Unternehmensnetzwerk – trotz Zahlung – wieder aufgebaut werden musste. Wir äußern uns an dieser Stelle zur Frage der Zahlung von Lösegeldern nicht, sondern besprechen das Thema mit Ihnen im konkreten Schadenfall.
Was können Sie und Ihre Kunden tun, um den Eintritt eines solchen Schadenfalles unwahrscheinlicher zu machen?
- Sicherheitsupdates für die eingesetzten Betriebssysteme und Anwendungsprogramme zeitnah installieren
- Antivirus-Software nutzen und auf dem aktuellen Stand halten
- Wichtige Daten regelmäßig sichern. Das Backupkonzept daraufhin überprüfen, ob ein Angreifer mit Administratorrechten die gesicherten Daten löschen könnte
- Vorsicht bei Dateianhängen, auch von vermeintlich bekannten Absendern. Im Zweifel den Absender kontaktieren und diesen zum betreffenden Anhang befragen.
Zum Download stellen wir Ihnen die Cyber-Sicherheitswarnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) vom 24. April 2019 zur Verfügung. Das BSI erläutert die aktuelle Bedrohungslage durch „Emotet“, „Ryuk“ und Co. sehr anschaulich und spricht wichtige Handlungsempfehlungen aus. Diese Unterlagen sollten Sie sich genau ansehen. Die von uns konkret beobachteten Schadenfälle entsprechen eher den Gefährdungsklassen „Orange“ und „Rot“. Das BSI klassifiziert die Bedrohungslage aktuell noch mit „Gelb“.