Erpresser-Trojaner bedrohen Touristiker
Transcription
Erpresser-Trojaner bedrohen Touristiker
Erpresser-Trojaner bedrohen Touristiker Die Namen klingen verspielt, aber die Wirkung kann Existenzen vernichten. Die Gefahr durch Erpresser-Programme wie Locky, Petya oder CryptXXX wächst. Touristische Firmen sind betroffen und müssen sich schützen. von Jochen Eversmeier, 30.05.2016, 14:26 Uhr Opfer eines Erpresservirus: Auf seiner Website informiert das Profi Reisecenter aus Kempten die Kunden. Foto: http://profi-reisecenter.de/ Anzeige Die Beratung im Profi Reisecenter in Kempten nähert sich dem erfolgreichen Abschluss. Die Expedientin öffnet aus dem Preisvergleichssystem heraus einen Link mit weiterführenden Informationen auf einem Ferienwohnungsportal und vertieft sich in das Kundengespräch. Als sie drei Minuten später wieder auf den Bildschirm blickt, hat der Erpresser-Trojaner CryptXXX bereits 85 Prozent der Daten verschlüsselt und den Zugriff auf den Arbeitsplatzrechner unmöglich gemacht. Profi-Reisecenter-Inhaberin Diana Hirnigl und ihr Team erkennen die Gefahr sofort. Sie ziehen das Netzwerkkabel am betroffenen Rechner. Dann trennen sie auch alle sieben weiteren PCs vom internen Server. Dadurch verhindern sie die Ansteckung der Computer und Speichermedien des Reisebüros. Zusammen mit dem IT-Dienstleister aktiviert sie über eine sichere Leitung das Back-up vom Vortag. Der infizierte PC wird vollständig gelöscht und neu aufgesetzt. Innerhalb von 24 Stunden ist das Reisebüro wieder arbeitsfähig. Nur die E-Mails vom 18. Mai, dem Tag des Cyber-Angriffs, sind verloren. Jedes dritte Unternehmen mit Ransomware infiziert Dass die Attacke keine schlimmeren Folgen hat, führt Hirnigl darauf zurück, dass sie einiges für die virtuelle Sicherheit unternimmt und ihre Mitarbeiter entsprechend schult. Täglich werden im Profi Reisecenter alle Daten gesichert. Elf Tage lang hebt der IT-Dienstleister jedes Back-up auf. Damit soll sichergestellt werden, dass auch dann eine nicht infizierte Sicherung vorhanden ist, falls die Schad-Software erst mit Zeitverzögerung zuschlägt. Zu wenige ihrer Kollegen hält die Touristikfachwirtin für ähnlich sicherheitsbewusst. „Viele, viele Reisebüros könnten viele, viele Daten verlieren“, fürchtet Hirnigl. Besonders um kleine und Ein-Personen-Reisebüros sorgt sie sich. Für diese könnte ein massiver Datenverlust oder die Neubeschaffung der EDV schnell das wirtschaftliche Aus bedeuten. Die Befürchtungen sind begründet. Cryptolocker heißt die neue Art von Computer-Viren, die Daten so verschlüsselt, dass der Besitzer damit nichts mehr anfangen kann, und sie erst gegen Zahlung von Ransom, so das englische Wort für Lösegeld, wieder freigibt. Deshalb sprechen Experten auch von Ransomware. Der Öffentlichkeit sind solche Schädlinge durch den Erpresser-Trojaner Locky bekannt geworden, der sich im Februar dieses Jahres in Windeseile weltweit verbreitete. Von Locky und seinen jüngeren Verwandten wie Petya und CryptXXX war jedes dritte Unternehmen in den vergangenen sechs Monaten betroffen. Zu diesem Ergebnis kommt eine aktuelle Erhebung der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI). Neue Cryptolocker blockieren den ganzen Rechner Anzeige Die Bedrohungslage bewertet das BSI als „unverändert hoch“. Diese Einschätzung teilt auch Thomas Urbanski vom Virenschutz-Hersteller Gdata. 30 Familien von Schad-Software hat die Sicherheitsfirma identifiziert, die in immer neuen Varianten auftauchen. Und die werden immer aggressiver. Locky beschränkt sich noch darauf, bestimmte Dateien oder Dateitypen zu verschlüsseln. Petya und der aktuell sehr aktive Teslacrypt-Nachfolger CryptXXX sperren zusätzlich den ganzen Rechner. Eine weitere Besonderheit von CryptXXX ist laut der Sicherheitsforscher von Trend Micro ein Tarnmechanismus. Erkennt dieser Aufspür- oder Reparaturversuche, stoppt der Mechanismus die Verschlüsselung und startet sie anschließend neu. Auch die Infektionsgefahr hat sich drastisch erhöht. Ältere Schädlinge wie Locky verbreiten sich vor allem über E-Mail-Anhänge. Erst wenn der Empfänger die manipulierte Datei öffnet, die sich zum Beispiel als harmloses Word-Dokument tarnt, kann der Virus seine verheerende Wirkung entfalten. Darauf können sich Firmen zumindest einstellen und ihre Mitarbeiter anhalten, verdächtige E-Mails samt Dateianhang sofort aus dem Posteingang zu löschen. Neuere Ransomware wie CryptXXX ist selbst für Sicherheitsexperten kaum zu erkennen, bevor sie aktiv wird. Sie verteilt sich über kompromittierte Websites oder manipulierte Anzeigen. Auch bekannte und als vertrauenswürdige geltende Portale können – fast immer ohne das Wissen ihrer Betreiber – missbraucht werden. Der bloße Besuch einer solchen Site reicht aus, um den Schädling auf den eigenen Rechner zu schleusen. Sicherheitsexperten erwarten nächste Stufe der Bedrohung Drive-by-Angriff heißt diese Form der Ansteckung im Fachjargon. Von CryptXXX und Co infiziert werden allerdings nur Windows-Rechner mit den bekannten Schwachstellen. Wie die Ansteckung genau erfolgt ist, lässt sich im Nachhinein kaum klären. Auch im Fall des Kemptener Profi Reisecenters ist offen, ob das besuchte Ferienhaus-Portal kompromittiert war oder ein schon Tage vorher versehentlich geöffneter Dateianhang mit Zeitverzögerung aktiv geworden ist. Fest steht aber, dass die Verseuchung auch dann erfolgen kann, wenn weiterführende Links aus einem geschützten Bereich wie einem Preisvergleichssystem geöffnet werden. Die Folgen sind zum Teil erheblich. In 70 Prozent der betroffenen Firmen wurden laut Erhebung der Allianz für Cyber-Sicherheit einzelne Arbeitsplatzrechner verseucht. In jedem fünften betroffenen Unternehmen kam es zu einem erheblichen Ausfall von Teilen der IT-Infrastruktur, jedes zehnte erlitt einen Verlust wichtiger Daten. Sicherheitsexperten stellen sich bereits auf die nächste Stufe der Bedrohung ein. Sie erwarten, dass in naher Zukunft intelligente Trojaner auftauchen. Diese werden, so die Befürchtung, erkennen können, ob es sich bei dem Erpressten um ein Unternehmen oder eine Privatperson handelt. Da für Firmen oft mehr auf dem Spiel steht, dürften die Erpresser von diesen künftig deutlich höhere Lösegelder verlangen. Bislang liegt die geforderte Summe meist bei 400 bis 500 Euro – ein Preis der schnell steigen dürfte, wenn der Leidensdruck bei Unternehmen groß genug wird. Um so wichtiger sind Schutzmaßnahmen, die eine Infektion verhindern. Neben einer gesunden Portion Misstrauen gegenüber allen verdächtigen Dateianhängen und einer entsprechenden Verhaltensschulung der Mitarbeiter zählt dazu vor allem aktuell gehaltene Software vom Betriebssystem bis zum Antiviren-Programm. Denn die Schädlinge können nur dort eindringen, wo sie Schwachstellen finden. Veraltete und vom Hersteller nicht mehr unterstützte Betriebssysteme wie Windows NT und XP von Microsoft, die auch in der Reisebranche noch im Einsatz sind, sollten von den Anwendern schnellstmöglich ersetzt werden. Und weil es keinen vollkommenen Virenschutz gibt, ist die wichtigste Maßnahme eine regelmäßige Datensicherung auf vom Arbeitsnetzwerk strikt getrennten Speichermedien. Weitere Tipps gegen Ransomware lassen sich auf der unten genannten Seite des BSI herunterladen.