BSI äußert sich zu Erpressersoftware (Ransomware)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Themenpapier zu Erpressersoftware/Ransomware veröffentlicht. Darin werden die aktuelle Bedrohungslage dargestellt und Hinweise zur Prävention und Reaktion erteilt.

Hier geht es zur PDF des BSI.

Erpressersoftware/Ransomware und der „Fall Dettelbach“

Ransomware wird vom BSI als Schadprogramm definiert, welches den Zugriff auf Daten und Systeme einschränkt und eine Freischaltung nur gegen Lösegeld anbietet. Ransomware kann auch als „digitale Erpressung“ bezeichnet werden.

Erst kürzlich erregte der Fall einer mit Ransomware infizierten IT-Infrastruktur der Stadt Dettelbach mediales Aufsehen. Die Daten und Systeme der Stadt Dettelbach waren durch einen Trojaner gesperrt, welcher eine Lösegeldforderung aufstellte. Letztlich zahlte die Stadt Dettelbach den Betrag von ca. 400 Euro, um eine Entsperrung der Daten zu bewirken. Eine vollständige Freischaltung der Daten blieb jedoch auch nach Zahlung des Lösegeldes aus.

Journalisten, Politiker und Juristen diskutieren seither, inwieweit der Staat in solchen Fällen überhaupt Lösegelder zahlen soll oder darf.

BSI zur Bedrohungslage durch Ransomware

Im Themenpapier äußert sich das BSI zunächst über die derzeitige Bedrohungslage durch Erpressersoftware. Seit Dezember 2015 beobachtet das BSI einen signifikanten Anstieg an Attacken durch Ransomware. Insbesondere seit Januar 2016 haben die Angriffe enorm zugenommen.

Ransomware gelangt meist über infizierte E-Mail-Anhänge oder Anklicken gefälschter URLs in IT-Infrastrukturen. Die Schäden durch Erpressersoftware sind für Unternehmen enorm, aber auch für Behörden ernst zu nehmen. Neben der finanziellen Bedrohung durch die Lösegeldforderung, ist ein enormer Imageschaden möglich und letztlich nicht sichergestellt, dass die Daten jemals freigeschaltet werden. Im schlimmsten Fall kann durch einen solchen Angriff ein Unternehmen oder eine Behörde gänzlich handlungsunfähig gemacht werden.

Präventionsmaßnahmen gegen Ransomware

Das BSI spricht verschiedene Präventionsmaßnahmen gegen Erpressersoftware an. Infektionen mit Ransomware sollen u.a. durch regelmäßige Patches, Minimierung der Angriffsflächen, Behandlung von E-Mails, Segmentierung von Netzwerken und sicherer Umgang mit Administratorenaccounts verhindert werden. Ein Datensicherungskonzept (Backup) soll verhindern, dass Daten durch einen Trojaner gänzlich unzugänglich gemacht werden können. Mitarbeitersensibiliesierung soll dazu beitragen, die IT-Infrastruktur vor infizierten E-Mailanhängen und falschen URLs zu schützen.

Reaktionsmaßnahmen laut BSI

Das BSI rät Behörden und Unternehmen strikt davon ab, im Falle einer Lösegeldforderung zu zahlen. Wichtiger sei es, Anzeige bei der Polizei zu erstatten und interne Schadensbegrenzung durch Notfallmanagementkonzepte zu erreichen. Das BSI rät zudem, sich notfalls externe Expertise einzuholen.

Unsere Einschätzung

Das BSI sensibilisiert mit dem Themenpapier Behörden und Unternehmen zu Recht im Bereich Ransomware. Es ist richtigerweise davon auszugehen, dass Erpressersoftware ab 2016 zu einem spürbaren Problem für alle IT-Infrastrukturen werden wird. Technische und organisatorische Prävention ist, wie vom BSI vorgeschlagen, die einzige Möglichkeit, eine Infektion mit Ransomware wirksam zu verhindern. Hier müssen insbesondere Behörden umgehend nachrüsten und organisieren, um „digitale Katastrophen“ zu verhindern.

Die vorgeschlagenen Reaktionsmaßnahmen des BSI sind jedoch kritisch zu betrachten. Im Fall der Stadt Dettelbach wurde ein Lösegeld in Höhe von 400 Euro gezahlt, um zumindest die Chance auf Wiedererlangung der Daten zu nutzen. Der pauschale Ratschlag, keinesfalls zu zahlen, ist im akuten Erpressungsfall nicht unbedingt hilfreich. Es muss insbesondere nach Art der gesperrten Daten und der Bedrohungslage unterschieden werden. Sollten beispielsweise überlebenswichtige Patientendaten eines öffentlichen Krankenhauses gesperrt sein, und Gefahr für Leib und Leben drohen, ist der Hinweis des BSI hinfällig. Auch das Ausmaß der Datensperrung muss in die Betrachtung des Einzelfalls miteinfließen: Ist nur ein Teil der Daten gesperrt, oder tatsächlich der gesamte Datenbestand einer Behörde? Ist die Behörde ohne die Daten noch handlungsfähig? Gibt es überhaupt, auch unter Einschaltung externer Expertise, die Möglichkeit „auf eigene Faust“ die Daten zu entsperren?

Eine Pauschalaussage in Richtung “Nicht zahlen!” hilft unserer Einschätzung nach in diesen Fällen nicht weiter.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Ein Kommentar zu “BSI äußert sich zu Erpressersoftware (Ransomware)
    Schreibe einen Kommentar
    Deine E-Mail-Adresse wird nicht veröffentlicht.

    Sie können folgende HTML-Tags benutzen:

    <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

    *
    *