14 Dezember 2016

Ransomware greift gezielt Personalabteilungen an

Bei der in Anlehnung an den gleichnamigen James-Bond-Film „Golden Eye“ genannte Erpresser-Software, sogenannte „Ransomware“ handelt es sich um einen Verschlüsselungstrojaner, der nach Start der bösartigen Software im Hintergrund beginnt, die Festplatte vollständig zu verschlüsseln. Eine Entschlüsselung ist zumindest nach aktuellem Stand nicht möglich. Der Angreifer versucht, die Opfer zu nötigen, gegen Zahlung eines Betrages den Schlüssel von ihm zu kaufen.

Laut Heise-Verlag verbreitet sich der Trojaner schnell. Es werden gezielt Personalverantwortliche, Firmenleiter und Entscheidungsträger angegriffen. Aufgrund der Struktur des Trojaners befällt dieser nur Windows-Systeme.

Bedeutet das, Linux ist sicher?

An der Stelle könnte die Meldung für uns als Unternehmen im Bereich Open Source grundsätzlich erledigt sein, da der aktuelle Schädling „Golden Eye“ Linuxsysteme nicht betrifft.

Dennoch möchte ich dies als Gelegenheit nutzen, darauf hinzuweisen, dass auch Linux-Systeme und selbst Linux-Server nicht grundsätzlich immun gegen solche Verschlüsselungstrojaner sind. Es gibt durchaus Beispiele für erfolgreiche Angriffe, bei denen die Angreifer Root-Rechte auf Linux-Systemen erlangen konnten sowie für Linux-Verschlüsselungstrojaner, beispielsweise Linux.Encoder.1. Daher ist es auch bei Linuxsystemen sinnvoll, sich diese Gefahr vor Augen zu führen. Dies gilt grundsätzlich natürlich auch für die BSD-Systemfamilie oder auch andere Betriebssysteme abseits der Microsoft-Produkte, etwa Apples Mac OS-X.

Was sollte man tun?

Erstes Mittel: Backup

Grundsätzlich ist der beste Schutz ein aktuelles Backup – dies gilt unabhängig vom verwendeten Betriebssystem. Kann der Verschlüsselungstrojaner mir meine Daten nicht oder nur einen kleinen Teil durch Verschlüsselung entziehen, läuft die Erpressung ins Leere. Daher sind aktuelle und regelmäßige Backups Pflicht. Wichtig hierbei ist ebenfalls, die Backups „offline“ aufzubewahren, also so, dass eine laufende Software die fertigen Backups nicht mehr beeinflussen kann. Dies kann bei Arbeitsplätzen etwa durch einen Satz von Speichermedien, etwa USB-Festplatten bestehen, die nur zum Zeitpunkt der Sicherung angeschlossen sind.

Zweites Mittel: Eingeschränkter Zugriff

Verschlüsselungstrojaner können prinzipiell alle Dateien verschlüsseln, bei denen Sie wie auch immer an Schreibrechte gelangen können. Dies kann durch freizügige Konfiguration erfolgen oder etwa durch Arbeiten, die mit einem Benutzerkonto mit administrativen Rechten ausgeführt wurde.

Bei Windows-Systemen hat sich in den letzten Versionen die Idee wieder verbreitet, es wäre gefahrlos, mit einem Konto mit Administratorrechten zu arbeiten, da die sogenannte UAC ja vor Nutzung von erhöhten Rechten warnt. Dies stimmt leider nur bedingt, da es zum einen inzwischen auch zu einem gewissen Grad zur Gewohnheit gehört, diese UAC-Fragen wegzuklicken und möglicherweise der Endanwender gar nicht so genau weiß, was da weg geklickt wird, zum anderen auch Schadsoftware bereits gezeigt hat, dass sie diese Abfragen umgehen kann. Hier kursieren entsprechende Exploits bereits im Internet.

Idealerweise arbeitet jeder nur mit Schreibrechten auf den Dateien, die er wirklich verändern können muss. Das gilt auch für Netzwerkfreigaben und andere Speichersysteme. Für Software, die intern eigene Dateiablagen nutzt, wie etwa Datenbanksysteme o.ä. empfiehlt sich so, die Daten unter einem dafür vorgesehenem System-Benutzerkonto in einem dafür gedachten Verzeichnis abzulegen, auf dass dann auch nur der System-Benutzeraccount der Software damit arbeiten kann. Hat der vom Trojaner „erwischte“ menschliche Benutzer keine direkten Schreibrechte auf ein solches Datenverzeichnis, kann der Trojaner diese auch nicht verschlüsseln. Liegen die Daten der Software aber unter der Benutzerkennung des menschlichen Benutzers in dessen Heimatverzeichnis, haben solche Schadprogramme leichtes Spiel. Bei manchen Programmen, etwa einer Textverarbeitung, lässt sich das naturgemäß nicht vermeiden. Hier hilft nur das erste Mittel: Backup.

Natürlich macht eine solche Systemeinrichtung mit eingeschränkten Rechten mehr Arbeit, sie erhöht aber auch die Sicherheit vor verschiedenen anderen Problemen unabhängig von Verschlüsselungstrojanern, wie z.B. Ausspähen von Daten, beabsichtigte oder unbeabsichtigte Manipulation oder auch versehentliches Löschen usw.

Drittes Mittel: Information

Besonders bei Schädlingen, die wie „Golden Eye“ per hoch personalisierter Email Verbreitung finden, hilft ein gut informierter Empfänger. Grundsätzlich ist sehr vielen Email-Anhängen mit Misstrauen zu begegnen – vor allem, wenn man den angeblichen Absender nicht kennt – aber auch, wenn man ihn kennt. Schließlich kann man ad hoc nicht erkennen, ob eine Mail einen gefälschten Absender hat oder ob das Computersystem des Absenders nicht bereits manipuliert wurde.

Daher ist meiner Erfahrung nach neben allen üblichen Schutzmaßnahmen, wie Antiviren-Scanner, die Emails prüfen und Email-Filter, die zumindest bestimmte Dateitypen ausfiltern usw. ein sensibler Umgang mit solchen Dingen bei jedem, der Emails empfangen oder Zugriff auf das Internet hat, sehr wichtig. Hier hilft neben einer klaren Betriebsanweisung auch eine regelmäßige Information über allgemeine Gefahren und auch über solche Ausbrüche von Ransomware – zumindest in den entsprechenden Abteilungen, die potenzielle Ziele darstellen.

Hier hat das Bundesamt für Sicherheit in der Informationstechnologie eine Themenseite zusammengestellt.

Viertes Mittel: Updates

Für viele Menschen sind regelmäßige Updates lästig, keine Frage. Dennoch muss jedem klar sein, dass sie absolut nötig sind. Vielfach begegnet man dem Argument, dass man mit der aktuellen Version zufrieden ist und man gar keine neuen Features benötigt. Dennoch ist dies kein Argument, Updates einzuspielen. Auch heutzutage ist kaum eine Software absolut fehlerfrei. Updates dienen in sehr vielen Fällen nicht oder nicht ausschließlich der Verbreitung von neuen Features, sondern vor allem der Fehlerbereinigung. Diese schließt neben simpler Korrektur von Störungen auch die Beseitigung von Sicherheitslücken ein. Besonders diese Updates möchte man regelmäßig und vor allem so schnell wie möglich einspielen.

Fünftes Mittel: professionelle Administration

Das Thema Computeradministration – insbesondere im Geschäftsumfeld – ist auch heute nicht trivial. Besonders Schädlinge wie „Golden Eye“ zeigen das auf drastische Weise. Ein gut administriertes System kann zwar eine solche Infektion nicht mit Garantie verhindern, aber sie verlagert die  Wahrscheinlichkeit einer Infektion und auch die mögliche Schadenshöhe oft zu Gunsten des potenziellen Opfers.

Wie unterstützt credativ?

Gerne unterstützen wir Sie und Ihre IT bei der Absicherung Ihrer Open-Source-Systeme. Wir beraten Sie oder Ihre IT-Abteilung gerne bei der
Konzeption und Implementation der Absicherung Ihrer internen wie externen Linux-Serversysteme oder auch Linux-Desktops. Wir erstellen auch gerne auf Wunsch einen Aktionsplan oder übernehmen auch gerne Arbeiten bis einschließlich der vollständigen Administration dieser Systeme.

Meine Kollegen und ich freuen uns auf Ihre Kontaktaufnahme.

Kategorien: Aktuelles
Tags: News Sicherheit

PD

über den Autor

Peter Dreuw

Senior Manager

zur Person

Peter Dreuw arbeitet seit 2016 für die credativ GmbH und ist seit 2017 Teamleiter. Seit 2021 ist er Teil des Management-Teams und mit der Übernahme durch die NetApp wurde seine neue Rolle "Senior Manager Open Source Professional Services". Er ist Linux-Nutzer der ersten Stunden und betreibt Linux-Systeme seit Kernel 0.97. Trotz umfangreicher Erfahrung im Operations-Feld ist er leidenschaftlicher Softwareentwickler und versteht sich auch mit hardwarenahen Systemen gut.

Beiträge ansehen


Beitrag teilen: