Mit 2021 liegt ein turbulentes Jahr hinter uns – auch was das Thema Cybersicherheit angeht. Was kann man aus den Ereignissen für 2022 lernen? Das verraten wir in diesem Blogartikel.
1. Emotet ist leider noch nicht besiegt.
Anfang 2021 lautete die gute Nachricht: Die Infrastruktur des Makrovirus-Trojaners Emotet ist zerstört. Bis zu diesem Zeitpunkt hatte die gefährlichste Schadsoftware der Welt bereits Kosten in Millionenhöhe verursacht. Weltweit beziffert sich der Schaden, der durch Emotet verursacht wurde, sogar auf geschätzten 2,1 Milliarden Euro.
Das Erkennungszeichen von Emotet waren täuschend echt wirkende E-Mails, die zumeist in einem Anhang bösartige Software enthielten. Einmal installiert war Emotet in der Lage, weitere Schadprogramme auf die befallenen Rechner zu laden.
Die Zerschlagung von Emotet war jedoch leider nicht endgültig. Seit Ende 2021 werden erneut Emotet-Aktivitäten beobachtet, unter anderem der Versand gefälschter E-Mails. Wie bisher zitiert Emotet dabei z. T. echte vorausgegangene E-Mails. Höchste Wachsamkeit ist also wieder geboten bei allen E-Mails, die Office-Dokumente mit aktiven Inhalten (Makros) enthalten, passwortgeschützte ZIP-Archiven oder Links.
Learning: Der kritische Umgang mit E-Mails und ihren Inhalten sowie Anhängen bleibt überaus wichtig. Emotet macht das Erkennen gefälschter E-Mails besonders schwer, daher ist höchste Aufmerksamkeit gefragt.
Zusatztipps: In dieser Gefahrenwarnung zu Emotet erfahren Sie mehr über die Schadsoftware und worauf Sie achten sollten.
Als Makrovirus-Trojaner wird Emotet häufig über Office-Dokumente verbreitet. Hier finden Sie wichtige Hinweise zum umsichtigen Umgang mit solchen Dokumenten.
2. Auch das kleinste Unternehmen ist für Cyberkriminelle interessant.
2021 wurden mehrere Sicherheitslücken bekannt, die weltweit Unternehmen aller Größen betrafen. Dabei ging es zum einen um kritische Schwachstellen in den häufig verwendeten Microsoft Exchange-Servern. Zum anderen wurden Sicherheitslücken in der Java Bibliothek Log4j entdeckt. Diese ist ein Bestandteil vieler Programme und daher weit verbreitet. Cyberkriminelle können diese Sicherheitslücken sehr leicht ausnutzen. Sie suchen im Internet gezielt nach entsprechenden Servern und Rechnern. Zum Beispiel um Daten zu stehlen, Ransomware zu installieren oder Cryptojacking zu betreiben.
Für solche Angriffe waren und sind auch kleinste Unternehmen interessant. Denn auch sie haben kriminell verwertbare Daten. Auch sie sind auf eine funktionierende IT angewiesen, so dass sich eventuell Lösegelder erpressen lassen. Und auch sie besitzen Rechnerressourcen, die zum Schürfen von Kryptowährungen missbraucht werden können.
Generell gilt: Je einfacher Angriffe auszuführen sind, desto gefährdeter sind auch kleine Unternehmen, bei denen es vermeintlich „nichts zu holen gibt“. Denn viele erfolgreiche kleine Angriffe bedeuten für die Cyberkriminellen in der Summe beachtliche Gewinne.
Learning: Achten Sie penibel darauf, dass Ihr gesamtes System immer auf dem neuesten Stand bleibt – egal wie klein Ihr Unternehmen ist. Installieren Sie alle Patches und Updates unverzüglich. Da viele unterschiedliche Programme Log4j nutzen, kann jedes einzelne Update entscheidend sein. Falls Sie Microsoft Exchange-Server verwenden, überprüfen Sie diese gesondert.
Zusatztipp: Unser Blogpost „Gehackt – was nun?“ hilft Ihnen dabei, die Schäden bei Angriffen auf Ihr System möglichst gering zu halten.
3. Nach einer Ransomware-Lösegeldzahlung werden selten alle Daten wiederhergestellt.
Eine große, internationale Umfrage zeigte, was bei Perseus bisher Erfahrungswissen war: Lösegeldzahlungen sind leider keine Garantie dafür, dass erpresste Unternehmen ihre Daten vollständig zurückerhalten. Im Gegenteil, nur bei 8 % war dies der Fall. Warum? Unter anderem weil für einige Ransomware gar kein Entschlüsselungsprogramm existiert. Bei anderen funktioniert die Entschlüsselung aufgrund von Softwarefehlern nicht oder nicht vollständig.
Unserer Meinung nach müssen alle Unternehmen über diesen Umstand informiert sein – insbesondere angesichts der häufig exorbitant hohen Lösegeldsummen. So wurden z. B. im letzten Jahr nach dem Cyberangriff auf MediaMarktSaturn 240 Millionen Dollar Lösegeld gefordert, die Berichten zufolge auf 50 Millionen Dollar heruntergehandelt werden konnten. Ob MediaMarktSaturn bezahlte ist unbekannt. Aber selbst eine Woche nach dem Angriff herrschte in den Filialen noch kein Normalbetrieb.
Learning: Setzen Sie auf aktuelle Backups, um Ihre Daten auch im Falle eines Ransomware-Angriffs vollständig wiederherstellen zu können. Bewahren Sie immer mindestens ein Backup physisch getrennt von Ihrem System auf, damit es bei einem Angriff nicht ebenfalls verschlüsselt wird.
Zusatztipp: Fertigen Sie mehrere Backups nach der 3-2-1-Strategie an.
4. Auch hervorragend gesicherte Clouds sind nicht unfehlbar.
Seriöse Cloud-Dienste bieten sehr hohe Sicherheitsstandards. Dass es trotz aller Akribie und Expertise auch hier zu Ausfällen kommen kann, zeigte sich Anfang November im DATEV-Rechenzentrum. An zwei aufeinanderfolgenden Tagen kam es zu Serverausfällen und Fehlern bei der Belegverarbeitung.
Die Ursache bestand nicht – wie zunächst vielfach vermutet – in einem Angriff, sondern in zwei unglücklich zusammentreffenden Softwarefehlern. Ihre Auswirkungen erschwerten auch die breite Kommunikation der Störung.
Learning: Eine 100 %ige Ausfallsicherheit gibt es nicht, nicht einmal bei zu Recht sehr renommierten Diensten. Überlegen Sie daher auch bei hohen Erwartungen an einen Dienst, wie Sie am besten auf einen kurzfristigen Ausfall reagieren könnten.
Zusatztipp: Verringern Sie mögliche Cybervorfälle durch einen sicherheitsbewussten Umgang mit Ihrer Cloud.
5. Auch Smartphones sind für Cyberkriminelle interessant.
Aus technischen Gründen sind Smartphones für Cyberkriminelle eine Herausforderung. 2021 kamen jedoch besonders viele Nutzerinnen und Nutzer mit Kompromittierungsversuchen in Kontakt – in Form von SMS.
Die Nachrichten stammten häufig von einem vermeintlichen Paket-Zustellservice und forderten zum Download einer App auf. Angeblich um eine Sendung zu verfolgen. Doch bei dieser App handelte es sich um Schadsoftware, unter anderem um Banking-Trojaner wie TeaBot.
Über solche Schadsoftware-Apps können Cyberkriminelle u.a. den Bildschirm eines Smartphones live streamen, Eingaben aufzeichnen und SMS anfangen – zum Beispiel beim Online-Banking. Allerdings können Cyberkriminelle diese Apps nicht aus der Ferne auf einem Smartphone installieren. Daher versuchen sie, die Nutzerinnen und Nutzer z. B. per SMS dazu zu bringen.
Learning: Installieren Sie möglichst nur Apps aus offiziellen Quellen, also aus den offiziellen App Stores oder direkt vom Anbieter. Ignorieren Sie entsprechende Links in SMS und nehmen Sie immer bewusst den Umweg über den App Store oder den Anbieter.
Zusatztipp: Detaillierte Informationen zu den Strategien der Cyberkriminellen und wie Sie sich davor schützen, finden Sie in unserem Blogpost zum Thema Smishing.