Cybersicherheit | IT-Schutz | Tipps und Trends
Mit 2021 liegt ein turbulentes Jahr hinter uns – auch was das Thema Cybersicherheit angeht. Was kann man aus den Ereignissen für 2022 lernen? Das verraten wir in diesem Blogartikel.
1. Emotet ist leider noch nicht besiegt.
Anfang 2021 lautete die gute Nachricht: Die Infrastruktur des Makrovirus-Trojaners Emotet ist zerstört. Bis zu diesem Zeitpunkt hatte die gefährlichste Schadsoftware der Welt bereits Kosten in Millionenhöhe verursacht. Weltweit beziffert sich der Schaden, der durch Emotet verursacht wurde, sogar auf geschätzten 2,1 Milliarden Euro.
Das Erkennungszeichen von Emotet waren täuschend echt wirkende E-Mails, die zumeist in einem Anhang bösartige Software enthielten. Einmal installiert war Emotet in der Lage, weitere Schadprogramme auf die befallenen Rechner zu laden.
Die Zerschlagung von Emotet war jedoch leider nicht endgültig. Seit Ende 2021 werden erneut Emotet-Aktivitäten beobachtet, unter anderem der Versand gefälschter E-Mails. Wie bisher zitiert Emotet dabei z. T. echte vorausgegangene E-Mails. Höchste Wachsamkeit ist also wieder geboten bei allen E-Mails, die Office-Dokumente mit aktiven Inhalten (Makros) enthalten, passwortgeschützte ZIP-Archiven oder Links.
Learning: Der kritische Umgang mit E-Mails und ihren Inhalten sowie Anhängen bleibt überaus wichtig. Emotet macht das Erkennen gefälschter E-Mails besonders schwer, daher ist höchste Aufmerksamkeit gefragt.
Zusatztipps: In dieser Gefahrenwarnung zu Emotet erfahren Sie mehr über die Schadsoftware und worauf Sie achten sollten.
Als Makrovirus-Trojaner wird Emotet häufig über Office-Dokumente verbreitet. Hier finden Sie wichtige Hinweise zum umsichtigen Umgang mit solchen Dokumenten.
2. Auch das kleinste Unternehmen ist für Cyberkriminelle interessant.
2021 wurden mehrere Sicherheitslücken bekannt, die weltweit Unternehmen aller Größen betrafen. Dabei ging es zum einen um kritische Schwachstellen in den häufig verwendeten Microsoft Exchange-Servern. Zum anderen wurden Sicherheitslücken in der Java Bibliothek Log4j entdeckt. Diese ist ein Bestandteil vieler Programme und daher weit verbreitet. Cyberkriminelle können diese Sicherheitslücken sehr leicht ausnutzen. Sie suchen im Internet gezielt nach entsprechenden Servern und Rechnern. Zum Beispiel um Daten zu stehlen, Ransomware zu installieren oder Cryptojacking zu betreiben.
Für solche Angriffe waren und sind auch kleinste Unternehmen interessant. Denn auch sie haben kriminell verwertbare Daten. Auch sie sind auf eine funktionierende IT angewiesen, so dass sich eventuell Lösegelder erpressen lassen. Und auch sie besitzen Rechnerressourcen, die zum Schürfen von Kryptowährungen missbraucht werden können.
Generell gilt: Je einfacher Angriffe auszuführen sind, desto gefährdeter sind auch kleine Unternehmen, bei denen es vermeintlich „nichts zu holen gibt“. Denn viele erfolgreiche kleine Angriffe bedeuten für die Cyberkriminellen in der Summe beachtliche Gewinne.
Learning: Achten Sie penibel darauf, dass Ihr gesamtes System immer auf dem neuesten Stand bleibt – egal wie klein Ihr Unternehmen ist. Installieren Sie alle Patches und Updates unverzüglich. Da viele unterschiedliche Programme Log4j nutzen, kann jedes einzelne Update entscheidend sein. Falls Sie Microsoft Exchange-Server verwenden, überprüfen Sie diese gesondert.
Zusatztipp: Unser Blogpost „Gehackt – was nun?“ hilft Ihnen dabei, die Schäden bei Angriffen auf Ihr System möglichst gering zu halten.
3. Nach einer Ransomware-Lösegeldzahlung werden selten alle Daten wiederhergestellt.
Eine große, internationale Umfrage zeigte, was bei Perseus bisher Erfahrungswissen war: Lösegeldzahlungen sind leider keine Garantie dafür, dass erpresste Unternehmen ihre Daten vollständig zurückerhalten. Im Gegenteil, nur bei 8 % war dies der Fall. Warum? Unter anderem weil für einige Ransomware gar kein Entschlüsselungsprogramm existiert. Bei anderen funktioniert die Entschlüsselung aufgrund von Softwarefehlern nicht oder nicht vollständig.
Unserer Meinung nach müssen alle Unternehmen über diesen Umstand informiert sein – insbesondere angesichts der häufig exorbitant hohen Lösegeldsummen. So wurden z. B. im letzten Jahr nach dem Cyberangriff auf MediaMarktSaturn 240 Millionen Dollar Lösegeld gefordert, die Berichten zufolge auf 50 Millionen Dollar heruntergehandelt werden konnten. Ob MediaMarktSaturn bezahlte ist unbekannt. Aber selbst eine Woche nach dem Angriff herrschte in den Filialen noch kein Normalbetrieb.
Learning: Setzen Sie auf aktuelle Backups, um Ihre Daten auch im Falle eines Ransomware-Angriffs vollständig wiederherstellen zu können. Bewahren Sie immer mindestens ein Backup physisch getrennt von Ihrem System auf, damit es bei einem Angriff nicht ebenfalls verschlüsselt wird.
Zusatztipp: Fertigen Sie mehrere Backups nach der 3-2-1-Strategie an.
4. Auch hervorragend gesicherte Clouds sind nicht unfehlbar.
Seriöse Cloud-Dienste bieten sehr hohe Sicherheitsstandards. Dass es trotz aller Akribie und Expertise auch hier zu Ausfällen kommen kann, zeigte sich Anfang November im DATEV-Rechenzentrum. An zwei aufeinanderfolgenden Tagen kam es zu Serverausfällen und Fehlern bei der Belegverarbeitung.
Die Ursache bestand nicht – wie zunächst vielfach vermutet – in einem Angriff, sondern in zwei unglücklich zusammentreffenden Softwarefehlern. Ihre Auswirkungen erschwerten auch die breite Kommunikation der Störung.
Learning: Eine 100 %ige Ausfallsicherheit gibt es nicht, nicht einmal bei zu Recht sehr renommierten Diensten. Überlegen Sie daher auch bei hohen Erwartungen an einen Dienst, wie Sie am besten auf einen kurzfristigen Ausfall reagieren könnten.
Zusatztipp: Verringern Sie mögliche Cybervorfälle durch einen sicherheitsbewussten Umgang mit Ihrer Cloud.
5. Auch Smartphones sind für Cyberkriminelle interessant.
Aus technischen Gründen sind Smartphones für Cyberkriminelle eine Herausforderung. 2021 kamen jedoch besonders viele Nutzerinnen und Nutzer mit Kompromittierungsversuchen in Kontakt – in Form von SMS.
Die Nachrichten stammten häufig von einem vermeintlichen Paket-Zustellservice und forderten zum Download einer App auf. Angeblich um eine Sendung zu verfolgen. Doch bei dieser App handelte es sich um Schadsoftware, unter anderem um Banking-Trojaner wie TeaBot.
Über solche Schadsoftware-Apps können Cyberkriminelle u.a. den Bildschirm eines Smartphones live streamen, Eingaben aufzeichnen und SMS anfangen – zum Beispiel beim Online-Banking. Allerdings können Cyberkriminelle diese Apps nicht aus der Ferne auf einem Smartphone installieren. Daher versuchen sie, die Nutzerinnen und Nutzer z. B. per SMS dazu zu bringen.
Learning: Installieren Sie möglichst nur Apps aus offiziellen Quellen, also aus den offiziellen App Stores oder direkt vom Anbieter. Ignorieren Sie entsprechende Links in SMS und nehmen Sie immer bewusst den Umweg über den App Store oder den Anbieter.
Zusatztipp: Detaillierte Informationen zu den Strategien der Cyberkriminellen und wie Sie sich davor schützen, finden Sie in unserem Blogpost zum Thema Smishing.
Cyber security | IT protection | Tips and trends
With 2021 behind us, we can look back on a turbulent year – also in terms of cybersecurity. What lessons can we learn from the events of 2021 for 2022? We reveal all in this blog article.
1. Emotet has unfortunately not yet been defeated.
At the beginning of 2021, the good news was that the infrastructure of the Emotet macro virus Trojan had been destroyed. By that point, the world’s most dangerous malware had already caused millions in damage. Worldwide, the damage caused by Emotet is estimated at 2.1 billion euros.
Emotet’s hallmark was deceptively genuine-looking emails, most of which contained malicious software in an attachment. Once installed, Emotet was able to download further malware onto the infected computers.
Unfortunately, however, Emotet was not completely destroyed. Since the end of 2021, Emotet activity has been observed again, including the sending of fake emails. As before, Emotet sometimes quotes genuine previous emails. The highest level of vigilance is therefore once again required for all emails containing Office documents with active content (macros), password-protected ZIP archives or links.
Learnings: It remains extremely important to treat emails and their contents and attachments with caution. Emotet makes it particularly difficult to detect fake emails, so the highest level of vigilance is required.
Additional tips: In this Emotet threat alert, you can find out more about the malware and what you should look out for.
As a macro virus Trojan, Emotet is often spread via Office documents. Here you will find important information on how to handle such documents with caution.
2. Even the smallest companies are of interest to cybercriminals.
In 2021, several security vulnerabilities were discovered that affected companies of all sizes worldwide. These included critical vulnerabilities in the widely used Microsoft Exchange servers. Security vulnerabilities were also discovered in the Java library Log4j. This is a component of many programmes and is therefore widely used. Cybercriminals can exploit these security vulnerabilities very easily. They search the internet specifically for relevant servers and computers. For example, to steal data, install ransomware or engage in cryptojacking.
Even the smallest companies were and still are attractive targets for such attacks. This is because they too have data that can be exploited by criminals. They are also dependent on functioning IT systems, which means that ransom money can potentially be extorted from them. And they also have computing resources that can be misused for mining cryptocurrencies.
As a general rule, the easier attacks are to carry out, the more vulnerable small businesses are, even if they appear to have ‘nothing to steal’. This is because many successful small attacks add up to considerable profits for cybercriminals.
Learnings: Make sure that your entire system is always up to date, no matter how small your business is.
Install all patches and updates immediately. Since many different programmes use Log4j, every single update can be crucial. If you use Microsoft Exchange servers, check them separately.
Additional tip: Our blog post ‘Hacked – what now?’ will help you minimise the damage caused by attacks on your system.
3. After paying a ransomware ransom, all data is rarely restored.
A large international survey confirmed what Perseus already knew from experience: unfortunately, paying ransoms does not guarantee that blackmailed companies will get all their data back. On the contrary, this was only the case in 8% of cases. Why? Among other things, because no decryption program exists for some ransomware. In other cases, decryption does not work or does not work completely due to software errors.
In our opinion, all companies need to be aware of this fact – especially given the often exorbitantly high ransom demands. For example, last year, after the cyberattack on MediaMarktSaturn, a ransom of $240 million was demanded, which according to reports was negotiated down to $50 million. It is not known whether MediaMarktSaturn paid. But even a week after the attack, normal operations had not yet resumed in the stores.
Learnings: Rely on up-to-date backups so that you can completely restore your data even in the event of a ransomware attack. Always keep at least one backup physically separate from your system so that it is not also encrypted in the event of an attack.
Additional tip: Make multiple backups using the 3-2-1 strategy.
4. Even excellently secured clouds are not infallible.
Reputable cloud services offer very high security standards. However, despite all the meticulousness and expertise involved, failures can still occur, as was demonstrated at the DATEV data centre in early November. On two consecutive days, there were server failures and errors in document processing.
Contrary to initial assumptions, the cause was not an attack, but two unfortunate coinciding software errors. Their effects also made it difficult to communicate the disruption to a wide audience.
Learnings: There is no such thing as 100% reliability, not even with highly reputable services. Therefore, even if you have high expectations of a service, consider how you could best respond to a short-term outage.
Additional tip: Reduce potential cyber incidents by using your cloud in a security-conscious manner.
5. Smartphones are also of interest to cybercriminals.
For technical reasons, smartphones are a challenge for cybercriminals. However, in 2021, a particularly large number of users came into contact with attempts to compromise their devices – in the form of text messages.
The messages often came from a supposed parcel delivery service and asked users to download an app. Supposedly to track a shipment. But this app was malware, including banking Trojans such as TeaBot.
Cybercriminals can use such malware apps to live stream a smartphone screen, record keystrokes and send text messages – for example, when online banking. However, cybercriminals cannot install these apps remotely on a smartphone. They therefore try to persuade users to do so themselves, e.g. via text message.
Learnings: Only install apps from official sources, i.e. from official app stores or directly from the provider. Ignore any links in text messages and always take the detour via the app store or the provider.
Additional tip: You can find detailed information about cybercriminals‘ strategies and how to protect yourself against them in our blog post on smishing.