Behörden warnen vor Ransomware-Angriffen

Für die bevorstehenden Weihnachtsfeiertage besteht aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) ein erhöhtes Risiko für Cyber-Angriffe auf Unternehmen und Organisationen. Ursächlich hierfür ist der erneute Versand von Spamnachrichten mit der Schadsoftware Emotet sowie das aktive öffentliche Werben von Ransomware-Gruppierungen um kriminelle Mitstreiter.

Auch die weiterhin bestehende Verwundbarkeit vieler Microsoft-Exchange-Server in Deutschland erhöhe dieses Risiko. Das BSI sieht darin ein bedrohliches Szenario und rät Unternehmen und Organisation eindringlich, angemessene IT-Sicherheitsmaßnahmen umzusetzen.

Arne Schönbohm, BSI-Präsident, sieht deutliche Anzeichen für eine zunehmende Bedrohung durch Emotet sowie verwundbare MS-Exchange-Instanzen und daraus folgende Ransomware-Angriffe in Deutschland. Insbesondere Feiertage, Urlaubszeiten und auch Wochenenden wurden in der Vergangenheit wiederholt für solche Angriffe genutzt, da viele Unternehmen und Organisationen dann weniger reaktionsfähig seien. "Jetzt ist die Zeit, entsprechende Schutzmaßnahmen umzusetzen!"

Ransomware-Angriffe werden üblicherweise stufenweise durchgeführt. Nach einer initialen Infektion des Zielsystems, etwa durch Emotet oder unter Ausnutzung bestehender Schwachstellen, werden in einem weiteren Schritt meist andere Schadsoftware-Varianten nachgeladen. Sie dienen der Ausbreitung in den infizierten Netzwerken und schließlich der Verschlüsselung der Systeme. Diese Vorgänge werden oftmals von unterschiedlichen Tätergruppierungen durchgeführt, die in Dienstleistungsmodellen agieren.

Das Bundeskriminalamt spricht bei diesem Modell von "Cybercrime-as-a-Service". Erfolgreiche Angriffe mit Ransomware können für jedes Unternehmen existenzbedrohende Ausmaße annehmen, das BSI hat daher eine gesonderte Cyber-Sicherheitswarnung zu dieser Bedrohungslage veröffentlicht und auch an seine Zielgruppen versandt.

Ransomware-Fallzahlen nehmen weiter zu

Laut BKA Präsident Holger Münch zeichnet sich 2021 eine deutliche Zunahme der Fallzahlen bei Angriffen mit Ransomware ab. Dass Emotet nach dem Takedown Anfang 2021 wieder im Umlauf sei, lasse die Dynamik in diesem Deliktsbereich erkennen. Anfang des Jahres hatten Sicherheitsbehörden in einer international koordinierten Aktion die Command- und Control-Server hinter dem Emotet-Botnetz angegriffen und lahmgelegt. Daran beteiligt waren unter anderem Europol, FBI, und das Bundeskriminalamt. 

"Das aktive öffentliche Werben von Hackergruppierungen für ihr kriminelles Geschäftsmodell Cybercrime as a Service unterstreicht einmal mehr Professionalität und Vernetzungsgrad unseres Gegenübers", so der BKA-Chef Münch.

Darüber hinaus hat das BSI beobachtet, dass erneut zahlreiche verwundbare Instanzen des Microsoft-Kommunikationsservers Exchange in Deutschland über das Internet erreichbar sind. Grund hierfür ist oftmals mangelndes Patch-Verhalten der Betreiber - also das Schließen von Sicherheitslücken. Allerdings sind dem BSI auch mehrere Fälle bekannt, in denen die eingespielten Patches nicht die erhoffte Schutzwirkung gezeigt haben.

BSI und BKA raten angesichts der geschilderten Bedrohungslage dazu, neben präventiven Maßnahmen auch die Detektions- und Reaktionsfähigkeiten zu stärken. So sollten insbesondere funktionsfähige Back-ups vorgehalten werden und Notfallkonzepte vorbereitet und eingeübt sein. Das BSI hat dazu die wichtigsten Erste-Hilfe-Maßnahmen bei einem IT-Sicherheitsvorfall zusammengestellt.

Unabhängig davon gilt: Betroffene Unternehmen wie Privatpersonen sollten Strafanzeige bei ihrer örtlich zuständigen Polizeidienststelle oder den Zentralen Cybercrime Ansprechstellen für Unternehmen (ZAC) stellen. Nur so werde der tatsächliche Umfang dieses Kriminalitätsphänomens erkannt und es könne gegen die Täter vorgegangen werden.