BSI warnt vor GermanWiper: Löschen statt Verschlüsseln ist die Devise dieses Trojaners

Wer aktu­ell eine Bewer­bung per Email erhält, soll­te beson­ders wach­sam sein. Hat­ten auf Stel­len­an­zei­gen hin prä­pa­rier­te Kryp­to-Tro­ja­ner wie Gol­den Eye damals das Ver­schlüs­seln aller Daten auf dem Ziel­sys­tem im Sinn, sieht das bei Ger­man­Wi­per nun anders aus. Statt Ver­schlüs­se­lung greift die­se neue Ran­som­wa­re zum Löschen aller Daten. Im ange­häng­ten ZIP-Archiv befin­det sich die­ses Mal kein Word-Doku­ment mit Makros, son­dern eine Win­dows-Link-Datei. Wird die­se gestar­tet, öff­net sich die Win­dows Power­shell und der eigent­li­che Schad­code von Ger­man­Wi­per wird gela­den und aus­ge­führt. Lt. BSI gibt der Text der Email noch kei­nen Anlass zum Arg­wohn. Unbe­darf­te bzw. unsen­si­bi­li­sier­te Anwen­der dürf­ten also durch­aus eine Risi­ko­grup­pe für die­sen Angriff darstellen.

Hof­fen auf eine Löse­geld­for­de­rung nach mög­li­cher Bit­co­in-Löse­geld­zah­lung braucht man bei Ger­man­Wi­per nicht. Denn statt zur Ver­schlüs­se­lung zu grei­fen, löscht Ger­man­Wi­per ein­fach alle Daten im Rah­men der Zugriffs­rech­te des Anwen­ders. Gelöscht wird nicht mit dem klas­si­schen Ver­schie­ben in den Papier­korb und anschlie­ßen­dem Lee­ren des Papier­korbs. In die­sem Fall wären die Daten meist mit mehr oder weni­ger Auf­wand wie­der­her­stell­bar. Ger­man­Wi­per über­schreibt vor­han­de­ne Daten mit Nul­len. Per­fi­de: Am Ende zeigt Ger­man­Wi­per doch einen Löse­geld­bild­schirm an. Dar­auf ein­ge­hen, soll­te man jedoch nicht. Denn die von Ger­man­Wi­per gelösch­ten Daten kön­nen auch nach Zah­lung von Löse­geld nicht mehr wie­der­her­ge­stellt werden.

Wohl dem, der ein funk­ti­ons­fä­hi­ges und regel­mä­ßig geprüf­tes Back­up sei­ner Daten hat. Die­ses soll­te selbst­ver­ständ­lich „off­line“ sein, also durch einen Angriff wie mit Ger­man­Wi­per nicht erreich­bar sein. Berech­ti­gungs­kon­zep­te soll­ten nach dem least pri­vi­le­ge Prin­zip umge­setzt sein (nur so vie­le Zugriffs­rech­te wie zwin­gend not­wen­dig). Exter­ne Lauf­wer­ke aber auch Netz­lauf­wer­ke soll­ten wirk­lich nur im Fall der Daten­si­che­rung ver­bun­den sein und danach wie­der getrennt wer­den. Eine Grund­an­for­de­rung ist eben­falls: Ein Admi­nis­tra­tor surft mit sei­nen erwei­ter­ten Rech­ten nicht im Inter­net und liest damit auch kei­ne Emails. Für die­se Tätig­kei­ten steht ein ein­ge­schränk­ter Account zur Verfügung.

Im Rah­men eines Infor­ma­ti­ons­si­cher­heits­kon­zepts aber auch bei regel­mä­ßig durch den Daten­schutz­be­auf­trag­ten geprüf­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men soll­te dies gewähr­leis­tet sein. Auch regel­mä­ßi­ge Tests zur Daten­wie­der­her­stel­lung (Reco­very-Tests) hel­fen, die­sem Risi­ko zu begeg­nen. Viel­leicht wäre es auch ein guter Zeit­punkt, die schon eine Wei­le zurück­lie­gen­de Sen­si­bi­li­sie­rung der Mit­ar­bei­ter nachzuholen.

Sie ver­fü­gen noch über kei­nen Daten­schutz­be­auf­trag­ten? Mit einem Infor­ma­ti­ons­si­cher­heits­kon­zept wie dem BSI IT-Grund­schutz, ISIS12 oder der Vari­an­te „Arbeits­hil­fe“ für kleins­te Ein­rich­tun­gen haben Sie zwar schon gelieb­äu­gelt, aber noch nichts der­glei­chen umge­setzt? Dann spre­chen Sie uns ger­ne an. Ger­ne unter­stüt­zen wir Sie auch als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te mit unse­rem Team in Ber­lin, Sim­mels­dorf und Mün­chen und unse­rer über 10 Jah­re bewähr­ten Erfah­rung mit prag­ma­ti­schen Lösungen.