Emo­tet rich­tet seit gerau­mer Zeit erheb­li­chen Scha­den an. Und es trifft nicht nur die Klei­nen. Der Hei­se-Ver­lag (als eines der pro­mi­nen­ten Opfer) stellt einen Online-Ser­vice zur Ver­fü­gung, um den eige­nen Mail­ser­ver und hof­fent­lich vor­han­de­ne Schutz­soft­ware auf den Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen zu testen.

Der Ser­vice funk­tio­niert ganz ein­fach. Zuerst wählt man die Art der Test-Email aus. Zur Aus­wahl ste­hen z.B. Anhän­ge als EXE-Datei oder Office-Doku­men­te mit und ohne Makros. Nach Ein­ga­be der eige­nen Email-Adres­se erhält man eine Akti­vie­rungs­mail. Erst wenn der Link in die­ser Akti­vie­rungs­mail geklickt wird, erfolgt der eigent­li­che Ver­sand der Email mit dem Datei-Anhang an die zuvor hin­ter­leg­te Email-Adres­se. Nach weni­gen Sekun­den schlägt die­se Test-Email auf dem eige­nen Mail-Ser­ver auf. Und jetzt zeigt sich, ob Ihr Mail­ser­ver und die Schutz­soft­ware so reagie­ren wie Sie sol­len. Cle­ve­re Instal­la­tio­nen unter­bin­den z.B. den Emp­fang von DOC Doku­men­ten und neh­men ledig­lich DOCX Doku­men­te an. Ande­re unter­sa­gen direkt jede Art von Office-Doku­ment, als Alter­na­ti­ve bleibt nur PDF. Sie kön­nen anhand der unter­schied­li­chen Datei-Anhän­ge bei der Aus­wahl der Test-Email prü­fen, ob Ihre Kon­fi­gu­ra­ti­on so funk­tio­niert wie sie soll. Bei uns tut sie das 🙂

Hin­weis: Bit­te for­dern Sie in Ihrem Fir­men­netz nicht ohne Rück­spra­che mit Ihrem Admi­nis­tra­tor nun zuhauf die­se Test-Emails an. Betrei­ben Sie einen eige­nen Mail­ser­ver, ist das natür­lich eine ande­re Sache. Inter­es­sant viel­leicht auch zu erfah­ren, was Ihr pri­va­ter Mail-Pro­vi­der an Schutz­maß­nah­men bie­tet — wenn er denn über­haupt wel­che bietet.

Link zum Hei­se-Check (exter­ner Link)

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

aboutpixel.de / Geldfalle © Rainer Sturm

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutschland).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­wa­re. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­coins. Und das Geschäft boomt.

Ein Klick genügt — Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeichnet.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich Win­dows-Sys­te­me einer Angriffs­wel­le durch einen Kryp­to-Tro­ja­ner aus­ge­setzt. Der hieß damals Tes­lacrypt. Aktu­ell ist Ver­si­on 3, gegen den kein Kraut gewach­sen ist. Für die Ver­sio­nen 1 und 2 gab es nach eini­ger Zeit wirk­sa­me Ent­schlüs­se­lungs­tools. Aktu­ell ist Locky der bekann­tes­te Vertreter.

Kryp­to-Tro­ja­ner sind sehr heim­tü­ckisch. Wur­den die­se zu Beginn allei­ne durch prä­pa­rier­te Email-Anhän­ge (zumeist Office Doku­men­te mit Makro Code) in die Welt gestreut, sind Infek­tio­nen mitt­ler­wei­le auch durch soge­nann­te Dri­ve By Down­loads mög­lich. Es reicht der Besuch einer infi­zier­ten Web­sei­te und eine dazu­ge­hö­ri­ge Schwach­stel­le im Brow­ser oder Flash Plugin und der Spaß geht los. Exper­ten rech­nen damit, dass zeit­nah noch wei­te­re Infek­ti­ons­mög­lich­kei­ten am Start sein wer­den. Dazu wer­den die Tro­ja­ner auch immer wei­ter entwickelt.

Ein­mal aktiv, beginnt der Kryp­to-Tro­ja­ner mit der Ver­schlüs­se­lung einer sehr lan­gen Lis­te an Datei­en. Und das nicht nur auf der loka­len Fest­plat­te, son­dern auch auf allen kon­nek­tier­ten Netz­lauf­wer­ken und Frei­ga­ben. Auch ver­link­te Cloud-Spei­cher sind betrof­fen. Eben­so ist das Über­sprin­gen von einem Gerät auf das nächs­te über­haupt kein Pro­blem mehr. Die ein­zi­ge War­nung, die der Nut­zer erhal­ten kann, ist eine ver­mehr­te Fest­plat­ten­ak­ti­vi­tät zu Beginn. Je nach Aus­brei­tung im inter­nen Netz kön­nen auch Stö­run­gen bei Datei­zu­grif­fen durch die Nut­zer ein Warn­si­gnal sein.

Ist der Kryp­to-Tro­ja­ner mit sei­ner Arbeit fer­tig, prä­sen­tiert er in der pas­sen­den Lan­des­spra­che (Locky übri­gens in per­fek­tem Deutsch) eine über­haupt nicht wit­zi­ge Nachricht:

!!!! WICHTIGE INFORMATIONEN !!!!
Alle Datei­en wur­den mit RSA-2048 und AES-128 Zif­fern verschlüsselt.
Die Ent­schlüs­se­lung Ihrer Datei­en ist nur mit einem pri­va­ten Schlüs­sel und einem Ent­schlüs­se­lungs­pro­gramm, wel­ches sich auf unse­rem Ser­ver befin­det, möglich.

Eine Frei­schal­tung oder genau­er Ent­schlüs­se­lung ist dann nur noch gegen Zah­lung von Bit­coins mög­lich. Das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) rät von der Zah­lung ab. Man kön­ne sich nicht sicher sein, ob die Hacker danach wirk­lich die pas­sen­den Schlüs­sel für die Ent­schlüs­se­lung her­aus­rü­cken. Eini­ge Unter­neh­men aus den USA (News-Mel­dung) und Deutsch­land (Video-Bei­trag) haben gezahlt, und die indi­vi­du­el­len Schlüs­sel funktionierten.

Da der Tro­ja­ner jedoch sehr gut pro­gram­miert ist, ver­wen­det er auch für jedes befal­le­ne Gerät einen neu­en Schlüs­sel. Und damit sind die Schlüs­sel zur Ent­schlüs­se­lung nicht über­trag­bar. Es muss also wirk­lich für jedes Gerät mit Anzei­ge der Ver­schlüs­se­lung ein eige­ner Schlüs­sel gekauft werden.

Ist die eige­ne Orga­ni­sa­ti­on betrof­fen, muss man den Kopf nicht hän­gen las­sen. Man befin­det sich in bes­ter Gesell­schaft. Kran­ken­häu­ser sind nur noch per Free­mail-Adres­se erreich­bar, ver­schie­ben Ope­ra­tio­nen und ver­wei­sen nicht aku­te Fäl­le in der Not­auf­nah­me an ande­re Ein­rich­tun­gen. Das Fraun­ho­fer-Insti­tut hiss­te vor kur­zem eben­falls die wei­ße  Flag­ge, 60 Arbeits­plät­ze vollverschlüsselt.

Aktu­ell geht eine sehr gut gemach­te Warn­mel­dung durch die Email-Ver­tei­ler (Scherz­kek­se haben die­se sogar in sozia­len Netz­wer­ken geteilt). Dar­in warnt angeb­lich das BKA vor der Locky-Infek­ti­on. Und bie­tet umge­hend im Anhang das BKA Locky Remo­val Tool zur Besei­ti­gung der Infek­ti­on an. Wer den Anhang star­tet, holt sich — was Wun­der — einen Tro­ja­ner ins Sys­tem. Glück­li­cher­wei­se ein alter Bekann­te, gute Scan­ner mit aktu­el­len Signa­tu­ren mis­ten den Schad­code sofort wie­der aus.

Was kön­nen Sie in Ihrer Orga­ni­sa­ti­on tun, um bes­ser gegen Locky & Co gewapp­net zu sein? Ein fata­lis­ti­scher Rat auf einer Ver­an­stal­tung vor­ges­tern lau­te­te: beten. Es geht aber dann doch etwas mehr:

 

  • Mög­lichst Ver­zicht auf Soft­ware, die für Anfäl­lig­kei­ten von (Zero-Day-) Sicher­heits-Lücken bekannt ist, wie bei­spiels­weise Ado­be Flash
  • Betriebs­sys­te­me und Anwen­dun­gen stets aktu­ell mit Patches und Secu­ri­ty Fixes versorgen
  • Gerä­te auf denen das nicht mög­lich ist, mög­lichst in getrenn­ten Netz­seg­men­ten und /​ oder gar nicht mit Inter­net­an­schluß betreiben
  • Kein Sys­tem ohne Viren­schutz mit regel­mä­ßi­ger, im Zwei­fel stünd­li­cher Aktua­li­sie­rung der Signa­tu­ren (Ach­tung: auch mobi­le Gerä­te berücksichtigen!)
  • Back­up-Stra­te­gie prü­fen, im Zwei­fel vor­über­ge­hend kür­zere Siche­rungs­in­ter­val­le einrichten
  • Siche­rungs­me­di­en nach erfolg­tem Back­up aus dem Netz entfernen!
  • Schu­len und sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ter kon­ti­nu­ier­lich. Es emp­feh­len sich auch Zwi­schen­be­rich­te bei­spiels­weise per Rund­mail, wenn sich neue Bedro­hungs­la­gen erge­ben — durch­aus täg­lich oder öfter. Auch wenn es nervt, die größ­te Gefahr sind momen­tan unbe­dach­te Hand­lun­gen durch Mit­ar­bei­ter. Also lie­ber ein mal mehr das The­ma ange­spro­chen als zu wenig.
  • Ver­fü­gen Sie über ent­spre­chende Mög­lich­kei­ten der Sys­tem­ver­hal­tens­ana­ly­se, so kon­fi­gu­rie­ren Sie die­se auf Sym­pto­me wie “vie­le Datei­zu­grif­fe inner­halb kur­zer Zeitspannen”.
  • Nut­zen Sie Funk­tio­nen, Sys­te­me mit sol­chen Auf­fäl­lig­kei­ten im Zwei­fel sofort vom Netz zu nehmen.
  • Wenn mög­lich, set­zen Sie Email-Anhän­ge auto­ma­ti­siert in Qua­ran­tä­ne. Der Anwen­der kann bei Bedarf den Anhang anfor­dern. Das ist zwar im Moment etwas auf­wen­di­ger, aber lan­ge nicht so zeit­in­ten­siv, wie wenn Sie sich mit dem Befall durch Ran­som­wa­re aus­ein­an­der­set­zen müssen.


Mit die­sen Maß­nah­men haben Sie lei­der immer noch kei­nen 100%-igen Schutz gegen Ran­som­wa­re, aber das Risi­ko des Ein­tritts ist zumin­dest gesenkt.

Bedau­er­li­cher­wei­se ent­wi­ckeln sich die Vari­an­ten von Locky & Co per­ma­nent wei­ter. Das Geschäfts­mo­dell der Ent­wick­ler geht auf. Bis­her sind alle Ver­su­che geschei­tert, die Ver­ur­sa­cher zu iden­ti­fi­zie­ren. Und die­se müs­sen sich wirk­lich sicher füh­len. So sind mitt­ler­wei­le Ver­sio­nen gesich­tet (unbe­stä­tigt), die nicht nur einen Link zu einem Video ent­hal­ten “Wie besor­ge ich mir Bit­coins zur Zah­lung des Löse­gelds”, son­dern es wird auch ein Text­chat ange­bo­ten. Wie dreist ist das denn?

Und in den Nach­rich­ten? “Spocht” (Grü­ße von RTL Sams­tag Nacht)

Ich wün­sche uns allen ein gutes Gelin­gen in der Abwehr der aktu­el­len Bedrohungswelle
Ihr Sascha Kuhrau

PS: Übri­gens gibt es neben unse­rem Fach­blog Daten­schutz seit kur­zem auch einen Blog zur Infor­ma­ti­ons- und IT-Sicher­heit. Dort erfah­ren Sie mehr über die aktu­el­le Bedro­hungs­la­ge und die Mög­lich­kei­ten, sich dage­gen zu schüt­zen. Oder Sie tra­gen sich dort gleich in den Sicher­heits-News­let­ter ein, um stets auf dem Lau­fen­den zu bleiben.

Das Lukas­kran­ken­haus in Neuss wur­de von einem Kryp­to-Tro­ja­ner befal­len. Aus­ge­löst hat die Ver­schlüs­se­lung aller Datei­en wohl ein unvor­sich­ti­ger Mit­ar­bei­ter, der einen infi­zier­ten Email-Anhang öff­ne­te. Die Sys­te­me wur­den run­ter­ge­fah­ren, Ope­ra­tio­nen ver­scho­ben. Mehr lesen Sie auf unse­rem Blog zur Informationssicherheit.

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhrau als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung /​ Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter anderem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehlverhalten

  • Scha­den­er­satz und Haftung
  • Straf- und Bußgeldvorschriften

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E‑Mail und Internet
  • IT-Pro­to­kol­lie­rung und Auswertung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­beiterfo­tos auf der Webseite
  • Ein­sicht­nah­me in per­sön­li­che E‑Mail-Kon­ten und Ablagen
  • Lega­le Kon­trol­len und inter­ne Ermittlungen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medien
  • Impres­sum und Datenschutzerklärung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Computing)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhrau von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erhoben)

aboutpixel.de / aus dem dunkel...... © walter dannehl

Es hat nicht lan­ge gedau­ert und schon schall­te es aus den bekann­ten poli­ti­schen Lagern Die Vor­rats­da­ten­spei­che­rung muss her. Ohne die­se sei­en die abscheu­li­chen Anschlä­ge in Paris zukünf­tig nicht zu ver­hin­dern, die Sicher­heit der Repu­blik gar in Gefahr. Man kann es nicht mehr hören.

Ger­ne wird dabei ein wich­ti­ger Punkt unter­schla­gen: Frank­reich hat die Vor­rats­da­ten­spei­che­rung, sogar für 12 Mona­te. Genutzt hat die­se jedoch rein gar nichts. Die Atten­tä­ter waren bekannt und den­noch konn­ten die­se schreck­li­chen Taten began­gen wer­den. “Die Vor­rats­da­ten­spei­che­rung jetzt zu for­dern, ist nicht ziel­füh­rend, son­dern eine Instru­men­ta­li­sie­rung der Ereig­nis­se”, so die Obfrau der Grü­nen im Bun­des­tags-Innen­aus­schuss, Ire­ne Miha­lic. Ande­re Stim­men bezeich­nen For­de­run­gen, z.B. aus dem Lager der CSU als “übli­chen Reflex”.

Edward Snow­den hat Mit­te 2014 Unter­la­gen vor­ge­legt, aus denen her­vor­ging, die Atten­tä­ter von 9/​11 waren den Sicher­heits­be­hör­den bekannt. Es sol­len rele­van­te Infor­ma­tio­nen und Daten vor­ge­le­gen haben, die auf ein mög­li­ches Atten­tat hin­wie­sen. Doch konn­ten die­se nicht rich­tig ver­knüpft und inter­pre­tiert wer­den. Eine Fol­ge der mas­sen­haf­ten Spei­che­rung von Daten.

Bun­des­in­nen­mi­nis­ter Hei­ko Maas lehnt daher die For­de­rung nach einer Vor­rats­da­ten­spei­che­rung und ihrer Aus­wei­tung kon­se­quent ab. Sein nach­voll­zieh­ba­rer Vor­schlag mit Augen­maß: mehr mate­ri­el­le und per­so­nel­le Unterstützung.