von: Marcel Kühne, Oliver Nitschke, Adam Bartusiak | Lernlabor Cybersicherheit Energie- und Wasserversorgung

Name and Shame: Die Evolution von Ransomware

04. Mai 2020

Am Ostermontag wurde ein Ransomware-Angriff auf den portugiesischen Energiekonzern Energias de Portugal (EDP) öffentlich bekannt. Der Ablauf ist dabei normalerweise Folgender: Es werden wichtige Geschäftsdaten des Unternehmens verschlüsselt, so dass diese nicht mehr nutzbar sind. Zahlt das Unternehmen das geforderte Lösegeld, soll es im Gegenzug den notwendigen Schlüssel zur Wiederherstellung der Daten erhalten. Die Erpresser haben dabei eigentlich wenig Interesse an der Veröffentlichung des Vorgangs. Wenn überhaupt, geht das betroffene Unternehmen damit an die Öffentlichkeit. In diesem Fall ist es jedoch anders: Die Angreifer haben den Erpressungsversuch selbst bekannt gegeben.

© iStock

Was wir hier erleben, ist der nächste Schritt in der Entwicklung der Ransomware-Angriffe. Wir sehen den neuesten Fall eines Geschäftsmodells, das seit Ende 2019 beobachtet werden kann. Bestand die Strategie der Erpresser früher darin, die Freigabe der Daten und damit die schnelle Wiederherstellung der Geschäftsfähigkeit des Unternehmens in Aussicht zu stellen, werden jetzt gezielt geheime und geschäftskritische Informationen vor der eigentlichen Verschlüsselung auf die Systeme der Angreifer kopiert und in Folge dessen zusätzlich damit gedroht, diese bei Nichtzahlung des Lösegeldes zu veröffentlichen. Neben dem hohen finanziellen Schaden droht dem Unternehmen damit zusätzlich ein Reputationsschaden.

Diese neue Vorgehensweise baut zusätzlichen Druck auf, um die geforderte Lösegeldzahlung zu forcieren. Denn auch wenn beispielsweise in Deutschland die offizielle Empfehlung des BSI (Bundesamt für Sicherheit in der Informationstechnik) zum Umgang mit Lösegeldforderungen lautet, nicht zu zahlen, und auch wenn - wie in diesem Fall bei EDP - weder die Stromversorgung noch andere Teile der kritischen Infrastruktur betroffen sind, besteht weiterhin das Problem der gestohlenen Unternehmensdaten. Das kann nicht nur den Verlust des öffentlichen Ansehens zur Folge haben, sondern auch schwere strafrechtliche Konsequenzen für das Unternehmen und die Verantwortlichen. Folgt man dem bisherigen Muster der Ransomware "Ragnar Locker", bei der pro befallenem System 25 Bitcoins verlangt wurden, sind beim portugiesischen Energiekonzern EDP über 60 Systeme betroffen. Die damit verbundene Menge an geschäftskritischen Daten und folglich potentielle „Sprengkraft“ bei Veröffentlichung sind kaum vorstellbar.

Dieser Vorfall verdeutlicht einmal mehr die große Bedeutung von Cybersicherheit - nicht nur für den Energiesektor, sondern für alle Unternehmen. Gerade in den aktuellen Zeiten, in denen viele Mitarbeitende im „Homeoffice“ arbeiten, oft ungeplant und kurzfristig eingerichtet, ist die Gefahr von Cyberangriffen und der Stellenwert entsprechender Sicherheitsmaßnahmen zum Schutz der Unternehmenswerte umso größer.

Es zeigt sich zudem: Die Bedrohungslandschaft verändert sich permanent. Die Frage lautet daher: Können Sie mithalten? Kritische Infrastrukturen stehen dabei besonders im Fokus. Zum einen, weil hohe gesetzliche Anforderungen und Auflagen an diese bestehen und zum anderen, weil sie beliebte Ziele für Cyberangriffe darstellen. Speziell für Unternehmen im Bereich der Energie- und Wasserversorgung bieten wir ein Webinar an, welches die Gefahren durch Cyberangriffe aufzeigt und Ihre Mitarbeitende sensibilisiert. Die typischen Abläufe von Cyberangriffen werden anhand verschiedener Angriffsszenarien sowie unserer mobilen Schulungsplattform anschaulich erläutert und ermöglichen Ihnen, die Auswirkungen auf das eigene Unternehmen abzuschätzen. Außerdem lernen Sie die gesetzlichen Anforderungen sowie die vorhandenen Normen und Richtlinien zur Absicherung der eigenen Infrastrukturen kennen.

Weitere Informationen zum Webinar "IT-Sicherheit für die Energie- und Wasserversorgung" sowie die Möglichkeit zur Anmeldung finden Sie hier.