Cyber-Security

Kann VdS 3473 vor Locky & Co. schützen?



Von undefinedMark Semmler, Nürnberg

Locky

Locky ist eine Schadsoftware, die seit Mitte Februar 2016 aktiv ist und zur Familie der Ransomware (von engl. ransom = Lösegeld) gehört. Sie verschlüsselt gezielt die Daten der Opfer und bietet an, diese nach Zahlung eines Lösegelds wieder zu entschlüsseln. Locky sucht dazu zielgerichtet nach ca. 150 Dateiformaten wie Office-Dokumenten, Datenbanken, Quellcodes, Archiven und Zertifikaten auf dem befallenen System auch auf allen erreichbaren Windows-Freigaben im lokalen Netz.

Die von Locky verwendeten Verschlüsselungsverfahren RSA und AES gelten als hochsicher und können nach dem heutigen Stand der Technik nicht umgangen werden. Bis heute (09.03.2016) ist kein Weg bekannt, die von Locky verschlüsselten Dateien wieder zu entschlüsseln, ohne das Lösegeld zu zahlen.

Erfolgreiche Verbreitung innerhalb weniger Tage

Locky wurde in der ersten Infektionswelle wie viele andere Schädlinge per E-Mail verbreitet. Dazu wurden millionenfach E-Mails mit einem böswilligen Anhang versandt, der, wurde er vom Adressaten angeklickt, Locky aus dem Netz herunterlud und auf dem Rechner seines Opfers startete. Mittlerweile gibt es weitere Infektionswege. Es hat den Anschein, dass die Macher von Locky eine Art Franchise-System etablieren konnten, in welchem sie anderen Kriminellen für jede erfolgreiche Infektion eine Prämie zahlen.

Locky hat eine Vielzahl von Unternehmen befallen. Hierfür gibt es im Wesentlichen drei Gründe:

1.    Anti-Viren-Programme waren nutzlos

Antiviren verwenden hauptsächlich Suchmuster, um Schädlinge zu identifizieren. Bei seinem Ausbruch war Locky den Herstellern der Anti-Viren-Programme unbekannt, weshalb kein Muster existierte, mit dem er hätte erkannt und gestoppt werden können. Selbst nach dem Ausbruch dauerte es Stunden oder in einigen Fällen sogar Tage, bis die Anti-Viren-Programme mit einem entsprechenden Update versorgt wurden und Locky zuverlässig erkennen konnten. Dieser Umstand ist heute nicht ungewöhnlich. Schadsoftware wird aktuell so rasant hergestellt und verbreitet, dass viele Systeme bereits infiziert sind, bevor Anti-Viren-Programme angemessen schützen können.

2.    Ransomware ist schwer zu erkennen

Ransomware wie Locky verhält sich nicht wie herkömmliche Schadprogramme. Weder pflanzt sich Ransomware fort, noch versucht sie den Nutzer zu überwachen oder das befallene System umfangreich zu modifizieren, um z. B. ihre Entdeckung zu verhindern. Da diese zentralen Eigenschaften von Schadsoftware fehlen, kann Ransomware häufig auch Schutzprogramme unterlaufen können, die nicht mit Suchmustern arbeiten, sondern bereits bei verdächtigen Aktivitäten im Rechner Alarm schlagen.

3.    Die initiale Verbreitung von Locky erfolgte sehr geschickt

Wie bereits beschrieben, wurde Locky bei der ersten Infektionswelle über einen Mailanhang verbreitet. Während die meisten böswilligen Anhänge einfach ausführbare Programme sind, die in manchen Fällen noch komprimiert werden, um den Nutzer mit einer harmlosen Dateiendung (z. B. .zip) über ihre Natur zu täuschen, verwendete Locky eine Word- bzw. Excel-Datei, die mit einem Makro versehen war (Makros sind Anweisungen, die von Anwendungsprogrammen – in diesem Fall MS Office – ausgeführt werden). Die scheinbar harmlosen Dateien wurden von vielen Firewalls nicht als bösartig erkannt und in die Unternehmensnetze eingelassen. Dort täuschten sie sogar kritische Nutzer, die sie mit einem Doppelklick öffneten.

Hohe Schadensbilanz

Locky hat hohe Schäden verursacht. In der Gesamtschadensbilanz fällt das erpresste Lösegeld mit € 200,- bis € 800,- pro Opfer jedoch nicht besonders ins Gewicht. Gravierend sind hingegen die Kosten, die den Opfern durch den Ausfall ihrer Informationsverarbeitung entstanden sind. In einigen Fällen kommt außerdem ein umfangreicher Ansehens- und Vertrauensverlust hinzu, weil die Infektion mit Locky öffentlich bekannt wurde (bspw. bei mehreren Krankenhäusern und einem Forschungsinstitut).

Der Ausblick

Bis heute ist nur ein gutes Dutzend Ransomware aufgetaucht. Es ist aber abzusehen, dass die Erfolgsgeschichte von Locky schnell Nachahmer auf den Plan rufen wird. Es wird sicher mehr Schadsoftware dieses Typs auftauchen. Unternehmen sollten sich daher auf die Bedrohung durch Ransomware einstellen.

Locky & Co: Stresstest für VdS 3473!

Die VdS-Richtlinien 3473 wurden speziell für kleine und mittlere Unternehmen entwickelt. Sie sollen ihnen ein angemessenes Schutzniveau bieten, ohne sie finanziell oder organisatorisch zu überfordern. Zum Zeitpunkt der Veröffentlichung der VdS 3473 am 01.07.2015 war Ransomware als ernsthafte Bedrohung noch unbekannt. Vor diesem Hintergrund stellt sich die Frage, ob die VdS 3473 trotzdem in der Lage ist, Unternehmen vor Locky und anderer Ransomware wirkungsvoll zu schützen.

Herkömmliche Maßnahmen? Nicht ausreichend!

VdS 3473 schreibt einen Basisschutz vor, der flächendeckend implementiert werden muss. Darin sind auch jene Maßnahmen enthalten, die in der Vergangenheit umfassend vor Malware geschützt haben:

  • Um die Übernahme von IT-Systeme durch das Ausnutzen bekannter Sicherheitslücken zu vermeiden, schreibt Abschnitt 10.3.1 vor, dass „Sicherheitsupdates für die System- und Anwendungssoftware (…) getestet, bei Eignung freigegeben und nach ihrer Freigabe umgehend installiert werden“ müssen.
  • Besonders exponierte IT-Systeme oder IT-Systeme, bei denen „über das Netzwerk ausnutzbare Schwachstellen“ vorliegen, müssen laut Abschnitt 10.3.2 von der restlichen IT-Infrastruktur gekapselt werden, indem „der Netzwerkverkehr auf das für die Funktionsfähigkeit notwendige Minimum beschränkt wird“. Dadurch sollen auf unsicheren Systemen eingeschleppte Sicherheitsprobleme daran gehindert werden, sich in der IT-Infrastruktur zu verbreiten.
  • Schließlich müssen laut Abschnitt 10.3.5 „alle IT-Systeme über einen Schutz vor Schadsoftware verfügen“ und „täglich vollständig auf Anwesenheit von Schadsoftware untersucht werden“ (ein Echtzeitschutz, der alle Dateien auf die zugegriffen wird untersucht, wird nur empfohlen). Zusätzlich wird gefordert, dass das Ausführen erkannter Schadsoftware verhindert wird und sich die Anti-Viren-Software täglich updatet.

Diese Vorgaben sind sinnvoll und notwendig, da sie vor einer Vielzahl Malware schützen. Sie stellen das absolute Minimum dar, was ein Unternehmen umsetzen sollte, um sich gegen Malware zu schützen. Beim Auftreten einer noch unbekannten, über Mailanhänge verbreiteten Ransomware sind sie jedoch wirkungslos.

Konkreter Schutz auch vor Ransomware durch VdS 3473

Um bei diesem Typ Malware eine Infektion zu vermeiden, besteht die effizienteste (und häufig auch die einzig umsetzbare) Sicherheitsmaßnahme darin, die Mitarbeiter ausreichend zu schulen. Die VdS 3473 fordert in Abschnitt 8.2, dass „das betroffene Personal (...) zielgruppenorientiert über Gefährdungen aufgeklärt und im Umgang mit den vorhandenen Sicherheitsmaßnahmen geschult“ wird. Hierfür muss das Unternehmen ein Verfahren gemäß Anhang A.1 der Richtlinien etablieren. Dies bedeutet, dass die Schulungen und Sensibilisierungen vom Unternehmen „geplant, gesteuert und stetig verbessert“ werden müssen.

Wenn ein Unternehmen von Ransomware infiziert wurde, sorgen folgende Mechanismen der VdS 3473 für die Minimierung auftretender Schäden:

1.    Die Schadenshöhe wird bei Ransomware von der Art und der Menge der betroffenen Unternehmensdaten bestimmt. In der Praxis hat sich gezeigt, dass in vielen Unternehmen Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit nicht benötigen. Die VdS 3473 fordert in den Kapiteln 7 und Kapitel 15 eine strukturierte Verwaltung von Zugängen und Zugriffsrechten. Zugänge und Zugriffsrechte dürfen laut Abschnitt 15.1 nur genehmigt werden, „wenn sie für die Aufgabenerfüllung des jeweiligen Nutzers oder für die betrieblichen Abläufe des Unternehmens notwendig sind“ und müssen laut Abschnitt 7.3 bei Beendigung oder Wechsel der Anstellung eines Nutzers „umgehend überprüft und bei Bedarf angepasst“ werden. Dadurch wird die Wahrscheinlichkeit verringert, das Ransomware einen umfassenden Schaden verursachen kann.

2.    Wenn dennoch wichtige Dateien verschlüsselt wurden, ist die Datensicherung der einzige Garant für eine Rückkehr zum Regelbetrieb. Die Vorgaben der VdS 3473 verlangen, dass Unternehmensdaten strukturiert gesichert werden. Abschnitt 16.1 schreibt vor, dass „die Speicherorte für die Daten des Unternehmens (…) festgelegt werden“ und Abschnitt 16.5.1 fordert, dass die Speicherorte „so gesichert werden, dass ihr letzter vollständig wiederherstellbarer Zustand nicht älter als 24 Stunden ist“. Der Datenverlust bei Befall durch Ransomware kann so maximal einen Tag betragen. Für kritischen Daten müssen laut Abschnitt 16.6.1 „die Folgen eines Datenverlusts analysiert und dabei der maximal tolerierbare Datenverlust (…) bestimmt werden“. Die entsprechenden Datensicherungsverfahren müssen laut Abschnitt 16.5. so gestaltet werden, dass der maximal tolerierbare Datenverlust nicht überschritten wird. Auf diese Weise wird ein ggf. auftretender Datenverlust stets in akzeptablen Grenzen gehalten.

3.    Im Zuge der Vorbereitungen auf Sicherheitsvorfälle (Kapitel 18) muss verbindlich definiert sein, „wie das Unternehmen intern und nach außen über akute und bewältigte Sicherheitsvorfälle kommuniziert“. Durch eine Verpflichtung zur Verschwiegenheit kann eine negative Außendarstellung vermieden werden.

Aktives Management der Sicherheit

VdS 3473 verlangt in Kapitel 4 vom Unternehmen „einen (...) Prozess (Informationssicherheitsprozess) zu etablieren“, um „mit möglichst geringem Aufwand das vom Unternehmen angestrebte Sicherheitsniveau zu definieren, umzusetzen und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen“. Die Anforderungen an diesen Prozess werden von der VdS 3473 konkretisiert und ermöglicht es einem Unternehmen unter anderem, sich auch vor bisher unbekannten Bedrohungen wie z. B. neu auftretender Malware effektiv zu schützen:

1.    Abschnitt 8.1 der VdS 3473 schreibt vor, dass das Unternehmen „regelmäßig aus verlässlichen Quellen Informationen (…) über neue Gefährdungen und mögliche Gegenmaßnahmen“ bezieht, diese „im Hinblick auf die Bedeutung für die Informationssicherheit zeitnah ausgewertet“ und „die jeweils Verantwortlichen (…) über die relevanten Entwicklungen zeitnah informiert“. Im Falle eines bedeutenden Ausbruchs von neuer Malware werden in aller Regel innerhalb weniger Stunden Ad-Hoc-Meldungen auf den einschlägigen Mailinglisten verbreitet, die auch Anleitungen beinhalten, wie sich ein Unternehmen schützen kann.

2.    Das Unternehmen muss sich gemäß Kapitel 18 auf Sicherheitsvorfälle vorbereiten. Ein Bestandteil davon ist, dass für jeden Sicherheitsvorfall „eine Nachbereitung stattfindet, bei der die Ursachen ermittelt und konkrete Verbesserungen erarbeitet werden“. Jede Infektion des Unternehmens mit Schadsoftware führt dazu, dass das Unternehmen seine Schwachstellen sucht, diese analysiert und bestehende Sicherheitsmaßnahmen verbessert. Unbekannte Schadsoftware, die gleiche oder ähnliche Schwachstellen ausnutzt, kann so abgewehrt werden.

3.    VdS 3473 verlangt an verschiedenen Stellen, dass das Unternehmen bestehende Risiken individuell ermittelt und zu behandelt. So verlangt die Richtlinien weder, eine Firewall zu betreiben, noch schreibt sie vor, über welche Sicherheitsfeatures eine vorhandene Firewall verfügen muss. Anstelle konkreter Maßnahmen wird in Abschnitt 11.3 aber gefordert, dass „die notwendigen Sicherheitsmaßnahmen für Netzübergänge zu weniger oder nicht vertrauenswürdigen Netzwerken (…) im Zuge einer Risikoanalyse und –behandlung (...) ermittelt werden“. Gemäß Anhang A 2.3 müssen „Risikoanalysen (...) jährlich auf ihre Aktualität geprüft und bei Bedarf wiederholt werden. Risikoanalysen müssen darüber hinaus zeitnah überarbeitet werden, (…) wenn eine neue Gefährdung bekannt wurde oder eine bestehende Gefährdung sich wesentlich erhöht hat“. Die Absicherung des Internetzugangs wird demnach aufgrund aktueller Meldungen (siehe Kapitel 8.1), vergangener Sicherheitsvorfälle (Kapitel 18) und in einem jährlichen Turnus an die jeweilige Bedrohungslage angepasst.

Fazit

Um ein Unternehmen vor aktueller Ransomware zu schützen, ist der Einsatz der klassischen Schutzmechanismen wie Updates, Kapselung verwundbarer Systeme und Anti-Viren-Programme nicht mehr ausreichend. Wie beim Brandschutz müssen Technik, Organisation und die Berücksichtigung des Faktors Mensch Hand in Hand gehen, um Gefahrensituationen zu vermeiden, entstehende Schäden zu minimieren und um sicherzustellen, dass aus zurückliegenden Ereignissen gelernt wird.

VdS 3473 enthält zunächst konkrete Maßnahmen, die Unternehmen vor der Infektion durch unbekannte Ransomware schützen und die im Falle eines Falles dafür sorgen, dass entstehende Schäden minimal sind.

Darüber hinaus schreibt sie die stetige Fortentwicklung und Anpassung der Sicherheitsmaßnahmen vor und versetzt so ein Unternehmen in die Lage, sich auch vor bisher unbekannten Bedrohungen effektiv zu schützen.

Die Implementation der VdS 3473 hätte ausnahmslos jedes Unternehmen, das durch Locky aktuell von finanziellen Schäden und vom Verlust seiner Vertrauenswürdigkeit betroffen ist, vor dieser Erfahrung bewahrt und würde dies auch bei den zu erwartenden Nachfolgern von Locky tun.