Die grösste Gefahr in der Informatik geht von Verschlüsselungstrojanern aus. Sie legen ganze Unternehmen in Minuten lahm und verursachen massive Verluste. Wir haben uns mit dem IT-Security-Experten Mark Semmler über die Entwicklungen rund um Ransomware unterhalten.
.
Interview mit Mark Semmler
Herr Semmler, was sind die typischen Schwachstellen, die bei von Ransomware betroffenen Unternehmen ausgenutzt wurden?
Mark Semmler: Ransomware-Gruppen sind keine magischen Zirkel. Sie verfügen weder über geheimes Know-how noch über exklusive Werkzeuge. Vielmehr sind es eher Handwerksbetriebe, die (lange) bekannte Techniken systematisch und konsequent anwenden. Der allergrösste Teil der initialen Angriffe besteht aus E-Mails mit bösartigen Anhängen, dem Erraten von schwachen Passwörtern, dem Nutzen von erbeuteten Passwörtern oder dem Ausnutzen bereits lange bekannter Sicherheitslücken in exponierte Diensten. Gleiches gilt für die Attacken, mit denen die Angreifer administrative Rechte im Netz des Opfers erhalten. Ob Schwachstellen in Active Directory, schlechte Passwörter oder Passwörter, die einfach ausgespäht werden können – alle Angriffe sind wohl bekannt und könn(t)en mit einfachen Mitteln zuverlässig abgewehrt werden.
Wie entwickelt sich der Missbrauch von Zero-Day Schwachstellen? Werden sie oft für Ransomware verwendet?
Zero-Days haben zwei Eigenschaften, die sie für Ransomware-Gruppen relativ uninteressant machen. Zunächst sind sie wertvoll – vor allem, wenn mit ihnen stark gesicherte Ziele (wie z. B. iPhone) oder eine grosse Anzahl von Zielen (wie z. B. Mailserver) angegriffen werden können. Für derartige Zero-Days werden auf den einschlägigen Börsen z. T. deutlich sechsstellige Summen gezahlt. Zusätzlich haben Zero-Days eine ziemlich kurze Lebensdauer, wenn sie in der Breite eingesetzt und dadurch den Herstellern der betroffenen Software bekannt werden. Aus beiden Gründen investieren Ransomware-Gruppen nicht oder nur sehr selten in diese Werkzeuge. Viel häufiger ist zu beobachten, dass kritische Updates direkt nach deren Erscheinen analysiert und die entsprechenden Programme entwickelt werden. Das Ziel der Kriminellen ist also nicht, technologisch ganz vorn dabei zu sein, sondern unbedarfte Organisationen zu attackieren, deren Patchmanagement nicht auf der Höhe der Zeit ist. Und mit dieser Strategie verdienen sie leider sehr viel Geld.
Wird die Sicherheit von Systemen nicht kontinuierlich verbessert? Das Thema Cybercrime ist präsenter denn je und die Hersteller sind bestrebt, die Qualität ihrer Produkte zu verbessern.
Die Sicherheit der IT-Systeme hat sich in den vergangenen Jahren leider nicht wirklich verbessert. Die Aufgabe, Softwareprodukte nicht nur vielseitig, sondern auch robust zu gestalten ist enorm komplex und wird dadurch verschärft, dass in der Softwareentwicklung eine ganze Menge struktureller Probleme bestehen, die bis heute nicht gelöst oder auch nur verstanden sind. Zusätzlich führt der Druck des Marktes dazu, dass als «unwichtig» erachtete Aspekte (wie z. B. die Robustheit von Software) häufig zugunsten neuer Features vernachlässigt werden.
.
.
Mark Semmler arbeitet seit mehr als 28 Jahren weltweit für die Absicherung von Informationen und IT-Infrastrukturen. Er ist ausgewiesener Experte der Informationssicherheit und auf Sicherheitsuntersuchungen, High-Level-Consulting und organisatorische Sicherheit spezialisiert. Er ist durch seine auch im Fernsehen übertragenen Live-Hacking-Präsentationen einem breiten Publikum bekannt und versteht es, komplexe Thematiken verständlich und spannend zu vermitteln.
.
Am 16. November 2023 wird Mark Semmler am Technology Forum ein Referat zum Thema «Schutz gegen Ransomware» halten. Möchten Sie mehr darüber erfahren? Dann sichern Sie sich jetzt Ihr TEFO-Ticket.
.