Der Mausklick in den Konkurs

Die Meldungen über die Schadsoftware EMOTET gehen auch im neuen Jahr weiter. Mit Heimarbeit (z.B. wegen des Coronavirus) steigt das Risiko!

Emotet ist eine Schadsoftware, welche die Daten auf den Computern der Opfer verschlüsselt und eine Lösegeldforderung stellt (Ransomware). Die Infektion erfolgt durch Makros in Word- und Excel-Dateien und neuerdings auch durch den Besuch gewisser Internetseiten. Im weltweiten Durchschnitt verursacht ein solcher Vorfall einen Unterbruch von ungefähr 16 Tagen und wird ein Lösegeld von CHF 80`000 bezahlt.

Ich habe in den letzten Monaten auch im engeren Bekanntenkreis von einigen Infektionen gehört, die kleine Unternehmen fast in den Konkurs getrieben haben. Warum breitet sich die Schadsoftware im Moment so sehr aus? Der Grund liegt darin, dass die infizierten E-Mails und Internetseiten u.a. dank künstlicher Intelligenz so echt aussehen, dass auch der aufmerksamste Benutzer einmal reinfällt. Die Schadsoftware nutzt dabei rigoros eine nicht aufgeräumte Informatik aus. Nicht aufgeräumt heisst, dass Benutzer zu viele Rechte auf ihren Geräten haben (d.h. Benutzerkonten mit Administratorenrechten auf einem Windows-Arbeitsplatzgerät), dass Anwender nur einfache Passwörter verwenden und dass die installierte Software nicht regelmässig aktualisiert wird. Diese Schwächen nutzt die Schadsoftware aus, um sich innert Stunden im ganzen Netzwerk einer Firma auszubreiten und jeden Computer zu infizieren.

Das Risiko eines Befalls mit einer Schadsoftware steigt, wenn private Arbeitsplatzgeräte für die geschäftliche Arbeit verwenden werden. Der Grund liegt darin, dass private Geräte in der Regel noch weniger aufgeräumt sind als die geschäftlichen und dass weniger achtsam E-Mails und Internetseiten geöffnet werden.

Ein Befall mit Emotet sieht in etwa wie folgt aus: Ein Anwender erhält ein E-Mail, das auf einen früheren E-Mail-Verkehr Bezug nimmt und den Anwender bittet, die beigelegte Word-Datei zu prüfen. Beim Öffnen der Word-Datei aktiviert der Anwender die Makros. Das Makro infiziert sofort das Gerät des Anwenders und breitet sich von diesem über das Firmennetzwerk aus. Dazu lädt es neue Schadsoftware aus dem Internet herunter und verändert so sein Aussehen. Das Virenschutzprogramm erkennt die Schadsoftware deshalb nicht sofort. Bei der Ausbreitung sucht die Schadsoftware zuerst alle Datensicherungen und löscht diese. Falls die Schadsoftware das Passwort für einen Zugriff auf dem Arbeitsplatz nicht findet, lädt sie sich ein Werkzeug herunter, um es zu hacken. Sobald das erledigt ist und genügend Geräte des Unternehmens infiziert sind, meldet die Schadsoftware dies dem Auftraggeber, der an einem Servicedesk irgendwo auf dieser Welt sitzt und auf solche Meldungen wartet. Er schaltet sich ein, setzt die Verschlüsselung aller gefundenen Datenbestände in Gang und blendet die Lösegeldforderung ein.

Wie weiter?

Die meisten Betroffenen sind sich darin einig, dass es jedes Unternehmen treffen kann - und früher oder später auch treffen wird. Es geht deshalb einerseits darum, die Risiken zu verkleinern und anderseits darum, sich auf einen Schadsoftwarebefall vorzubereiten.

Risiken verkleinern

Erstellen Sie auf den Arbeitsplatzgeräten Benutzerkonten mit eingeschränkten Rechten.

Verwenden Sie die aktuellsten Betriebssysteme und lassen Sie diese automatisch aktualisieren. Aktualisieren Sie auch den Virenschutz automatisiert.

Ihre Mitarbeitenden sollten auch für die Heimarbeit ausschliesslich geschäftliche Arbeitsplatzgeräte verwenden. Falls das nicht möglich ist, sollen auch auf den privaten Geräten Benutzerkonten mit eingeschränkten Rechten eingerichtet werden. Zudem sollten in diesem Fall keine privaten E-Mails aufgerufen werden, solange geschäftliche Anwendungen offen sind.

Vorbereitungen für einen Befall

Spielen Sie den schlimmsten Fall zusammen mit Ihrem IT-Leistungserbringer einmal durch: Auf einem Computer mit umfangreichen Rechten klickt der Anwender ein Makro mit einer Schadsoftware an oder besucht eine infizierte Internetseite. Die Schadsoftware breitet sich von diesem Gerät über alle Verbindungen aus, die nicht über eine Zwei-Faktoren-Authentifikation gesichert sind. Überall werden die Daten entweder gelöscht oder verschlüsselt. Stellen Sie sich die folgenden Fragen:

• Würden Ihre Systeme (z.B. die Firewalls Ihres Informatikdienstleisters) erkennen, wenn die Schadsoftware Kontakt mit einem fremden Server aufnehmen würde, um neue Schadsoftware zu laden? Klappt der Informationsaustausch zwischen Ihnen und Ihrem Informatikleistungserbringer?
• Wissen Sie, wo überall in Ihrem Unternehmen Daten gespeichert sind (inkl. der lokalen Datenablagen)?
• Welcher Schaden würde durch die Verschlüsselung all Ihrer Daten entstehen?
• Wie lange würde es dauern, bis Sie wieder im Normalbetrieb wären? Hätten Sie für diesen Fall noch eine funktionierende Datensicherung, die nicht am Datennetz hängt und damit nicht angegriffen werden konnte? Wie lange würde die Wiederherstellung Ihrer Daten dauern?
• Wer könnte Ihnen helfen? Ist diese Hilfe sichergestellt und vorbereitet?

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder E-Mail oder Twitter (siehe Fusszeile).