Sicherheit oder Komfort? Eine Geschichte über E-Mail-Spam und Ransomware

„Sicherheit oder Komfort?“ ist eine der zentralen Fragen, der sich IT-Verantwortliche heute stellen müssen. Soll ich Web-Sicherheit deaktivieren um die Geschwindigkeit von Facebook zu erhöhen? Müssen wir wirklich die Microsoft Office-Makros deaktivieren wo unsere Finanzabteilung sie doch so häufig verwendet? Der Software Installer stürzt immer wieder ab, vielleicht sollten wir die AV-Lösung deaktivieren, solange er läuft? Die Antworten auf diese Fragen bergen viel Sprengstoff in sich – für die Usability, die internen Prozesse und natürlich für die Sicherheit der Firmendaten. Wir stellen einige der möglichen Szenarien vor.

Die Bedrohung

Drahtzieher der kriminellen Machenschaften ist ein Hacker, den wir im folgenden Ghost nennen. Er hat mehrere Namen, dafür aber kein Gesicht. Sein Aufenthaltsort ist (und bleibt meistens) unbekannt, ein männlicher Weißer um die dreißig – vielleicht. Ghost ist ein Cyber-Krimineller, der in den letzten Jahren erfolgreich Geld und persönlichen Daten von Internetusern gestohlen hat. Dabei ist er wirklich kein Computer-Experte. Seine Programmierkenntnisse sind begrenzt und sein Wissen über Sicherheitssysteme nur mittelmäßig. Das hindert ihn nicht daran, seinen Lebensunterhalt erfolgreich mit Straftaten im Cyberspace zu verdienen.

Als Mittel der Wahl für seinen nächsten Angriff hat Ghost eine Ransomware ausgewählt, einen TorrentLocker. Die Zustellung erfolgt über eine Spam-Kampagne per E-Mail. Er entscheidet sich für die USA, Großbritannien, Australien und Kanada, da diese wohlhabenden Länder die größte Rendite versprechen. Mit Hilfe der Tor-Software, taucht Ghost ins Dark Web und nimmt Kontakt zu einer Malware-as-a-Service (MaaS) Organisation auf. Für einen geringen monatlichen Betrag erhält er nun Zugriff auf die TorrentLocker Ransomware. Zusätzlich kann er über das Botnet der MaaS-Organisation Hunderttausende von Spam-E-Mails mit Microsoft Word oder Excel-Anhänge versenden. Öffnet der Benutzer die Anhänge mit den versteckten Makros, wird die Ransomware heruntergeladen. All dies wird unterstützt mit einem technischen 24/7 Support, falls Ghost mal Fragen hat oder Hilfe braucht. Seine Aktivitäten zielen auf Büros, Fabriken und Heimanwender, also so ziemlich jeden mit einer gültigen E-Mail-Adresse. Seinen Angriff startet er in den frühen Morgenstunden.

Die Verteidigung

Der Held unserer Geschichte ist Frank, Anfang 30, einziger IT-Administrator in einem mittelständischen Unternehmen irgendwo in Deutschland. Er ist verantwortlich für alles Digitale im Haus, von Storage und Netzwerken bis hin zu Home Office Lösungen und dem defekten Drucker in der Buchhaltung. Frank weiß, dass Sicherheit aus mehreren Ebenen besteht. Je mehr Ebenen vorhanden sind, desto schwieriger ist es für Kriminelle, Malware einzuschleusen. Um möglichst viele Risiken auszuschließen, setzt er auf diese Punkte: E-Mail-Schutz, IT-Sicherheitsregeln, Benutzerschulung, Endpoint-Scanning, On-Access-Scans, Host Intrusion Prevention, Live-Schutz, Web Protection und Malicious Traffic Detection, Memory-Scanning, Web Gateway-Schutz, Sicherheitsberechtigungen, Verschlüsselung, Backups.

Zum Abschluss noch ein paar Tipps zum Endpoint-Scanning:

  • Stellen Sie sicher, dass Ihre Endpoints regelmäßig aktualisiert werden.
  • Überprüfen Sie, dass dies auch korrekt geschieht.
  • Aktivieren Sie alle Live-Schutzfunktionen in Ihrem Produkt, um auch gegen die neuesten Bedrohungen gewappnet zu sein.
  • Aktivieren Sie HIPS, Behaviour Monitoring und Memory Scanning, wenn Ihr Produkt diese Funktionen unterstützt.
  • Aktivieren Sie Web Protection and Malicious Traffic Detection, um Downloader von ihrer Malwarequelle zu trennen.
  • Prüfen Sie, ob die Verwendung von Wechseldatenträgen wie USB-Sticks begrenzt werden kann.
  • Verwenden Sie Application Control um die Nutzung von ungenehmigter Software wie Torrent Clients, Keyloggern u.a. zu unterbinden.

Quelle: Sophos von Jan Bakatselos