Am 18.01.2021 findet sich die Ankündigung auf der Website der Funke Mediengruppe, dass man optimistisch sei, den Notfallmodus in der laufenden Woche verlassen zu können.1
Zur Funke Mediengruppe gehören Tageszeitungen wie die WAZ, das Hamburger Abendblatt oder auch die Berliner Morgenpost.
Was ist passiert?
Die Funke Mediengruppe wurde mit einer Ransomware angegriffen – diese Art der schädlichen Software verschlüsselt alle Daten, auf die sie zugreifen kann. Das Wort „ransom“ heißt übersetzt Lösegeld, und genau das ist es, worauf es die Angreifer abgesehen haben: Die Angreifer versprechen gegen Zahlung des Lösegeldes die Daten zu entschlüsseln.
Besonders bedenklich ist, dass die Funke Mediengruppe als Bereitsteller von Nachrichten zur kritischen Infrastruktur zählt. Der Ransomware-Angriff traf die Mediengruppe zwar wirtschaftlich schwer, hätten die Angreifer jedoch die gekaperte Infrastruktur genutzt, systematisch Falschmeldungen zu verbreiten, hätte das schlimmstenfalls zu einer Panik in der Bevölkerung führen können.
Wie läuft ein Angriff ab?
In den meisten Fällen erhält das Ransomware-Opfer eine E-Mail mit einem infizierten Link oder lädt eine infizierte Datei aus dem Internet. Die Malware kopiert sich nun eigenständig in einen Ordner, auf welchen der angemeldete Nutzer einen Schreibzugriff hat. Von nun an arbeitet die Malware auf dem System im Hintergrund, bis sie es schafft, eine Kommunikation mit dem Netzwerk und somit zur Außenwelt herzustellen – dann baut sie eine Verbindung zu einem sogenannten „Command and Control“-Server auf. Von nun an können Angreifer das befallene System nach kritischen Daten durchsuchen und diese gegebenenfalls kopieren. Sobald die Angreifer fündig geworden sind, verschlüsseln sie das System – die Dateien sind nun für den Eigentümer unbrauchbar. Angreifer hinterlegen eine Lösegeldforderung mit dem Versprechen, dass die Daten nach der Zahlung einer gewissen Summe wieder entschlüsselt würden. Bei Angriffen, bei denen Daten nicht nur verschlüsselt, sondern auch gestohlen werden, wird häufig eine knappe Frist für die Zahlung gesetzt und gedroht, die Daten zu veröffentlichen.
Warum war der Angriff bei der Funke Mediengruppe so erfolgreich?
Der Erfolg von Ransomware-Angriffen hängt von vielen Faktoren ab. Der erste Faktor ist der Mensch. Ohne, dass Mitarbeitende die infizierte Datei geladen hätten, wäre der Angriff nicht erfolgreich gewesen. Ab dem Zeitpunkt, an dem die Datei geladen ist, greifen infrastrukturelle Schwächen. Ausgeweitete Nutzerprivilegien vereinfachen es der Malware, die notwendigen Verbindungen aufzubauen. Gefährlich können zudem nicht ausreichend geschützte Geheimnisse sein. Angreifer suchen gezielt nach Informationen, die einen großen Schaden für ein Unternehmen bedeuten, um neben der Verschlüsselung mit einer Offenlegung dieser Daten zu drohen.
Wie kann man sich schützen?
Der beste Schutz blockiert den Angriff komplett. Da das erste Ziel der Mensch ist, ist es wichtig, Awareness-Maßnahmen für Mitarbeitende umzusetzen.
Auf technischer Seite gibt es eine Reihe von Möglichkeiten, den Schutz zu erhöhen. Eine Netzwerksegmentierung beispielsweise lässt sich mit Brandschutztüren vergleichen. Sobald ein Feuer ausbricht, können einzelne Bereiche abgeriegelt werden, um den Schaden gering zu halten. In einem Netzwerk kann so durch technische Maßnahmen verhindert werden, dass sich eine Bedrohung ausbreitet. Funke gibt an, dass über 6000 Rechner infiziert waren – ein Indiz für eine nicht ausreichende Netzwerksegmentierung.
Da Ransomware-Angriffe vor allem auf Daten abzielen, die für ein Unternehmen höchste Relevanz haben, ist es wichtig, diese Daten zu kennen und entsprechend zu schützen. Regelmäßige Backups helfen dabei, bei einem erfolgreichen Angriff die Schäden gering zu halten – zumindest solange keine kritischen Daten gestohlen wurden.
Insgesamt gibt es eine Reihe von Maßnahmen, um das eigene System zu schützen und Mitarbeitende zu sensibilisieren. Sollten Sie Unterstützung benötigen, den für Sie richtigen Schutz zu finden, beraten wir sie gerne.
