kaptn - Fotolia

Data Manipulation: Neue Bedrohungen durch Ransomware

Ransomware zählt zu den größten Bedrohungen für Firmen. Neben der Verschlüsselung wichtiger Daten droht zunehmend auch eine heimliche Veränderung wesentlicher Informationen.

Ransomware ist derzeit eines der wichtigsten Sicherheitsthemen. Es ist deswegen kein Wunder, dass mittlerweile praktisch jeder Security-Anbieter behauptet, dass seine Produkte Unternehmen gegen die Erpresser-Trojaner schützen können.

Ransomware entwickelt sich jedoch laufend weiter. Mit Hilfe neuer Techniken handelt es sich nun nicht mehr nur um Malware, die Daten auf lokalen Systemen verschlüsselt und dann ein Lösegeld fordert. WannaCry hat beispielsweise versucht, weitere Systeme zu infizieren. Das bedeutet aber, dass es in bestimmten Fällen nicht mehr ausreicht, einfach ein Backup einzuspielen, um die verschlüsselten Daten wieder nutzen zu können. Diese und andere Entwicklungen haben teilweise gravierende Auswirkungen auf Hersteller und ihre Kunden.

So ist einer der neuesten Trends, dass Ransomware nicht mehr nur Daten verschlüsselt, sondern dass der Schädling sie auch manipuliert. Welche Auswirkungen hat das auf Unternehmen und welche Gegenmaßnahmen lassen sich ergreifen?

Unerwartete Gefahren durch die Manipulation von Daten

Ransomware gibt es etwa seit 1995, als zur Verbreitung noch Disketten benötigt wurden. Dank dem Aufstieg von Bitcoin, das häufig genutzt wird, um die geforderten Lösegelder zu transferieren, und anderen Entwicklungen wie Ransomware as a Service, sind die Profite der Kriminellen immer stärker gestiegen.

Im Prinzip sorgt Ransomware dafür, dass wesentliche Daten in einem Unternehmen nicht mehr verfügbar sind. Das hat mehrere unangenehme Effekte, so dass sich viele Firmen für eine Zahlung der geforderten Summe entscheiden. Neuere Ransomware nutzt weitere Formen der Erpressung, indem etwa gedroht wird, bestimmte Daten zu veröffentlichen, wenn nicht auf die Forderungen eingegangen wird.

Aus den genannten Gründen reicht es nicht mehr, Ransomware nur zu identifizieren und sich gegen neue Attacken zu wappnen. Unternehmen müssen sich nun auch mit der Authentizität und Integrität ihrer Daten beschäftigen. Sonst müssen sie mit nicht abschätzbaren Folgen auf die Produktivität ihrer betroffenen Anwender rechnen.

Unternehmen gehen in der Regel davon aus, dass ihre Daten nicht verändert wurden, wenn sie aus einem Backup wiederhergestellt, zurückgegeben oder wieder entschlüsselt wurden. In manchen Situationen mag das zutreffen oder auch nicht so relevant sein. Wenn es aber etwa um hoch sensible Daten geht, die für Entscheidungen in medizinischen oder finanziellen Fällen benötigt werden, kann eine Veränderung der Daten zu erheblichen Konsequenzen führen. Insbesondere, wenn diese Daten nur minimal manipuliert wurden, fällt es möglicherweise nicht sofort auf – mit teilweise katastrophalen Folgen.

Es genügt, dass zum Beispiel viele kleine, vermeintlich harmlose oder nicht bemerkte Änderungen an Datensätzen vorgenommen werden, um einen erheblichen Schaden an der Integrität der betroffenen Daten anzurichten. Auch Ransomware kann für diese Art von Angriffen genutzt werden, indem die Daten manipuliert werden, während sie vermeintlich „nur“ verschlüsselt wurden. Weil das Opfer in diesem Fall keine Kopie der Daten mehr hat, kann es auch nicht überprüfen, ob sie nicht heimlich verändert wurden.

Es kann schon ausreichen, wenn die Ransomware nur einen kleinen Teil der Daten verändert, wie zum Beispiel am Ende einer jeden vorhandenen Excel-Datei oder in einer verwundbaren Redis-Datenbank. In der Folge können die Erpresser dann ein weiteres Mal Lösegeld fordern. Aus Sicht der Angreifer ist es dabei wichtig, dass die Daten zufällig verändern werden, weil der von ihnen verwendete Code per Reverse Engineering analysiert werden könnte. Bei manchen, von den Kriminellen teilweise schlecht implementierten Verschlüsselungsalgorithmen, ist dies ja bereits gelungen.

Mögliche Gegenmaßnahmen

Unternehmen stehen mehrere Möglichkeiten zur Verfügung, die Integrität ihrer Daten in ihren Systemen vor Ransomware zu gewährleisten. So unterstützen die meisten in Enterprise-Umgebungen genutzten Backup-Systeme Hashing oder andere Mechanismen, um sicherzustellen, dass es zu keinen Fehlern kommt, wenn die gesicherten Daten wieder eingespielt werden.

Die viel beschworenen Backups gehören immer noch zu den notwendigen Maßnahmen, um Daten zu schützen. Die dabei verwendeten Integritäts-Checks dienen dazu, Fehler beim Schreiben der Daten auf ein Speichermedium zu identifizieren, Alterungsfehler auf dem Medium zu erkennen sowie zu verhindern, dass beim Restore-Prozess Probleme auftreten und übersehen werden. Solche Fehler treten zum Beispiel auch bei älteren Tapes auf.

Unternehmen können zudem ein FIM-System (File Integrity Monitoring) einsetzen, um sicherzustellen, dass die Integrität der Daten gegeben ist, wenn sie nach einer Ransomware-Attacke wiederhergestellt wurden. In manchen Fällen ist es jedoch einfacher, die Daten stattdessen schlicht an einer sicheren Stelle zu sichern. Ein FIM kann aber auch dazu dienen, einen Alarm auszulösen, wenn Daten durch einen Angreifer verändert wurden. Herkömmliche Backup-Systeme sind dazu normalerweise nicht in der Lage. Das FIM kann darüber hinaus auch dabei helfen, die von den Angreifern manipulierten Daten zu identifizieren.

Vielen Anwendern ist nicht bewusst, dass auch bei einer Verschlüsselung von Daten in der Regel Integritäts-Checks durchgeführt werden. Die Verschlüsselung der eigenen Daten kann also auch dazu dienen, Integritäts-Checks einzuführen. Wenn in einem Unternehmen aber gar keine Maßnahmen vorhanden sind, um die Integrität der Daten zu überprüfen, kann nach einem Ransomware-Vorfall ein erheblicher Aufwand entstehen, um alles zu überprüfen. So ist es dann eventuell nötig, alle Informationen einzeln durchzugehen oder es müssen manche Daten sogar komplett neu erfasst werden.

Integritäts-Checks bieten aber noch mehr Vorteile. Beispielsweise können sie auch dazu genutzt werden, um herauszufinden, wenn Daten innerhalb einer Applikation ohne Autorisierung verändert wurden. So können bei besonders sensiblen Informationen in Datenbanken Checksummen verwendet werden, die dann in regelmäßigen Abständen überprüft werden. Diese Funktionen bietet in der Regel auch ein FIM.

Fazit

Daten sind das Lebenselixier der meisten Unternehmen. Es ist deswegen unumgänglich, für solide Backup-Prozesse zu sorgen, die Schutz gegen Ransomware-Attacken und gegen die Manipulation von Daten bieten. Dazu gehören in jedem Fall auch Checks, um die Integrität der Daten überprüfen zu können. Wenn nach einer Wiederherstellung nicht eindeutig klar ist, dass die Informationen nicht doch heimlich verändert wurden, kann dies zu schwerwiegenden Konsequenzen führen. In manchen Fällen sind sie sogar schlimmer, als wenn gar keine Daten mehr vorhanden wären.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ransomware as a Service: Erpressertrojaner als Dienstleistung

Tools gegen Ransomware richtig einrichten

Alternative Ansätze gegen Ransomware

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identitätsdiebstahl und Datensicherheitsverletzungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close