RansomWare Report

Ransomware ist in aller Munde und stellt ein Problem dar. Um das Problem aber an der Wurzel anzupacken, ist es primär mal an der Zeit, KMU’s und Mittelständischen Unternehmer den Begriff näher zu bringen, und Lösungen aufzuzeigen.

Unser Ransomware Artikel gliedern wir in 6 Bereiche und er umfasst eine Lesezeit von ca 6 Minuten und verzichtet auf technisches Geplänkel:

 

1.    Was ist Ransomware

2.    Wer ist betroffen, über welche Kanäle fange ich mir was ein 

3.    Wie schaut die Entwicklung aus

4.    Wie schaut die Standard Lösung bei einem Ransomware-Angriff aus

5.    Was kann man dagegen tun, wo setzt man an, was ist Sinnvoll

6.    Wie reagieren ISPs, Cloud Anbieter und Managed Service Provider 

 

Was ist Ransomware?

Fangen wir von Vorne an. Ransomware ist ein Überbegriff von diversen IT Sicherheitsproblemen, Attacken, Betriebssystem-Lücken, auch Exploits genannt, anfälliger Code bei Web Applikationen und umfasst von Phishing, Malware, Viren, Staatstrojaner,  Infizierte Dateien bis hin zum falschen Benutzerverhalten. 


Wer ist betroffen und wie fange ich mir sowas ein?

Es ist wie mit der Grippe, zuerst hat’s einer, dann mehrere und gegen der Ende der Woche lahmt Ihr Betrieb weil alle Krank sind. Lange galt der Glaube, es trifft nur Firmen, die Ihre IT noch klassisch Inhouse betreiben und bei der IT sparen, aber die Entwicklung der letzten 3 Jahre hat gezeigt, das auch Cloud Dienste, allen voran Microsoft Azure, Office 365 und Google Suite zunehmend davon betroffen sind. Woran das liegen mag, würde dieser Artikel jetzt unverhältnismässig aufblasen.

 

Fakt ist, das im Bereich der Endgeräte folgende Plattformen in der EU27+CH am meisten betroffen sind:

 

•     95% Windows

•     4.5% Android

•     0.5% macOS, iOS sowie andere BSD oder Linux Betriebssysteme (auch zunehmend)

 

Wie merke ich, dass einer meiner Mitarbeiter von Ransomware betroffen ist ?

Viele merken es erst, wenn es zu spät ist, ein Schaden besteht, oder Ihre Kunden & Lieferanten rufen an, Sie hätten eine E-Mail von Ihrem 365 Konto erhalten, mit einem Datei Link, denn Sie nicht öffnen können (hoffentlich).


Oder Ihr PC ist gelockt, auf dem Bildschirm steht eine Lösegeld Forderung zur Wiederherstellung Ihrer Daten und PC Zugriff, welcher im Schnitt mit CHF 3000.- / EUR 2700 pro PC beziffert wird. Kann also durchaus kostspielig werden. Denn selten will einer nur $200.

 

Neben dem klassischen E-Mail Attachment, nimmt die Verbreitung vermehrt durch die Sozialen Netzwerke mit ClickBaits, oder Facebook Messenger und Whatsapp mit der Zusendung von einem Link, Proposal Dokument oder Angebot Dokument, getarnt mit einem Dateinamen, der meistens nicht ganz korrekt geschrieben ist, aber für einen Angestellten in einer Organisation durchaus sinnvoll erscheinen  mag. Dumm ist es dann, wenn es noch ein perfider ist, sich über Ihr 365 Online Konto an all Ihre Kunden und Lieferanten Kontakte automatisch versendet, weil er eine Lücke im Outlook 2013, 2016, 2019 ausnutzt, wo der Hersteller dieser Software einfach keine Lust verspürte, solche Sachen zu unterbinden. 

 

Wir bei uns haben in diesem Jahr selber intern 28 Versuche von Ransomware von Elektro Partner, Anwaltskanzleien und Logistikfirmen, und sogar von ICT Firmen auf einer alternativen iCloud.com E-Mail Adresse erhalten, welche zwei Dinge gemeinsam haben: Alle Versender haben in 365 Office migriert und setzen Outlook auf Windows OS ein.  Unsere Firewall hat dies erkannt und bei einem Klick auf eine solche URL, wurde der Aufruf unterbunden. Unsere Mailserver Protection hat dies auf der Business E-Mail Adressen erfolgreich unterbunden.


Wie schaut die Entwicklung aus?

Man kann belegen, dass mit der Cloudiserung vom lokalen Mailserver in die Public Cloud zb Office365 oder Gmail dieses Phänomen in der letzten 3 Jahren stark zugenommen hat. Dies berichten sowohl Sichereitsfirmen wie Kaspersky, Internet Service Provider wie auch Managed Service Provider. Statistisch gesehen sind in den westlichen EU Länder und im D-A-CH Raum 58% der Windows PC ongoing mit Malware infiltriert. Ohne das Wissen der betroffenen.


 

 

Wie geht der typische ICT Supporter bei einer Ransomware Attacke vor?

Statistisch gesehen, versuchen nur gerade 1% der ICT Supporter einen betroffenen Host zu isolieren. Gerade mal 3% verfügen über Tools und Knowhow, innert Kürze festzustellen, welche anderen Mitarbeiter PCs die selbe infizierte Mail oder Datei bekommen haben, wo noch kein Schaden entstand. 

 

Die Best Practice und meistverbreitete Vorgehensweise um den PC schnell wieder fit zu machen, ist eine Wiederherstellung der lokalen Festplatte aus einer lokalen Backup - Lösung. In der Hoffnung, Sie haben einen ordentlichen Backup Plan und der Datenverlust lässt sich auf maximal 1 Stunde Produktivität Zeit Ihres Mitarbeiters, einigermaßen in Grenzen halten. 

Hier tauchen jedoch üblicherweise 3 -4 Problemchen auf:


•     Problem 1: Kein Backup — > Oh my God - Kiste platt machen - Neu installieren - Kompletter Datenverlust

•     Problem 2: Backup mit “XY True Image” Super Duper Billig Lösung, es gibt eine Lücke und das Recovery dauert bei 512GB Diskgrösse 2-3 Tage, falls es NAS       Storage war, belastet es auch noch ein wenig Ihr LAN und verlangsamt den anderen Datenverkehr. Hinzu kommt der Fakt, dass die günstigen NAS Lösungen wie QNAP, Buffalo, Synology leider auch bei einem Firmware Upgrade abliegen können, und man hat den Salat. 

•     Problem 3: Das Backup konnte mit dem üblichen Verlust zum letzten Backup Zyklus wieder hergestellt werden aus dem Backup Server. Aber die Ransomware wurde mit gebackt-up und das Spielchen fängt von Vorne an. 

•     Problem 4: Sie haben nicht nur unproduktive Zeit eines Mitarbeiter der kein Arbeitsgerät hat, Sie lasten Ihren IT/ICT Supporter aus, der anderes liegen lassen muss und 


alles in Allem ist ein ungenügender Schutz gegen Ransomware ein teueres Unterfangen, das eine kleine - mittlere KMU durchaus an den Abgrund bringen kann. Vor allem, wenn beim Distaster Recovery ein Disaster während oder nach dem Recovery auftritt. Kettenreaktionen sind dann meistens Standard nach Murphy’s Law und die Dinge nehmen Ihren Lauf.


Wie schaut die Standard Lösung aus ?

Fast alle Hersteller von Firewall Systemen positionieren sich gegenüber dem Endkunden, den bestmöglichen Schutz zu integrieren oder gar zu bieten. Neben der Tatsache, dass meistens bei Lizenzen im KMU und Mittelstand Umfeld, eh viel gespart wird, sind viele solcher Firewall Hersteller aus unserer Sicht ungenügend, angefangen bei der Dimensionierung der Hardware bis hin zur eingesetzten Technologie. Es ist nicht getan mit HTTPS Inspection oder gar Interception verknüpft mit einem Content Filter (Squid, Man in the Middle) und ein paar Zertifikate regelmässig auf den PCs zu installieren. 


Ein weiteres Problem sehen wir in der Cloudiserung in die Public Cloud, anstelle in die Private oder Hyprid Cloud, was mehr als eine Philsophie Frage ist. 

Vielfach pushen ICT Support Firmen einfach gerade dass, was Ihnen am meisten neues Geld in die Kasse schwemmt und den Support vereinfacht.


Wie schaut die Lösung von uns aus ?

Wir selber haben die Problematik der Ransomware wie auch DDoS Attacken schon im Jahre 2012 erkannt und entsprechende Lösungen und Dienste zur Abwehr solcher Probleme geschaffen, die neben eigener Infrastruktur zur Service Leistungserbringung, auch Dritt-Dienste, Portale und Behörden inkludiert, wo wir täglich im  Halb-Stunden Takt Infos zur Angreifbarkeiten, Sicherheitslücken aus verschiedenen Datenbanken abholen, und in die von uns gewarteten Sichereitskonzepte, Firewalls der Firmenkunden on-the-fly bereitstellen. Da diese DNS basierend sind, werden Verbindungen verhindert, bevor überhaupt eine HTTP oder HTTPS Handshake Verbindung zustande kommen kann.

 

Dadurch kann auch HTTPS Inspection/Interception aus dem Weg gegangen werden, was Datenschutz technisch wie auch von der Zuverlässigkeit/Performance nur gewinnbringend sein kann.

 

1.    Ein vernünfigter Mailserver, mit entsprechenden Schutzmechanismen, keine Free-Mail oder Public Cloud Anbieter, wählen Sie PrivateCloud. Dadurch hat Ihr IT Spezialist, wie auch Ihr Managed Partner, die Kontrolle und kurze Reaktionszeiten.

2.    Vernünftiges Sicherheitskonzept mit Firewall und IT Security Architektur in der Organisation und in der Standort Anbindung. Die Tage wo man problemlos direkt hinter einem FritzBox Modem surfen konnte, nach dem Motto: Eh Egal, sind definitiv vorbei. Firmen die nicht realisieren, dass Sie betroffen sind, tragen zur weiteren Verbreitung von Ransomware unwissentlich bei.

3.    Neben informierten Mitarbeiter, die man auf Risiken schult, sollten intern auch Richtlinien erlassen werden, wie wann und wie oft man Soziale Kanäle nutzt, wie verdächtige File Links aussehen, allenfalls mit intelligenten Content Filter und Zeitplänen arbeiten. Auch hier, Wissen ist Macht, nicht Wissen ist Ohnmacht.

4.     Application & Web Control mit Ransomware-Protection

5.    Zeitgemässe Backup Lösungen, die Ransomware erkennen und isolieren können, um kein Disaster beim Recovery zu erleben.

6.    Kein Mischmasch an Lizenzen. Richtig orchestrieren. Ergänzende Auswahl und Multi-Level Konzept ist nicht nur effektiver, kommt vielfach auch günstiger.

 

 

Diese 6 Lösungsansätze erhalten Sie bei Eldorex Advanced Engineering AG unter der Hausmarke „THOR“ im Abonnement mit Equipment und monatlichen SLA als Rundum-Sorglos Packet geliefert, kombiniert noch mit dem einen etwas mehr:


•     THOR Managed Node & Site Protection

•     THOR Managed Switch & Router

•     THOR Managed WiFi Access Points

•     THOR Unified Business Continuity - Backup als Service mit RansomwareIsolierung und sofortigem weiter arbeiten

•     Gepaart mit einem SD-WAN Anschluss, ein all umfassenden Sicherheitskonzept


Ausgelegt für KMU und Mittelstand, geringe einmalige Investitionskosten, stets überall auf dem letzten Stand der Sicherheit. Massgeschneidert für Ihre Bedürfnisse. Unsere THOR Unified Business Continuation erkennt und isoliert in einem Backup Recovery Fall nicht nur Ransomware zuverlässig, sondern ermöglicht Ihrem Mitarbeiter, während dessen auf einer anderen Maschine via Web Browser seine alte Kiste mit dem Datenbestand von 5 Minuten vor dem Crash, als virtuelle Maschine zu starten, und produktiv weiter zu arbeiten. 




Schlusswort

Schlussendlich bleibt anzumerken, dass wir uns primär als Anbieter von Telefonie und Internet Lösungen verstehen. Da wir aber gelernt haben, den KMUs und Ihren Bedürfnissen zu zu hören, sind diese Lösungen Schritt für Schritt über einen Zeitraum der letzten 9 Jahre als optionale Zusatz-Dienstleistungen entstanden. Selbstverständlich haben auch wir ein Interesse, dass unsere Kunden vernünftig telefonieren, mailen, und surfen können. 

 

Wir mögen und liefern Lösungen mit einem Mehrwert für den Endkunden, die zu Ende gedacht sind, sowohl den Anwender wie die Geschäftsleitung Freude bereiten. Für konkrete Anfragen nutzen Sie bitte das Kontaktformular, gerne senden wir Ihnen den QuadCom Ransomware-Report 2019 als PDF Download sowie ein paar Links zu unseren Lösungen per E-Mail zu.  


Bedenken Sie: Sicherheit hat seinen Preis – keine Sicherheit kann teuer werden. Prävention gibt’s bei QuadCom.ch Es ist wirklich wie bei der Grippe: Vorbeugen ist besser als heilen.

Senden