Folgendes Angriffsmuster konnte dabei identifiziert werden: Unbekannte Täter schreiben Mitarbeiter von Unternehmen direkt per E-Mail an. Die Mails beziehen sich auf vorangegangene Kommunikationen mit Geschäftspartnern des angegriffenen Unternehmens. Die Nachrichten der Täter erhalten Links oder Anlagen, die eine Schadsoftware laden, nachdem sie geöffnet wurden. Danach kommt es zu einem Datenabfluss und einer Verschlüsselung der IT-Infrastruktur.
Bei dieser Angriffsvariante nutzen die Täter Informationen, die sie vorher durch Attacken auf andere Unternehmen erbeutet haben. Die angeschriebenen Mitarbeiter öffnen somit die Mail eines vermeintlich vertrauenswürdigen Absenders.
Wirtschaftsminister Jürgen Barke und die zentrale Ansprechstelle Cybercrime (ZAC) Saarland empfehlen den Unternehmen folgende Präventivmaßnahmen zu ergreifen:
- Regelmäßige Information und Sensibilisierung der Mitarbeiter für die Gefahren durch EMail-Anhänge oder Links. Im Zweifel sollten Anhänge nur nach Rücksprache mit dem Absender geöffnet werden.
- Installation von Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme.
- Einsatz von Antiviren-Software.
- Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups).
- Regelmäßiges manuelles Monitoring von Logdaten.
- Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-ControllerNetzen sowie Produktionsnetzen mit jeweils isolierter Administration).
- Alle Nutzerkonten sollten nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
Unternehmen, die bereits von einem IT-Sicherheitsvorfall betroffen sind, empfiehlt Barke, sich an das Cyber-Sicherheitsnetzwerk Saarland (www.cyber-sicherheitsnetzwerk.de, Hotline: 0800 – 274 1000) zur technischen Unterstützung und an die Zentrale Ansprechstelle Cybercrime (ZAC) der saarländischen Polizei zur Verfolgung der Straftaten zu wenden (Tel.: 0681 / 962-2448 oder per E-Mail: lpp222@polizei.slpol.de ).
Allgemeine Empfehlungen bei einem Sicherheitsvorfall erhalten Betroffene beim Bundesamt für Sicherheit in der Informationstechnik (BSI):
https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen_node.html