Ransomware: Geiselnahme digital

05.08.2021

Eine Ransomware-Attacke hat etwas von Hollywood an sich. Ein letzter Klick, dann ändert sich die Bildschirmanzeige: Alle Daten auf dem Rechner sind verschlüsselt worden, steht da, und werden nur gegen Zahlung von Lösegeld wieder freigegeben. Wie schützt sich die Universität Wien vor solchen Angriffen? Alexander Talos-Zens von der Stabsstelle IT-Security am ZID hat dazu einige Fragen beantwortet.

Hier finden Sie praktische Tipps für Nutzer*innen zum Thema Ransomware.

IT-News: Was ist eigentlich Ransomware genau?

Alexander Talos-Zens: Wir reden hier ganz einfach von Erpressung, bei der als Druckmittel eine Schadsoftware (vulgo Virus) eingesetzt wird, die Daten vernichtet oder etwas anderes mit dem Computer anstellt. Derzeit ist es Mode, die gespeicherten Dateien zu verschlüsseln und für das Entschlüsseln Lösegeld zu verlangen. Die kriminelle Phantasie kennt da keine Grenzen, zum Beispiel gibt's auch die Drohung, private oder vertrauliche Daten zu veröffentlichen. Mit dem Wort muss man ein wenig aufpassen, denn viele sagen auch "Ransomware", wenn gar keine Erpressung stattfindet oder es ein "normaler" Einbruch ohne spezifische Software ist.

Welche Konsequenzen hat ein erfolgreicher Angriff?

Die Folgen können verheerend sein. Zuerst einmal für die Person, die soeben Forschungsdaten oder das Manuskript zu ihrer Dissertation verloren hat. Da geht aber noch mehr: Man stelle sich vor, eine Ransomware fängt an, sich von einem Computer aus im Netz bis hin zu den Servern zu verbreiten. Damit muss nicht gleich alles kaputt sein. Ein wahrscheinliches Szenario wäre, dass einzelne Server betroffen sind – oder der Verdacht aufkommt, sie wären es – und die Administrator*innen dann vorsichtshalber einen größeren Teil der Services herunterfahren. Sie versetzen sie sozusagen in künstlichen Tiefschlaf, bis alle Systeme analysiert und eventuell neu aufgesetzt worden sind. In so einem Fall steht man natürlich sofort in der Zeitung, und die Aufräumarbeiten können leider sehr langwierig sein.

Wer macht so etwas und warum?

Das Klischee vom 15-jährigen sozial herausgeforderten Computer-Nerd, das man vielleicht aus alten Filmen kennt, ist völlig falsch. Längst dominieren professionell organisierte Banden die Szene, und die sehen eher aus wie Konzerne – nur eben illegal. Und was wollen Kriminelle? Geld machen, was sonst. Verschlüsseln und erpressen ist ein Geschäftsmodell, das zur Zeit gut funktioniert.

Wir haben es also mit organisierter Kriminalität zu tun. Kein angenehmer Gedanke ... 

Klar, die IT ist ein Teil unserer Gesellschaft – wieso sollte es dort friedlicher zugehen? Was uns hilft: Universitäten sind kommerziell eher uninteressante Ziele. Sie tun sich sehr schwer, hohe Summen kurzfristig aufzutreiben, und ohne Ausschreibung läuft sowieso nichts. Universitäten überleben auch "Produktionsausfälle" besser als ein Industriebetrieb. Darin liegt doch ein gewisser Trost. Dummerweise werden die Opfer oft nicht gezielt ausgewählt, sondern man schießt einfach in die Masse – so wie wir das von Spam kennen. Bei rund 100.000 Universitätsangehörigen kann uns das natürlich schon betreffen. Aber das sind dann zumeist Fälle mit begrenztem Schaden.

Von der Größe her ist die Universität Wien mit einer Bank oder einem großen Unternehmen vergleichbar. Sind die Anforderungen an die Security ebenfalls ähnlich?

Überhaupt nicht. Größtmögliche Freiheit für Forschung und Lehre ist Trumpf. Alles andere killt die Kreativität. So haben wir im Uni-Netz alles vom Windows-PC bis zum Elektronenmikroskop, und ich würde mich nicht wundern, wenn in irgendeinem Labor Experimente mit einer Playstation gesteuert würden. Auf das alles wollen die Nutzer*innen natürlich jederzeit, überall, auch von der Konferenz in Wer-weiß-wo aus zugreifen können. In Firmen hat man im Unterschied dazu normalerweise nur den zentral ausgerollten Einheits-PC, auf dem man selbst keine Software installieren darf. Natürlich ist dort auch nichts, nicht einmal der E-Mail-Server, vom Internet aus ohne VPN zugänglich. Das wäre an der Universität Wien alles völlig undenkbar.

Wie geht der ZID nun ganz konkret mit der Bedrohung um?

Wir haben für die Universität Wien eine neue Generation von Firewall in Betrieb genommen. Zudem führen wir Sicherheitsscans durch und werten die Ergebnisse mit den Betreiber*innen aus. Gelegentlich bekommen wir suspekte Dateien zur Prüfung und schauen uns an, ob es sich um Schadsoftware handelt und was sie tut. Natürlich helfen wir auch bei Sicherheitsvorfällen. Unsere Administrator*innen sorgen bei den Services, die der ZID selbst betreibt, für zeitgemäße Schutzmaßnahmen auf professionellem Niveau und können auf Bedrohungen schnell und effektiv reagieren. 

Was ist mit zentralen Services wie u:space? Sie sind für das Funktionieren der Universität enorm wichtig. Nicht auszudenken, wenn hier Daten verloren gehen würden.

Gegen Datenverluste haben wir bei den zentralen Services ein hervorragendes Backup, das gehört zum professionellen Betrieb eines Service durch unsere Administrator*innen. Ich halte es für extrem unwahrscheinlich, dass wir beispielsweise Prüfungsdaten verlieren würden. Außerdem hilft unsere heterogene und individuelle Serverlandschaft: Das ist keine Monokultur, die man mit einem Schädling einfach so dahinrafft, sondern wäre nur relativ aufwendig und nicht mit der automatisierten 08/15-Ransomware anzugreifen – also vermutlich aus Sicht der Angreifer*innen unrentabel. Aber 100-prozentige Sicherheit kann es nie geben. Es wäre ein Irrtum zu glauben, es könnte eine*n nicht treffen. Das Wichtigste ist natürlich, wachsam zu bleiben und kontinuierlich besser zu werden.

Wenn Services, Server und Backup gut gesichert sind, dann ist Datenverlust also eher auf Ebene einzelner Geräte zu erwarten?

Ja, und ein Vorfall auf individueller Ebene kann für die betroffene Person ein traumatisches Erlebnis sein. Aus Organisationssicht ist der Schaden dabei normalerweise begrenzt. Man muss aber sagen, dass durch das Wiederherstellen von Netzwerklaufwerken, die Datenschutzmeldung, die Analyse hinsichtlich Verbreitung und so weiter einiges an Aufwand entstehen kann. Wir sehen das leider immer wieder bei den lokal verwalteten PCs, die nicht die zentrale Beschickung des ZID nutzen.

Wo finden technische Lösungen ihre Grenzen?

Computer sind aufgrund ihrer Software und ihrer Vernetzung so komplex, da sind zwangsläufig Fehler drinnen, aber der Mensch scheint inzwischen das schwächere Glied in der Kette geworden zu sein.

Wie mache ich ein Küchenmesser so sicher, dass sich niemand in den Finger schneiden kann? Ein Computer ist ein leistungsfähiges Werkzeug – das heißt, man kann damit in kürzester Zeit wirklich richtig viel Mist bauen. Wenn jemand zum Beispiel im Glauben, eine an ein E-Mail angehängte Rechnung zu öffnen, die Schadsoftware selbst startet, dann hat der Computer exakt das getan, was ihm gesagt wurde! Diese Trojaner-Masche ist wohl auch deswegen so verbreitet, weil die Qualität der Schutzmechanismen in den vergangen Jahrzehnten stark verbessert wurde. 

Wir brauchen also das Zusammenspiel von sicherer Technik und sicheren Anwender*innen?

Ganz genau. Wir am ZID investieren viel Energie und Herzblut in unsere Kurse, die Security-Tipps auf unseren Webseiten, Newsletter-Artikel und so weiter, damit die Universitätsangehörigen das nötige Wissen und Know-how bekommen. Auf den ZID-Webseiten finden Nutzer*innen darüber hinaus viele Hinweise, wie sie die Arbeit an ihrem Gerät sicherer gestalten können. Der wichtigste Sicherheitstipp, den ich geben kann: Bitte immer und auch zuhause die Daten sichern! 

Headerbild Foto Talos-Zens