29. November 2021

Ransomware ist kein „Hackerangriff“

Ich bin genervt 🤬 „Hackerangriffe“ sind die neue Ausrede f├╝r „wir haben uns nicht gek├╝mmert“. Eine Firma nach der anderen muss ihren Betrieb einstellen wegen den b├Âsen Hackern. Quatsch.

Nehmen wir an, ich hab eine Bank mit Bargeld im Tresor. Wenn der Tresor vor meiner Bank mit einem Zahlenschloss gesichert steht, hat den auch nicht „die Mafia“ geknackt. Aber der Reihe nach, schauen wir mal auf die beliebtesten „Hackerangriffe“: Distributed Denial of Service (DDoS) und besagte Ransomware.

DDoS-Hacker

Im Winter-Lockdown 2020/2021 kam es in Rheinland-Pfalz und Baden-W├╝rttemberg zu DDoS-Attacken auf die digitalen Lernplattformen. Auch die Ermittlungsbeh├Ârden sagten, dass es „so viele Zugriffe gegeben (habe), dass der Server ├╝berlastet und schlie├člich lahmgelegt wurde“. Entweder b├Âse Hacker. Oder halt Sch├╝ler, die am digitalen Unterricht teilnehmen wollten und auf einen Schlag massenhaft zugreifen wollten, wie das nach den Ferien so ist. Aber hey: Gegen die Hacker ist man ja machtlos🤷‍♂️

Ransomware-Hacker

Noch klarer wird es bei all den Meldungen von Ransomware Angriffe. Krankenh├Ąuser und Landratsamter landauf, landab sind betroffen. Nicht, dass wir uns falsch verstehen: F├╝r die betroffenen H├Ąuser ist das eine Katastrophe. Ich f├╝hle da mit jedem Betroffenen und will auch nicht h├Ąmisch sein.

Die Katastrophe ist aber eben auch eine vermeidbare. Wir reden hier in den seltensten F├Ąllen von komplexen Angriffen. Im Regelfall sind es einfach Einfallstore, immer noch viel zu oft der Anhang einer Mail. Aber klar. Gegen die Hacker ist man ja auch hier machtlos. Wie soll denn ein Landratsamt, eine Firma XYZ sich gegen „Hacker“ verteidigen 🤷‍♂️

Schauen wir uns mal Ransomware an. Ransomware ist erstmal ein Programm, das von einem Nutzer gestartet werden muss. Wird das Programm gestartet, verschl├╝sselt es Daten auf die der Nutzer zugreifen kann und versucht sich meist parallel im Netzwerk weiter auszubreiten.

Damit das Programm ├╝berhaupt gestartet werden darf, muss er die technische Berechtigung auf seinem System haben, als normaler Benutzer ein nicht installiertes und nicht freigegebenes Programm zu starten. Ja, warum in aller Welt hat den ein normaler Nutzer dieses Recht? 😳

Unter Windows kann man das sehr leicht testen: Einfach eine Portable App (also eine App, die von einem Benutzer ohne administrative Rechte gestartet werden darf) nutzen. Idealerweise wird die Ausf├╝hrung verhindert. Das kann Windows mit Bordmitteln. Dann kommt folgende Meldung.

App gesperrt = keine „Standard“ Ransomware

Kollege Supper hat da einen schicken Artikel zu geschrieben.

Und warum?

Schade halt, dass die Ausrede „das war ein Hackerangriff“ bei Chefs und Medien so unhinterfragt akzeptiert wird. Ja, es gibt komplexe Angriffe. Wenn die Kriminellen mal „drin“ sind, machen die auch noch anderen Schabernack, den man wegen mir manchmal als Hacking bezeichnen kann. Aber das allerallermeiste da drau├čen ist vermeidbar. Mit wenig Zauberei.

Nehmen wir an, wir sperren jetzt nicht freigegebene Software: Ja, dann wird es in vielen Organisationen sicher zu Problemen kommen. Technisch kein Problem. Organisatorisch schon. Dadurch w├╝rde viel Schatten-IT zu Tage treten. Schatten-IT sorgt aber in vielen F├Ąllen daf├╝r, dass Menschen ihrer Arbeit nachgehen k├Ânnen. Die ist selten aufgrund b├Âser Absichten vorhanden. Aber dann muss man da halt ran.

Ich kenne so viele Mittelst├Ąndler, die bis heute keinen Cybersicherheitsverantwortlichen haben, aber ohne IT da nichts mehr geht. Wenn dann mal ein Verantwortlicher bestimmt wird, ist das oft kein Experte, sondern jemand, der (wenn es gut l├Ąuft) aus der IT kommt und sich f├╝r Sicherheit „interessiert“. Der macht das dann nebenher. Das gibt es in keiner anderen Wissensdom├Ąne. Niemand w├╝rde (und sollte) mich z. B. nebenher als Schreiner besch├Ąftigen, nur weil ich gerne mal was aus Holz herstelle.

Nachhaltige Cybersicherheit ist Aufwand? Ja und? In jedem anderen Bereich wird der Aufwand betrieben. Zu Recht. Keine Buchhaltung ohne Controlling? Keine IT ohne Cybersicherheit!

Der Schwabe sagt „Schaffa isch halt a Gsch├Ąft“. Und auf die Gefahr hin Don Quijot’sche Z├╝ge anzunehmen: Wenn wir unser aller Leben so verdammt auf IT basieren lassen, dann m├╝ssen wir f├╝r Betrieb und Schutz dieser IT ENDLICH Geld in die Hand nehmen.