Ein mittelständisches Fertigungsunternehmen erhält am Montagmorgen eine E-Mail, die wie eine Lieferantenrechnung aussieht. Ein Mitarbeiter in der Buchhaltung öffnet den Anhang. Innerhalb von vier Stunden verschlüsselt Ransomware sämtliche Dateiserver und die Produktionssteuerung. Die Produktion steht drei Wochen still — der Gesamtschaden übersteigt zwei Millionen Euro.
Schadprogramme (Malware) gehören zu den häufigsten und zugleich zerstörerischsten Bedrohungen für die Informationssicherheit. Das BSI führt sie als elementare Gefährdung G 0.39 — und das Bundesamt registriert täglich über 250.000 neue Malware-Varianten.
Was steckt dahinter?
Schadprogramme sind Software, die mit dem Ziel entwickelt wurde, unerwünschte und schädliche Aktionen auf dem Zielsystem auszuführen. Das Spektrum reicht von Datendiebstahl über Erpressung bis zur vollständigen Zerstörung von IT-Infrastruktur.
Moderne Malware ist modular aufgebaut. Ein einzelnes Schadprogramm kann Passwörter ausforschen, Schutzsoftware deaktivieren, Dateien verschlüsseln, Systeme fernsteuern und sich selbstständig im Netzwerk ausbreiten. Die Entwicklung hat sich professionalisiert: Ransomware-as-a-Service ermöglicht es auch technisch weniger versierten Angreifern, komplexe Angriffe durchzuführen.
Verbreitungswege
- E-Mail-Anhänge und Links — der häufigste Einstiegspunkt. Office-Dokumente mit Makros, passwortgeschützte ZIP-Archive und Links zu gefälschten Anmeldeseiten.
- Kompromittierte Webseiten — Drive-by-Downloads nutzen Schwachstellen im Browser oder in Plugins aus, ohne dass der Benutzer aktiv etwas herunterlädt.
- Wechseldatenträger — USB-Sticks, die auf dem Firmenparkplatz „gefunden” werden (ein realer Angriffsvektor, bekannt als USB-Dropping).
- Supply-Chain-Angriffe — Malware wird über kompromittierte Software-Updates oder Bibliotheken eingeschleust. Der SolarWinds-Angriff 2020 hat gezeigt, dass selbst signierte Updates manipuliert sein können.
- Laterale Bewegung im Netzwerk — einmal im Netz, nutzen Würmer ungepatchte Schwachstellen oder gestohlene Zugangsdaten, um sich auf weitere Systeme auszubreiten.
Schadensausmass
Der unmittelbare Schaden umfasst den Verlust oder die Verfälschung von Daten. Ransomware macht ganze Datenbestände unbrauchbar. Infostealer leiten Zugangsdaten, Geschäftsgeheimnisse oder personenbezogene Daten an die Angreifer weiter. Hinzu kommen Betriebsunterbrechungen, Wiederherstellungskosten, regulatorische Konsequenzen und Reputationsschäden.
Praxisbeispiele
Ransomware über VPN-Schwachstelle. Ein Krankenhaus betreibt ein VPN-Gateway, für das seit Monaten ein kritischer Patch aussteht. Angreifer scannen systematisch nach genau dieser Schwachstelle, dringen ein und verschlüsseln die klinischen Systeme. Die Notaufnahme muss vorübergehend schließen, Patienten werden verlegt. Der verfügbare Patch hätte den gesamten Vorfall verhindert.
Infostealer über Chat-Nachricht. Ein Angreifer gibt sich im Unternehmens-Chat als externer IT-Dienstleister aus und bittet einen Mitarbeiter, ein Remote-Support-Tool zu installieren. Das Tool ist ein Infostealer, der Browser-Passwörter, Session-Cookies und VPN-Konfigurationen abgreift. Innerhalb von Minuten hat der Angreifer Zugang zum internen Netzwerk.
USB-Dropping auf dem Firmenparkplatz. Auf dem Mitarbeiterparkplatz werden präparierte USB-Sticks mit dem Firmenlogo verteilt. Drei Mitarbeiter stecken den Stick an ihren Arbeitsplatzrechner. Die darauf enthaltene Schadsoftware etabliert eine Fernsteuerungsverbindung (C2) zum Angreifer. Erst nach Wochen fällt ungewöhnlicher ausgehender Netzwerkverkehr auf.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 23 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.8.7 — Schutz gegen Schadsoftware: Endpoint-Protection-Lösung mit automatischer Aktualisierung auf allen Endpunkten.
- A.8.8 — Management technischer Schwachstellen: Systematisches Patching schließt die Einfallstore, über die Malware eindringt.
- A.8.23 — Webfilterung: Blockierung bekannter C2-Server und bösartiger Domains.
- A.6.3 — Informationssicherheitsbewusstsein: Schulungen zu Phishing und Social Engineering reduzieren die Erfolgsquote von Erstzugriffen.
- A.8.19 — Installation von Software: Restriktive Richtlinien verhindern, dass Benutzer eigenständig Software installieren.
Erkennung:
- A.8.15 — Protokollierung: Zentrales Logging erkennt ungewöhnliche Prozesse, Netzwerkverbindungen und Dateiänderungen.
- A.8.16 — Überwachungsaktivitäten: Aktives Monitoring (SIEM, EDR) korreliert Ereignisse und löst Alarme aus.
Reaktion:
- A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Dokumentierter Incident-Response-Plan mit Eskalationswegen und Kommunikationsvorlagen.
- A.5.25 — Bewertung und Entscheidung über Informationssicherheitsereignisse: Strukturierte Triage, um echte Vorfälle von Fehlalarmen zu unterscheiden.
- A.8.13 — Sicherung von Informationen: Regelmäßige, isolierte Backups ermöglichen die Wiederherstellung nach Ransomware.
BSI IT-Grundschutz
G 0.39 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- OPS.1.1.4 (Schutz vor Schadprogrammen) — der zentrale Baustein: Anforderungen an Anti-Malware-Konzept, Scanner-Konfiguration, Aktualisierung und organisatorische Maßnahmen.
- SYS.2.1 (Allgemeiner Client) — Härtung und Absicherung von Arbeitsplatzrechnern.
- NET.1.1 (Netzarchitektur und -design) — Segmentierung begrenzt die laterale Ausbreitung von Malware.
- DER.2.1 (Behandlung von Sicherheitsvorfällen) — Prozesse für Erkennung, Eindämmung und Wiederherstellung.
Quellen
- BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit aktuellen Malware-Statistiken
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.39 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 8.7 — Umsetzungshinweise zum Schutz gegen Schadsoftware