Information und Bildungsarbeit von und für die SAP-Community

Schutzgelderpressung de luxe

Beim Blick auf das vergangene Jahr drängt sich im Sicherheitsumfeld ein Begriff in den Vordergrund: Krypto-Ransomware.
Raimund Genes, Trend Micro
1. Februar 2017
it security Header
avatar

Eines zeigt sich für die Cyberkriminellen allzu deutlich: Damit lässt sich Geld verdienen.

So weit nichts Neues…doch leider sehe ich nur allzu häufig eine Reaktion, die man sehr gut mit „Schockstarre“ – oder besser mit „Schockbequemlichkeit“, wenn es das Wort denn gäbe – bezeichnen könnte.

Damit meine ich, dass man sich selbst mit der Aussage herausredet, das sei „ja nur ein Pro­blem für Privatanwender“ oder schon „der GAU“ gewesen, der größte anzunehmende Unfall.

Doch schlimmer geht immer!

Bevor ich auf die konkreten Hintergründe eingehe, möchte ich Sie zu einem Gedankenexperiment einladen: Stellen Sie sich vor, Sie sind Geschäftsführer einer mittelständischen Firma.

Die von Ihnen angebotene Dienstleistung wird Ihnen von Privatkunden förmlich aus der Hand gerissen, die Firma wächst und gedeiht.

Sie möchten Ihre Kundenbasis erweitern bzw. den bestehenden Kundenstamm mit noch mehr Produkten und Dienstleistungen penetrieren.

Beides bedeutet mehr Umsatz, Wachstum und am Ende des Tages Ihr Gehalt.

Genau hier muss aber die Frage erlaubt sein, wieso man Cyberkriminellen diesen Geschäftssinn abspricht. Wieso geht man davon aus, dass der GAU hinter uns liegt? Wieso sollten Cyberkriminelle keine neuen „Kundenkreise“ erschließen bzw. uns mit „Produkten“ beglücken wollen?

Hier möchte ich Ihnen zwei aktuelle Vorgehensweisen zeigen, mit denen uns Cyberkriminelle in diesem Jahr „beglücken“ werden.

  1. Auf der einen Seite die Ausweitung einer bekannten Masche – Krypto-Ransomware – auf andere Kundenkreise.
  2. Auf der anderen Seite ein „Produkt“ speziell für neue Kundenkreise – mit höherem Upfront-Investment, aber auch deutlich höherem Profit.

Das ursprüngliche Geschäftsmodell von Krypto-Ransomware ist einfach: Daten auf dem (privaten) PC werden verschlüsselt und damit zu Geiseln, die man gegen Zahlung eines bestimmten Betrags freikaufen kann.

Der Gegenwert für die Geiseln steigt für den Erpressten in der Regel mit der Menge der Daten. Und genau an dieser Stelle ist der Anknüpfungspunkt für ein erweitertes Geschäftsmodell!

Wo findet man viele und wichtige Daten, für die deren Besitzer bereit ist, möglichst viel Lösegeld zu zahlen? Sie ahnen es vielleicht schon: in Datenbanken von Firmen.

Genau deshalb haben sich Cyberkriminelle auf die Suche gemacht, und sie wurden fündig bei MongoDB, einer weitverbreiteten NoSQL-Datenbank.

Um die Entwicklung zu vereinfachen, verzichtet sie in der Standardinstallation auf jegliche Authentifizierung.

Wird eine solche Datenbank nun in den regulären Betrieb überführt und ist u. U. sogar noch aus dem Internet erreichbar, ist das Desaster programmiert: Angreifer verschlüsseln die Daten in der Datenbank und hinterlassen in ebendieser den Hinweis, dass die Daten gegen Zahlung von Bitcoins wieder entschlüsselt werden könnten.

2016 wurden bis zu 27.000 Datenbanken pro Tag als Geisel genommen.
Hat sich das Geschäftsmodell bewährt, sucht man nach Abwandlungen.

Aktuell das „Entführen“ bzw. Verschlüsseln von ElasticSearch-Servern. Hinter dem Begriff ElasticSearch steckt eine Vielzahl von Suchmaschinen bei Webseiten und anderen Diensten.

Man könnte jetzt lange darüber diskutieren, wieso überhaupt Produktivdatenbanken ohne Sicherung im Internet hängen.

Fakt ist, dass immer neue Dienste im Internet bereitgestellt werden. Diese online zu stellen und sich dabei darauf zu verlassen, dass sie schon niemand findet, ist illusorisch.

Hier sei ein Besuch bei shodan.io empfohlen, einer Suchmaschine für „Dinge“ (Server, Geräte, Dienste) im Internet.

Salopp gesagt: Wenn Sie einen Dienst online anbinden, dann wird er auch gefunden.

Ist der Dienst nicht sicher konfiguriert (und Datenbanken ohne Passwort sind hier ein sehr prominentes Beispiel) oder hat andere Sicherheitslücken, so muss man davon ausgehen, dass er kompromittiert wird.

Insbesondere, wenn sich damit Geld machen lässt.

Zusammengefasst ist die Aussicht für die Zukunft (leider):

„Schlimmer geht immer.“

Veranlassen Sie daher zielführende Sicherheitsmaßnahmen, auch mit Ausblick auf die Zukunft.

Dies sollte natürlich nicht in Panik und Aktionismus ausarten – das andere Ex­trem, die Schockstarre, hilft aber eben auch nicht.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.