Das Lösegeld-Business im IT-Bereich brummt — die Bedrohung durch Ransomware-Angriffe betrifft sämtliche Plattformen und somit sämtliche Unternehmen. Im „Mixed Interview“ mit dem Midrange Magazin (MM) zeigt Robert Engel, Geschäftsführer der Raz-Lee Security GmbH, wie Ransomware seinen Schrecken verliert. Dazu ist im zirka 8-minütigem Webcast-Teil des Interviews eine Kurzdemo enthalten, die ein Anti-Ransomware-Tool native auf der IBM i zeigt.
MM: Die aktuellen Ereignisse haben gezeigt, wie verwundbar eine klassische IT-Umgebung ist. Warum ist Ransomware auch eine Bedrohung, die eine „IBM i-Umgebung“ treffen kann?
Engel: Ransomware kommt zur IBM i immer über angeschlossenen PCs oder Server. Keine Ransomware kann auf IBM i laufen und von dort aus Dokumente verschlüsseln, das ist schon mal die gute Nachricht. Die schlechte Nachricht dazu: Mehr und mehr PCs und Server haben Netzlaufwerkverbindungen zum IFS, dem integrierten Dateisystem der IBM i, in dem klassische PC-Dokumente abgelegt sind. Von PDF-Dateien über .txt, .xlsx, .docx, .csv, ect. sind dort Dokumente wie auf einem lokalen Laufwerk, oder einem Windows-Server Laufwerk gespeichert. Wenn nun ein PC mit Ransomware infiziert ist, werden zunächst die Dokumente in den lokalen Laufwerken verschlüsselt, danach werden die Netzlaufwerke „abgearbeitet“. Sobald der Laufwerksbuchstaben der dem IBM i IFS zugeordnet wurde dran ist, betrifft das auch die IBM i.
MM: Warum gelten die aktuellen Ransomware-Attacken als besonders gefährlich?
Engel: Ransomware wird immer perfider und immer perfekter gemacht. Früher konnte man Ransomware, die einen zum Klick auf einen Link oder zum Download einer Datei aufgefordert hat, noch leicht erkennen. Schlechtes Deutsch mit vielen Schreibfehlern, Absenderfirmen die es gar nicht gab, Empfängerdaten die falsch waren. Mittlerweile sind die Attacken aber so gut gemacht, dass selbst Experten darauf reinfallen. Dazu gibt es Attacken, die nicht über E-Mails kommen, sondern wie im letztens bekannt gewordenen Fall von Kaseya durch Hackerangriffe auf zentrale Strukturen erfolgen. Im genannten Fall wurde Schadsoftware auf die zentralen Management-Server aufgespielt und dann mit höchsten Benutzerberechtigungen an angeschlossene PCs und Server verteilt.
MM: Welche technischen und organisatorischen Ansätze helfen, die Bedrohung durch Ransomware zu reduzieren?
Engel: Wenn Ransomware per Mail kommt, kann man sich mit Vorsicht und gesunder Skepsis in den meisten Fällen helfen. Oftmals findet man in den E-Mails Links auf die man gerne klicken soll. Die Beschreibung und Formatierung des Links erscheinen zunächst mal unbedenklich. Ich rate jedem, egal ob Mail oder Webseite oder überhaupt, erst mal mit der Maus über den betreffenden Link zu fahren. Da zeigt sich nämlich bei „Mouse over“ das Ziel zu dem der Link tatsächlich verzweigt. Statt www.lieferant.de sieht man dann plötzlich einen kryptischen Link auf eine URL die auf ein Unternehmen oder ein Land zeigt das skeptisch macht. Hier sollte man dann die Finger davon lassen. Selbst ein Anruf beim betreffenden Unternehmen ist nicht immer hilfreich: Neulich ist es einem Kunden passiert, dass er vorsichtshalber beim Lieferanten anrief und erst mal die Auskunft bekam, dass alles seine Ordnung hätte. Erst als ich eine halbe Stunde später nochmal anrief, wusste man von den Fake-Mails und bat uns diese zu löschen. Besser als Aufpassen hilft allerdings eine Software die ihnen zuverlässig einen Teil diese Arbeit abnimmt.
Rainer Huttenloher
Im Webcast-Teil wird den Fragen nachgegangen, warum die Ransomware-Bedrohung sämtliche Plattformen – Windows-, Mac- und Linux-Welten ebenso wie IBM i – betrifft.
Zudem verdeutlicht Herr Engel, wie ein Anti-Ransomware-Tool aufgebaut sein sollte, um derartige Bedrohungen für die IBM i-Welt zu reduzieren. Und zum Abschluss zeigt er noch in einer Kurzdemo, wie ein Anti-Ransomware-Tool native auf der IBM i arbeitet. (rhh)
Hier geht es zum Webcast: