Die Melde und Analysestelle Informationssicherheit des Bundes (Melani) warnt, dass weiterhin ein erhöhtes Sicherheitsrisiko durch Ransomware-Angriffe bestehe. In den vergangenen Wochen habe Melani, beziehungsweise das Expertenteam von GovCert, mehr als ein Dutzend Fälle bearbeitet. Die Opfer, deren Systeme von Ransomware verschlüsselt und somit unbrauchbar gemacht wurden, waren sowohl Grossunternehmen als auch KMU, so Melani. 

Bei der Aufarbeitung der Vorfälle habe man einige der Hauptschwachstellen beziehungsweise Security-Fehler identifiziert, welche den Angreifern ihre "Erfolge" ermöglichten.

Einige Male wurden Warn-Meldungen von Antivirensoftware, dass auf Servern Malware gefunden wurde, von den Unternehmen entweder gar nicht bemerkt oder nicht ernst genommen.

In einigen, allerdings wenigen Fällen, sei sogar überhaupt keine Antivirensoftware auf den Servern installiert gewesen.

Oftmals seien Remote-Zugänge, beispielsweise über das Remote Desktop Protocol (RDP), nur mit einem schwachen Passwort geschützt gewesen. Ausserdem seien Standardports benützt worden und auch keine Einschränkungen eingerichtet worden, so dass zum Beispiel der Zugriff nur via ein VPN oder von bestimmten IP-Adresse aus möglich gewesen wäre.

Dadurch waren die Systeme sehr leicht zugänglich, so Melani. Die Angreifer konnten auf einfache Weise unbemerkt in Unternehmensnetzwerke eindringen und Malware installieren.

Manchmal kontaktieren ISPs oder Behörden unternehmen, bei denen sie eine mögliche Infektion vermuten. Solche Meldungen seien aber von einigen Unternehmen nicht beachtet oder nicht ernst genommen worden. Vorhandene Malware-Infektionen wurden dadurch gar nicht oder nur teilweise entfernt.

Viele betroffene Unternehmen hatten laut Melani nur Backups ihrer Daten, die dauernd mit dem System verbunden waren. Wenn Ransomware zuschlägt, werden solche Backups oft auch verschlüsselt oder sogar gelöscht. Offline-Backups, die davor sicher gewesen wären, waren oft nicht vorhanden.

Wo veraltete, nicht mehr unterstützte Betriebssysteme oder Software im Einsatz stehen oder wo Security-Patches gar nicht oder mit grosser Verspätung angewendet werden, haben Eindringliche ein einfacheres Spiel. Sie können einfach längst bekannte Sicherheitslücken ausnützen.

Ein schlechtes Patch- und Lifecycle-Management erleichtert zudem auch eine Weiterverbreitung der Malware, wenn sie einmal im System ist.

Die Netzwerke der Opfer waren laut Melani nicht segmentiert. Waren sie einmal irgendwo eingedrungen, beispielsweise auf einen Rechner der Personalabteilung, hatten sie auch einen direkten Weg in andere Abteilungen.

Häufig seien Benutzer mit zu hohen Rechten ausgestattet gewesen, sagt Melani. Dazu gehören zum Beispiel Backup-User, die Domain-Admin-Rechte haben, oder ein Systemverantwortlicher, der mit dem gleichen Login nicht nur im Internet surft, sondern auch Systeme verwaltet.