Meistens sind es Berichte über Angriffe auf Krankenhäuser oder öffentliche Verwaltungen, die Schlagzeilen machen, wenn Cyberkriminelle deren Systeme durch die Verschlüsselung von Daten und Datenträgern lahmgelegt haben. Angriffe auf Lieferketten finden genauso häufig statt, spielen sich jedoch meist unter Ausschluss der medialen Öffentlichkeit ab. Schweigen ist in diesem Fall die Taktik der Wahl – aus Angst vor einem irreparablen Reputationsschaden. Dabei ist die Gefahr Opfer solcher Attacken zu werden denkbar hoch. So hat die EU-Agentur für Cybersicherheit (ENISA) in ihrem Lagebericht zu Cyberbedrohungen Angriffe mit Ransomware als die aktuell größte Bedrohung ausgemacht.
Welche dramatischen Folgen diese haben kann, beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Branchenlagebild Automotive anhand eines Beispiels aus dem Ausland: „Ein weltweit führender Autohersteller (…) musste alle Werke in seiner Heimat (…) stoppen und die Produktion vorübergehend einstellen (…) Die Ursache dafür lag allerdings nicht auf Seiten des Herstellers, sondern ein wichtiger Zulieferer war Opfer eines massiven RansomwareAngriffs geworden und konnte die Produktion nicht mehr aufrechterhalten.“
Banale Brandursache
Selbst die verheerendsten Brände haben meistens einen banalen Auslöser: Noch ernüchternder als die Angriffe und ihre Folgen ist die Banalität der für Ransomware-Attacken gemeinhin genutzten Angriffstaktik: gewöhnliche Spam-Nachrichten, die massenweise in den Posteingängen der Belegschaften von Herstellern und Zulieferern landen. Das Anklicken eines bösartigen Links oder das Öffnen eines verseuchten Anhangs genügen, damit das Unheil seinen Lauf nimmt. Darin sind sich sowohl ENISA als auch BSI einig. Dabei ist den unglücklichen Usern, die auf die Betrugsmasche hereinfallen, kein Vorwurf zu machen. Im BSI-Bericht „Ransomware“ zur Bedrohungslage 2022 heißt es: „So werden angebliche Rechnungen, Bestellbestätigungen, Paketempfangsbestätigungen, eingescannte Dokumente, empfangene Faxe, teilweise unter Verwendung von echten Firmennamen und -adressen und zum Teil in perfekter Nachahmung tatsächlicher Firmen-E-Mails, versendet.“
In der Tat schaffen es Spam-Nachrichten immer wieder, die Anti-Spam-Programme der Unternehmen zu passieren. Betreffzeilen und Inhalte sehen täuschend echt aus, sodass die Anwenderinnen und Anwender den Eindruck gewinnen, es handele sich um legitime und teilweise personalisierte Nachrichten von Lieferanten oder Kunden – oder sogar von Vorgesetzten. Um so gut fälschen zu können, lesen die Cyberkriminellen im Vorfeld des Ransomware-Angriffs oftmals den E-Mail-Verkehr ihrer Opfer mit, zum Beispiel indem sie sich unbemerkt in den E-Mail-Servern einnisten. Wer angesichts dieser Situation von sich behauptet, niemals auf gefälschte E-Mail-Nachrichten hereinzufallen, sollte noch einmal in sich gehen.
Zu wenig Löschwasser
Natürlich helfen gegen Ransomware-Angriffe bewährte Methoden wie der Einsatz von Sicherheitslösungen, das regelmäßige Einspielen von Updates sowie Sicherheitsaktualisierungen und nicht zuletzt regelmäßige IT-Sicherheitsschulungen für das Personal. Und doch reicht das Löschwasser nicht aus, um den Brand einzudämmen. Denn bei all diesen Maßnahmen bleibt das alte Sicherheitsproblem bestehen: Gewöhnlichen E-Mails fehlt der Briefumschlag. Dadurch können alle, die sie auf dem Transportweg vom Sender zum Empfänger in die Hände bekommen, ihre Inhalte wie auf einer Postkarte mitlesen.
Dem analogen Briefumschlag entspricht in der digitalen Welt die Verschlüsselung. Und wie der Absender seinen Brief in den Umschlag steckt, so können User mit der richtigen Lösung ihre E-Mail-Nachrichten und deren Inhalte, ja sogar die Betreffzeilen in der E-Mail-Anwendung auf ihrem Rechner verschlüsseln. Cyberkriminelle können dadurch nicht mehr mitlesen, selbst wenn sie die E-Mail-Server infiziert haben. Die Fälschungsversuche werden qualitativ schlechter und als solche leichter erkennbar, die Wahrscheinlichkeit erfolgreicher Ransomware-Angriffe sinkt.
Doch wie sehen das Entscheiderinnen und Entscheider in deutschen Unternehmen? Laut einer Forsa-Umfrage von 2022 im Auftrag von Tresorit unter 100 Verantwortlichen für IT-Sicherheit und Datenschutz sowie Geschäftsführern von Unternehmen ab 50 Mitarbeitern sind rund 70 Prozent der Befragten der Meinung, dass E-Mail-Verschlüsselung dazu geeignet ist, Betrugsmaschen zu vereiteln, die Vorgesetzte als Absender vorgaukeln („CEO Fraud“) oder gezielt Führungspersonen mithilfe vermeintlich vertrauenswürdiger Absender und Inhalte ansprechen („Spear Phishing“).
Zwar wurde in der Studie nicht danach gefragt, ob E-Mail-Verschlüsselung auch dazu geeignet ist, Ransomware-Angriffe zu erschweren. Weil jedoch Cyberkriminelle sowohl bei den genannten Betrugsmaschen „CEO Fraud“ und „Spear Phishing“ als auch bei Ransomware-Attacken gefälschte E-Mail-Nachrichten als Angriffsmethode nutzen, erscheint das Studienergebnis durchaus auch auf Ransomware übertragbar – auch weil laut ENISA-Bericht Ransomware-Angreifer neben eher gewöhnlichen Spam-Nachrichten zusätzlich auf ausgefeiltere Angriffstaktiken wie „Spear Phishing“ zurückgreifen.
Erfreulich ist vor diesem Hintergrund, dass mehr als die Hälfte der von Forsa Befragten davon berichtet, dass sie einen Anstieg des Anteils verschlüsselter E-Mails in der Unternehmenskommunikation feststellen: Sieben Prozent sehen einen deutlichen Anstieg, knapp die Hälfte (48 Prozent) einen leichten.
Feuer mit Feuer bekämpfen
Trotzdem sind viele Unternehmen weiterhin skeptisch. Laut Forsa-Studie begründet rund die Hälfte der Unternehmen, die bisher keinen externen Verschlüsselungsdienst nutzen oder nutzen wollen, dies unter anderem damit, dass Empfänger den gleichen Service nutzen müssten beziehungsweise dass der externe Anbieter auf die verschlüsselten Mails zugreifen könne. Und denjenigen Unternehmen, die bereits eine externe Verschlüsselungslösung nutzen oder dies planen, ist es fast ausnahmslos wichtig, dass sich der Service nahtlos in die eigene E-Mail-Umgebung einbinden beziehungsweise auch ohne vorherige Schulung einfach nutzen lässt. Darüber hinaus ist die Verfügbarkeit einer echten Ende-zu-Ende-Verschlüsselung für rund drei Viertel dieser Unternehmen ein wichtiges Entscheidungskriterium.
Um Akzeptanz zu finden, muss eine IT-Lösung gleich mehrere Anforderungen erfüllen. Vor allem kommt es darauf an, dass eine echte Ende-zu-Ende-Verschlüsselung von Client zu Client ohne Zugriffsmöglichkeit Dritter geboten wird. Das entscheidende Stichwort hier lautet Zero Knowledge. Nicht einmal der Verschlüsselungsanbieter selbst darf Zugriff auf die Schlüssel bekommen. Zugleich muss ein solches System auch dann funktionieren, wenn die Empfänger verschlüsselter Nachrichten nicht dieselbe Verschlüsselungslösung wie die Sender einsetzen. Zu guter Letzt sollte auch der Empfänger die Möglichkeit haben, auf verschlüsselte Nachrichten mit verschlüsselten Antworten zu reagieren.
Der Aufwand, geeignete Angebote am Markt zu evaluieren, ist sicher hoch, lohnt sich aber. Denn eine von Client zu Client verschlüsselte E-Mail-Kommunikation würde das am meisten missbrauchte Einfallstor für Verschlüsselungsangriffe auf Lieferketten durch Erpressersoftware praktisch unpassierbar machen. Auch wenn 100 Prozent Sicherheit unmöglich sind: Das Ransomware-Feuer lässt sich am besten mit Feuer bekämpfen.
Der Autor:
István Lám, CEO von Tresorit
