Hinter den Zeilen
man in Ruhe überlegen, wann und mit welcher Absicht man wiederkommt. „Jemanden konkret effizient anzugreifen, braucht Zeit, Vorbereitung und gewisse Vorsichtsmaßnahmen, um sich möglichst unerkannt erfolgreich im Zielsystem festzusetzen. Wer hier ohne Rücksicht auf Verluste angreift, wird meist rasch entdeckt.“
Langsame Erholung
Welche Angriffe noch stattfinden werden, wird sich also erst zeigen. Das Gros der Unternehmen, in der solche Webshells entdeckt wurden, sei jedenfalls noch nicht über diese angegriffen worden, weiß Pichlmayr. Microsoft hat zwar relativ rasch einen Patch, also eine Möglichkeit, die Lücke zu stopfen, bereitgestellt. Verwundbare Systeme gibt es aber nach wie vor. Und zwar solche, bei denen die Software-Aktualisierung noch nicht eingespielt wurde, sowie Systeme, bei denen immer noch Webshells vorhanden sind. „Die Zahl der verwundbaren Systeme geht derzeit nur langsam runter“, sagt Rosenkranz. So waren etwa Ende März 254 ExchangeServer ungepatcht – nun sind noch 183 Systeme verwundbar. „Das klingt nicht nach sehr viel, aber eigentlich sollten wir bei Null sein. Das kann aber noch länger dauern“, sagt er.
Webshells suchen
Ist jemand von einem Angriff betroffen, lohnt es sich, nach der Aktualisierung des Systems zu überprüfen, ob Webshells installiert sind. Ist dies der Fall, müssen sie entfernt werden. „Aber auch das ist keine Garantie, dass man sicher ist, denn die Angreifer könnten sich schon lange festgesetzt haben“, sagt der CERT-Experte. Viele Unternehmen holen sich dann externe Unterstützung, um nach Schadsoftware zu suchen, welche die Angreifer schon über diese offenen Türen installiert haben.
Generell haben Cyberangriffe den beiden Sicherheitsexperten zufolge mit der steigenden Digitalisierung, die in der Krise massiv an Bedeutung und Geschwindigkeit gewonnen hat, zugenommen. „Mir macht aber weniger die Anzahl der Angriffe Sorge, sondern die steigende Professionalisierung, mit der sie erfolgen“, sagt Rosenkranz. Früher hätten Angreifer nur den Rechner verschlüsselt und gehofft, dass für die Entschlüsselung gezahlt wird. Das wurde in den vergangenen Jahren massiv professionalisiert. „Man hat zuerst bevorzugt große Unternehmen angegriffen, weil man dort mehr verlangen kann. Heute ist es so, dass wenn jemand nicht bereit ist, zu zahlen, die Daten auch noch gestohlen und zu Geld gemacht werden“, so der Fachmann. Die meisten Anwender, vor allem kleine und mittlere Unternehmen, seien auf solche Angriffe nicht wirklich vorbereitet.