Mit digitalem Geld (Kryptowährungen) lässt sich gut verdienen und Cyberkriminelle haben dieses Feld für sich entdeckt, indem sie Cryptojacking anwenden. Damit missbrauchen sie fremde Systeme, wie etwa KMU-Server, um mit deren Leistung die digitale Cyberwährung zu schürfen.
Bei Cryptojacking kommt klassische Schadsoftware zum Einsatz, doch ist sie für den Betroffenen nur schwer zu entdecken. Die Software ist so konzipiert, dass sie keine unmittelbar erkennbaren Schäden verursacht. Sie verbraucht allerdings Ressourcen des KMU, wie Rechenleistung und Speicherplatz. Vor allem Server mit hoher Leistung sind beliebte Ziele für das Cryptojacking. In gewissen Fällen kann die Belastung der IT soweit gehen, dass wichtige Unternehmensprozesse zum Erliegen kommen – die Verhinderung von Cryptojacking ist daher eine wichtige Disziplin der Cyber Security in KMU.
Was sind die Folgen von Cryptojacking?
Die Auswirkungen von Cryptojacking zeigen sich in indirekter Form an bestimmten Symptomen wie die sukzessive oder plötzliche Verlangsamung der Systeme und Anwendungen, höhere Netzwerkauslastungen oder steigender Stromverbrauch. Oftmals bleiben diese Auswirkungen unentdeckt und Kriminelle schöpfen über lange Zeiträume Gewinne auf Kosten der Systemleistung und der Stromrechnung der betroffenen Unternehmen ab. Gleichzeitig sinkt die Produktivität der Unternehmen, aufgrund der abnehmenden Leistungsfähigkeit ihrer IT.
Wie kommt Cryptojacking zustande?
Cyberkriminelle greifen Unternehmen mit Cryptojacking-Scripts (auch Coinminers, Coinmining-Scripts oder Cryptocurrency Miners genannt) an, die über Malware (Schadsoftware) in die IT eingeschleust werden und als Programme Bitcoin, Monero, Ethereum oder andere Kryptowährungen erzeugen. Diese Scripts starten nach erfolgreicher Installation auf dem Zielserver des KMU Programme, die sich über die Unternehmensnetzwerke verbreiten, um einen Teil der Rechenleistung für das Schürfen der Kryptowährungen zu missbrauchen.
Bekanntester Cryptojacking-Script ist der «WannaMine»-Script. Dieser stammt aus derselben Quelle, die 2017 durch das bekannte Schadprogramm «WannaCry» berühmt gemacht wurde. Es wird vermutet, dass die Quelle dieser Schadprogramme vom US-Amerikanischen Auslandgeheimdienst NSA gestohlen wurde.
Viele Cryptojacking-Aktivitäten erfolgen durch browserbasierte Coinmining-Scripts. Dabei genügt es, dass sich ein Mitarbeiter über seinen Webbrowser im Internet befindet – sobald eine besuchte Webseite ein Coinmining-Script enthält, wird die Rechenleistung des Webseitenbesuchers und seines Unternehmens verwendet, um die Kryptowährung zu schürfen. Dies geschieht so lange, wie die Webseite geöffnet ist. Diese browsergestützten Coinmining-Scripts ermöglichen es Cyberkriminellen, auch Geräte mit vollständig aktualisierten Patches anzugreifen und zwar so, dass die Aktivität von den Opfern nicht bemerkt wird.
Woran lässt sich Cryptojacking erkennen?
Anzeichen dafür, dass ein Computer für Coinmining missbraucht wird, sind folgende:
- Hohe CPU-Auslastung über einen längeren Zeitraum
- Langsame Reaktionszeiten
- Überhitzung der Computer
- Abstürze und häufige Neustarts
- Ungewöhnliche Netzwerkaktivitäten wie etwa Verbindungen zu Mining-Websites oder Mining-IP-Adressen
Wie lässt sich Cryptojacking in KMU verhindern?
Das unerwünschte Schürfen lässt sich am besten bekämpfen, wenn es frühzeitig erkannt wird. Ein besonderes Augenmerk gilt den typischerweise auftretenden und länger andauernden CPU-Lastspitzen (die übermässige Belastung der zentralen Prozessoren der IT), die das IT-System jenseits des Normalbereichs belasten.
Die IT-Abteilung oder der externe IT-Dienstleister muss dazu die CPU-Schwellenwerte kennen und Analysemechanismen im Einsatz haben sowie ein 24-Stunden-Monitoring bereitstellen. Dieses alarmiert den Administrator, sobald die CPU-Auslastung die Schwellenwerte überschreitet. Dieser wiederum prüft die laufenden Netzwerkaktivitäten, um festzustellen, ob ungewöhnliche Verbindungen zu auffälligen Websites oder IP-Adressen bestehen. Ist Cryptojacking einmal entdeckt, lassen sich illegal eingerichtete Nutzerkonten und andere Änderungen rückgängig machen.
Eine weitere wichtige Massnahme ist die Sensibilisierung der Mitarbeitenden für Cryptojacking in Verbindung mit Phishing E-Mails. Nur wenn sie die möglichem Gefahren für die Sicherheit der IT kennen und wissen, wie sich sich in der täglichen Arbeit zu verhalten haben, können sie einen Beitrag zur Cyber Security und zur Verhinderung von Cryptojacking leisten. Unerlässlich sind dazu regelmässige Schulungen des Personals zu folgenden Themen:
- Phishing-Attacken: wie werden sie erkannt und verhindert? Wie funktioniert der Quick-Check zur Identifikation von Phishing E-Mails?
- Was ist Social-Engineering? Wie lässt es sich identifizieren und abwehren?
- Wie verhindert man, dass Malware auf den Rechner gelangt?
Damit KMU Cryptojacking frühzeitig erkennen und verhindern können, ist ein Erstgespräch mit einem Anbieter von Managed IT Services ratsam. Dieser kann Unternehmen unterstützend zur Seite stehen, die verschiedenen Optionen gegen Cryptojacking aufzeigen oder die Implementierung von präventiven Massnahmen einleiten (24-Stunden-Überwachung, Prüfen der laufenden Netzwerkauslastung, Schulung, usw.). Zudem ist ein kompetenter Anbieter bei Bedarf in der Lage, ein gesamtheitliches Konzept für die Cyber Security zu planen.
.png){kind=icon}
