OneNote und Erpressungstrojaner: Sicher in der Cloud?

Erpresser-Trojaner wie „Locky“ sind vehement auf dem Vormarsch. Sie verschlüsseln alle wichtigen Datendateien und heben die Sperre erst nach Zahlung eines Lösegelds auf. Sind Notizbücher auf OneDrive auch gefährdet?

So genannte Ransomware verbreitet sich derzeit rasend schnell. Erpresser-Trojaner wie „Petya“ oder „Locky“ verschlüsseln alles, was nach Datendatei aussieht (Office-Files, Bilder, Videos) und bieten die Entschlüsselung nach Zahlung eines meist happigen Lösegeldes an. Meistens (nicht immer) wird dieses Versprechen auch gehalten. Selbst diverse Strafverfolgungsbehörden raten dazu, auf die Forderung einzugehen. Zumindest für Unternehmen ist der wirtschaftliche Schaden, der durch die Zahlung des Lösegeldes entsteht, geringer als beim tagelangen Ausfall der EDV-Infrastruktur oder dem aufwändigen Zurückspielen von Backups.

So genannte Ransomware verschlüsseln alle wichtigen Daten auf der Platte und verlangen dann ein Lösegeld für die Entsperrung.
So genannte Ransomware-Trojaner verschlüsseln alle wichtigen Daten auf der Platte und verlangen dann ein Lösegeld für die Entsperrung.

Die Schutzempfehlungen gegen Locky & Co. reichen vom üblichen aktuell halten des Systems über Antiviren-Software, Nicht-öffnen von Mail-Anhängen oder unbekannten Links bis hin zum Abschalten von Cookies und Scripts im Webbrowser. Dennoch – hundertprozentigen Schutz gibt es praktisch nicht. Deswegen ist es mindestens ebenso wichtig, sich für den Fall zu rüsten, dass eine solche Malware doch ihren Weg auf den eigenen Rechner findet und ihr perfides Werk beginnt.

Das Stichwort heißt natürlich Backup. Allerdings sind auch dabei einige Besonderheiten zu beachten. Der in OneNote 2010/2013/2016 eingebaute Backup-Mechanismus zum Beispiel schützt die damit erstellten Sicherungskopien im Normalfall NICHT vor der Verschlüsselung durch Erpressungs-Malware.

Backups: Außer Reichweite halten

Backups sind in der Regel dazu da, im Falle eines Hardwarefehlers (Festplattenausfall) oder einer Fehlbedienung (versehentliches Löschen / Überschreiben von Daten) eine wenigstens halbwegs aktuelle Sicherungskopie bereit zu halten. Meist werden sie automatisch vorgenommen, im Privat und Kleinbüro-Bereich fast immer auf ein ständig erreichbares Medium oder Sicherungspfad. Das kann eine andere Partition (schlecht) bzw. Festplatte (besser), ein permanent angeschlossenes USB-Laufwerk oder auch ein Netzwerkpfad auf einem Server oder einer NAS sein. Logisch, die automatische Backup-Routine soll ja jederzeit auf den Speicherort zugreifen können, um neue Sicherungen anzulegen. Das Problem ist: Nicht nur das Backup-Programm, auch die Malware hat damit Zugriff auf das Speicherziel. Dabei muss es nicht mal mit einem eigenen Laufwerksbuchstaben in das Windows-Dateisystem eingehängt sein; ein Netzwerkpfad nach dem Muster \\server\freigabename reicht genauso. Und eine Sicherungskopie, die ebenso verschlüsselt ist wie die Arbeitsdaten, ist völlig sinnlos.

Damit ein Backup also vor Locky, Petya und Co. außer Reichweite bleibt, braucht es andere Strategien. Die einfachste: Backups manuell auf eine externe Festplatte anschieben und diese danach vom Rechner trennen. Andere Methoden bauen in der Regel darauf, dass das Speicherziel nicht ohne Authentifizierung erreichbar ist, etwa per FTP oder eine entsprechend rechtebegrenzte NAS-Freigabe. Ein Backup-Programm muss entweder in der Lage sein, sich selbst anzumelden oder das Backup wird auch hier manuell gestartet. Ich will an dieser Stelle nicht näher auf die einzelnen Methoden eingehen. Die Zeitschrift c’t hat in ihrer aktuellen Ausgabe 11/2016 ab Seite 108 einen Beitrag hierzu veröffentlicht und zeigt eine Lösung mit dem Freeware-Backup-Tool „Duplicati“.

OneNote-Notizbücher auch in Gefahr?

Ich widme mich dem Ransomware-Thema hier auf dem OneNote-Blog aus einem anderen Grund: Es geht um die Frage, inwieweit OneNote-Inhalte überhaupt in Gefahr sind, von Ransomware verschlüsselt und somit unbrauchbar zu werden.

Bei Office-OneNote und lokal gespeicherten Notizbüchern (egal, ob auf der Platte des Rechners oder in einem Netzwerk) ist der Fall klar: Das sind normal zugängliche Dateien und Ordner und somit auch in keiner Weise geschützt gegen Locky & Co.

Dasselbe gilt wie bereits erwähnt für die von OneNote 2010/2013/2016 automatisch angelegten Sicherungskopien. Auch die liegen als herkömmliche Ordner und .ONE-Dateien in einem vermutlich ständig erreichbaren Verzeichnis vor – leichte Beute für Verschlüsselungs-Trojaner.

Sharepoint scheint sicher, OneDrive auch?

Aber was ist mit Notizbüchern auf Sharepoint oder OneDrive?

Die gute Nachricht zuerst: Zu einem Angriff von Ransomware auf Dateien in einer Sharepoint-Library konnte ich bislang noch nichts finden; dort abgelegte OneNote-Notizbücher scheinen also in Sicherheit.

Und was ist mit OneDrive? Da liegt der Fall leider nicht ganz so einfach. Die eigentlichen Notizbuchdaten sind auf herkömmlichem Wege (also z.B. mit dem Windows-Explorer) tatsächlich nicht erreichbar, und damit wohl auch nicht für Erpressungstrojaner. Das Problem ist aber der lokale OneDrive-Client, also das Synchronisationsprogramm, das einen lokalen Ordner für den Abgleich mit dem Cloudspeicher bereitstellt. Dieser Ordner und darin enthaltene Dateien sind sehr wohl im Zugriffsbereich der Malware.

Unter Windows 7 (auch Version 8? Bin mir hier nicht sicher) war der OneDrive-Client noch ein optional zu installierendes Programm (was man praktischerweise aber in der Regel getan hat). Seit Windows 10 ist er fester Bestandteil des Systems und der Ordner immer per Explorer verfügbar.

Jetzt liegen bekannterweise darin zwar vielleicht Word-Dateien oder Bilder, aber keine OneNote-Inhalte. Stattdessen gibt es für jedes Notizbuch nur eine URL-Verknüpfung, also eine Link-Datei. Die lässt sich nicht mal ohne weiteres löschen. Wohl aber zum Beispiel umbenennen. Und das tun die Verschlüsselungs-Trojaner praktisch nebenbei auch noch.

Ich bin mir nun nicht sicher, inwieweit auch der Inhalt (also die enthaltene Webadresse zum Notizbuch) von der Verschlüsselung betroffen werden kann. Sie mit Bordmitteln zu ändern, lässt Windows jedenfalls nicht zu.

Im lokalen OneDrive-Synchronisationsordner finden sich nur Links zu den Notizbüchern. Manuell ändern lässt sich ihr Inhalt nicht. Aber gilt diese Sperre auch für Verschlüsselung durch Ransomware?
Im lokalen OneDrive-Synchronisationsordner finden sich nur Links zu den Notizbüchern. Manuell ändern lässt sich ihr Inhalt nicht. Aber gilt diese Sperre auch für Verschlüsselung durch Ransomware?

Bleibt es beim Umbenennen, lässt sich das Notizbuch nur nicht mehr unter dem zuvor gültigen Namen (der vielleicht in OneNote noch in der Liste zuletzt geöffneter Notizbücher steht) in OneNote öffnen, wohl aber unter dem neuen Namen. Auch könnten Sie den alten Namen durch manuelles Umbenennen wiederherstellen.

Was genau passiert, wenn sich jedoch auch die in der Link-Datei enthaltene Adresse verschlüsseln lässt, ist mir nicht ganz klar. Möglicherweise klappt der Zugriff dann noch per Webbrowser auf der OneDrive-Oberfläche oder auf www.onenote.com. Vielleicht aber auch nicht (ich hoffe, Sie und ich werden es nie erfahren).

Vertrauen ist gut, Backup ist besser

Von da her lässt sich zusammenfassen: Die eigentlichen Notizbuchdaten auf OneDrive oder OneDrive for Business sind zwar geschützt vor der Verschlüsselung durch einen Erpressungs-Trojaner; der Zugriff darauf aber möglicherweise nicht. Um ganz sicherzugehen, sollten Sie also auch von diesen Notizbüchern ein Backup machen und aus dem Zugriffsbereich von Malware bringen. Mit OneNote 2010/2013/2016 (auch dem kostenlosen) geht das ganz einfach (siehe Beitrag „Ruhig schlafen…„). Wie es auch per Webbrowser klappt, dazu demnächst mehr in einem eigenen Beitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.