Die Ransomware gehört zu der Familie der Malware – das sind Programme, die einem Gerät Schaden zufügen können.
Als Unterart der Malware ist die Ransomware ein Schadprogramm, das – wie das englische Wort „ransom“ (Erlösung, Freikauf) impliziert – in Verbindung mit Lösegeld steht. Oft werden die Begriffe „Erpressersoftware“, „Erpressungstrojaner“ oder „Verschlüsselungstrojaner“ synonym für Ransomware verwendet.
Bei einem Ransomware-Angriff installieren Täter auf dem Computer unbemerkt ein Schadprogramm und verhindern den Zugriff auf das System bzw. die Daten. Für die Wiederfreischaltung bzw. Entschlüsselung fordern sie von den Opfern ein Lösegeld. Die Täter haben in diesem Moment die Kontrolle über das Gerät und können so einzelne Dateien oder den gesamten Computer verschlüsseln. Als Unternehmen unterliegen Sie außerdem der Gefahr, dass das Schadprogramm sich auf das gesamte Netzwerk überträgt und somit alle verbundenen Geräte infiziert und verschlüsselt werden.
Einer der ersten Ransomware-Angriffe bzw. ein Vorreiter der heute eingesetzten Ransomware wurde im Jahr 1989 verzeichnet. In diesem Jahr wurde die Ransomware durch den Evolutionsbiologen Joseph L. Popp mithilfe von 20.000 Disketten in Umlauf gebracht. Diese hatten die Bezeichnung „Aids Information – Introductory Diskette“. Die auf der Diskette abgespeicherten Daten beinhalteten das Schadprogramm, sodass das Programm durch den Datenaustausch auf den Computern vieler Teilnehmer der Welt-AIDS-Konferenz der WHO installiert wurde. Einige Tage nach dem Einführen der Diskette wurde die Verschlüsselung der Festplatte ausgeführt. Für die Freigabe forderte Popp jeweils ein Lösegeld in Höhe von 189 US-Dollar.
Ransomware entwickelt sich stetig weiter, sodass mittlerweile unzählige Variationen existieren. Generell wird zwischen den Oberkategorien Crypto-Ransomware und Locker-Ransomware unterschieden:
Es werden wichtige Dateien auf dem Computer verschlüsselt, sodass die Opfer keinen Zugriff mehr auf diese haben. Zur Entschlüsselung der Daten verlangen die Angreifer ein Lösegeld. Oftmals üben sie zusätzlichen Druck durch das Setzen einer Frist aus. Eine Crypto-Ransomware kann in verschiedenen Formen auftreten:
Bei einer Scareware handelt es sich etwa um eine gefälschte Software, die behauptet, nicht-existente Probleme auf dem Computer gefunden zu haben. Dabei tauchen die Mitteilungen in Form von Pop-Ups oder Warnungen auf dem Computer-Bildschirm auf. Eine andere Taktik verfolgt die Leakware oder Doxware. Den Opfern wird mitgeteilt, dass die Täter Zugriff auf private Daten erlangt haben. Bei Nicht-Bezahlung des geforderten Lösegelds wird mit einer Veröffentlichung der Daten gedroht.
Locker-Ransomware hingegen tritt oft als Screenlocker (Bildschirmsperre) bzw. in Form einer Systemsperrung auf. Die Täter sperren den Bildschirm, sodass die Opfer fast gar keinen Zugriff mehr auf das System haben. Zur Freischaltung des Computers wird auch hier ein Lösegeld gefordert. Eine derartige Ransomware-Familie (Reveton) wurde umgangssprachlich auch als „BKA-, BSI- oder GVU-Trojaner“ bezeichnet, da sie so aussieht, als ob sie von einer staatlichen Behörde (z. B. dem BKA) stammt. Die Opfer werden damit erpresst, dass sie angeblich gegen das Gesetz verstoßen haben und polizeiliche Ermittlungen eingeleitet wurden.
Eine Ransomware kann auf verschiedene Weisen Zugang zu einem Gerät erhalten und sich dort weiterverbreiten. Häufig geraten die Schadprogramme über heruntergeladene Malware-Anhänge, versteckte Add-ons bei Downloads oder schadhafte Internetseiten auf den Computer oder andere Geräte. Wir haben Ihnen eine Übersicht verbreiteter Zugangsweisen zusammengestellt:
Phishing E-Mails sind betrügerische E-Mails, in denen sich die Täter als vertrauenswürdige Personen bzw. Unternehmen ausgeben und mit ihrer E-Mail einen Anhang oder Link verschicken. Die angehängten Dateien werden meistens im PDF-, DOC- oder XLS-Format versendet und lösen durch das Herunterladen den Angriff auf Ihrem Computer aus. Auch eine Aufforderung zur Eingabe von Daten findet sich in Phishing E-Mails.
Eine weitere Möglichkeit, wie Ransomware Ihren Computer treffen und infizieren kann, ist über das Malvertising – eine Mischung aus den Begriffen „Malware“ und „Advertising“. Dabei handelt es sich um eingeschleuste Werbeanzeigen im Internet. Diese sind potenziell nicht nur auf schadhaften, sondern auch auf seriösen Internetseiten vorzufinden. Dabei wird nicht zwangsläufig ein Klick auf die tatsächliche Anzeige benötigt. In manchen Fällen wird die Ransomware bereits durch das Besuchen einer Webseite direkt auf Ihren Computer heruntergeladen, ohne dass Sie aktiv etwas angeklickt haben. Dann spricht man häufig von Drive-by-Downloads. Die Täter manipulieren die Internetseite so, dass beim Besuch automatisch die Ransomware heruntergeladen wird. Besonders anfällig dafür sind veraltete Internetbrowser.
Oftmals werden zur Verbreitung und Erstellung der Ransomware auch sogenannte Exploits verwendet. Die Täter finden mit derartigen Schadprogrammen angreifbare Stellen und Sicherheitslücken in Netzwerken oder Computern und greifen z. B. Geräte mit veralteter Software an. Werden Schwachstellen identifiziert, können diese in sogenannten Exploit-Kits integriert werden. Sie können dann von den Angreifern verwendet werden, um Ransomware zu verteilen. Dies kann vor allem für Sie und Ihr Unternehmen ein großes Problem werden, wenn alle mit dem Netzwerk verbundenen Geräte im Anschluss an die Infizierung verschlüsselt werden.
Die vorgestellten Zugangsweisen werden nicht ausschließlich für den Einsatz von Ransomware verwendet, sondern finden auch bei anderen Formen von Malware Anwendung.
Nachdem sich die Ransomware auf Ihrem Gerät verbreitet hat, können die Täter mit dem Angriff fortfahren. Mitunter wird außerdem zusätzliche Schadsoftware „nachgeladen“. Sobald die Installation vollzogen wurde, kann die Verschlüsselung des Systems bzw. der Daten beginnen und die Opfer erhalten in der Regel eine Mitteilung mit dem geforderten Lösegeld auf dem Bildschirm. Unternehmen wird hierbei meist mit einem dauerhaften Verlust oder der Veröffentlichung wichtiger Datenbestände gedroht. Das kann mitunter einen Stillstand Ihres Unternehmens oder finanzielle sowie reputationsbezogene Schäden zur Folge haben.
Das verlangte Lösegeld der Täter kann durchaus variieren. In vielen Fällen hängt die Summe auch davon ab, für wie lohnenswert die Täter das Opfer bzw. die Opfer halten und welche Ressourcen vermutet werden. Viele Täter bestehen heutzutage auf eine Bezahlung über eine virtuelle Währung, wie z. B. Bitcoin. Die Ausführung der Zahlung garantiert allerdings keine Freigabe der Daten. Obwohl Sie und Ihr Unternehmen im Idealfall erneut Zugriff auf Systeme und gesperrte Dateien erhalten, ist dies nicht in jedem Fall gewährleistet.
Damit Sie einen besseren Einblick in das Vorgehen sowie die Taktiken von Ransomware-Angriffen bekommen, haben wir Ihnen zwei Beispiele aus der Praxis zusammengestellt.
Mit dem Schadprogramm „WannaCry“ wurden im Mai 2017 auf mehreren tausend Rechnern mit einem Windows-Betriebssystem weltweit Datenbestände verschlüsselt. Viele weitere Computer wurden zwar höchstwahrscheinlich ebenfalls infiziert, konnten allerdings durch das Aktivieren einer Funktion vor größerem Schaden geschützt werden. Betroffen von dem Angriff war unter anderem das spanische Telekommunikationsunternehmen Telefónica, zu dem die Marke O2 gehört. Konkret handelte es sich bei der eingesetzten Schadsoftware um einen sogenannten „Wurm“. Ohne eine Aktivität des Nutzers konnte sich dieser eigenständig weiterverbreiten.
Weitere bekannte Angriffe wurden in Verbindung mit den Schadprogrammen CryptoLocker, CoinVault, Petya, NotPetya, Bad Rabbit und Locky ausgeführt.
Ransomware kann vor allem bei Unternehmen große Schäden anrichten. Es gibt jedoch einige Sicherheitsmaßnahmen, die Sie in Ihrem Unternehmen ergreifen können, um sich zukünftig besser vor einem Angriff zu schützen. Einige wichtige sind:
Durch die Erstellung von regelmäßigen Backups können Sie einem vollständigen Datenverlust durch einen Ransomware-Angriff in Ihrem Unternehmen vorbeugen – auch wenn Sie das nicht vor allen weiteren Schäden schützt. Die letzte Sicherheitskopie Ihrer Daten können Sie im Ernstfall dann erneut auf Ihren Computer übertragen. Hierbei ist es wichtig, das Backup auf einem Medium abzuspeichern, welches nicht selbst durch Ransomware angegriffen werden kann. Nutzen Sie dafür im besten Fall ein Medium, welches nicht ununterbrochen mit dem Computer verbunden ist und offline verwendet werden kann.
Da die Verschlüsselung meist zeitverzögert zu dem Herunterladen oder Nachladen von Schadprogrammen geschieht, kann ein Virenscanner bei der Erkennung vorhandener Ransomware helfen. Auch andere Tools zum Monitoring der unternehmenseigenen Systeme können präventiv eingerichtet werden.
Einer der größten Angriffspunkte für Ransomware sind veraltete Betriebssysteme, deren Schwachstellen bekannt sind. Aus diesem Grund sollten Sie stets die aktuellste Version des Betriebssystems auf Ihrem Computer installiert haben und Updates regelmäßig durchführen. Dasselbe gilt auch für veraltete Internetbrowser. Die Durchführung wichtiger Sicherheitsupdates ist ebenfalls notwendig.
Mittlerweile gibt es einige Schutzprogramme für das E-Mail-Postfach und den Internetbrowser, die vor Ransomware-Angriffen schützen können. Ein E-Mail-Schutz sorgt dafür, dass die meisten gefährlichen E-Mails erkannt werden und die dazugehörigen Anhänge durch den Spamfilter blockiert bzw. in den Spamorder verschoben werden. Ein Browser-Schutz, welcher oftmals auch als Werbeblocker dient, kann das Herunterladen von trügerischen Dateien im Internet gegebenenfalls verhindern.
Erstellen Sie für Ihr Unternehmen außerdem konkrete IT-Notfallpläne und Sicherheitskonzepte, wie in Notfällen und bei Angriffen zu verfahren ist. Empfehlenswert ist zudem etwa eine Aufteilung des Netzwerks in kleinere Subnetzwerke (Netzwerk Segmentierung) und eine umfassende Aufschlüsselung sowie Trennung von Zugriffsrechten. So kann im Idealfall verhindert werden, dass sich Ransomware im gesamten Netzwerk ungehindert verteilen kann und potenzielle Schäden werden eingegrenzt.
Grundsätzlich empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) keine Lösegelder bei einem Ransomware-Angriff zu zahlen. Die meisten Täter haben kein Interesse daran, die Daten nach der Übergabe des Geldes wieder zu entschlüsseln und freizugeben. Auch können die an Sie übermittelten Schlüssel zur Entschlüsselung fehlerhaft sein. Stattdessen sollten Sie die Polizei kontaktieren und Anzeige erstatten.
Benötigen Sie Unterstützung bei der Erstellung von regelmäßigen Backups oder der Implementierung von Präventivmaßnahmen? Dann melden Sie sich telefonisch, per Mail oder über das Kontaktformular bei uns! Wir von datenzeit beantworten Ihre offenen Fragen und finden gemeinsam mit Ihnen eine geeignete Vorgehensweise für Ihr Unternehmen.
Offline-Backups sind entsprechend unerlässlich, da sie eine Möglichkeit bieten, die verschlüsselten Dateien zurückzuspielen, sobald das infiltrierte Netzwerk wieder bereinigt ist. Die betroffenen Systeme sollten in jedem Fall neu installiert und das Netzwerk neu aufgebaut werden, bevor Daten zurückgespielt werden. Geschieht dies nicht, besteht die Gefahr, dass die Täter erneut eine Verschlüsselung auslösen. Sind auch die Backups von der Verschlüsselung betroffen, ist in den meisten Fällen letztlich nur das Zurücksetzen des betroffenen Gerätes auf die Werkeinstellungen möglich. Dabei sollten Sie beachten, dass dies mit dem Verlust Ihrer Daten verbunden ist.
Falls Sie entgegen der Empfehlung des BSI doch das Risiko eingehen wollen und das Geld an die Täter zahlen möchten, sollten Sie keinesfalls Ihre Kreditkarte dafür verwenden. Dies würde es den Tätern im schlimmsten Fall ermöglichen, weitere Zahlungen mit Ihrer Karte zu tätigen und sensible Daten zu erfassen. Informieren Sie auch Ihre Cyber-Versicherung, falls diese vorhanden ist, holen Sie rechtlichen Rat ein und stimmen Sie die Zahlungen unbedingt mit den jeweiligen Aufsichtsbehörden ab.
Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für die IT in Ihrem Unternehmen.
Ransomware ist ein Schadprogramm, das es den Tätern durch die Installation auf einem Gerät möglich macht, Dateien zu verschlüsseln und den Zugriff auf das System für die Besitzer einzuschränken. Zur Freigabe des Computers oder der Dateien wird ein hohes Lösegeld verlangt.
Durch die Verschlüsselung der Dateien und den eingeschränkten Zugriff auf das System Ihres Gerätes müssen Sie in den meisten Fällen eines Ransomware-Angriffs mit Verlust oder Veröffentlichung Ihrer Daten rechnen. Dies kann vor allem bei Unternehmen zu einem hohen Schaden führen.
Nein, eine Ransomware ist kein Virus. Beide Arten gehören zwar zu der Familie der Malware, allerdings verschlüsselt ein Virus nicht Ihre Daten, sondern infiziert sie.
Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de
Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de
