Ransomware ist
Schadsoftware, die darauf abzielt, vom Geschädigten Lösegeld zu erpressen. „Ransom“ ist das englische Wort für „Lösegeld“.
In diesem Artikel erfahren Sie, wie Ransomware funktioniert und wie Sie sich davor schützen können.
Ransomware-Angriffe erfolgen mit einem einzigen Ziel: Der Angreifer will von seinem Opfer Lösegeld erpressen.
Heute gibt es zwei verschiedene Ausprägungen von Ransomware-Attacken:
Die Ransomware verschlüsselt sämtliche Daten des Opfers. Der Angreifer fordert ein Lösegeld und verspricht, nach erfolgter Zahlung den Entschlüsselungscode mitzuteilen.
Damit der Angriff gelingt, muss die Schadsoftware nicht nur die produktiven Dateien – beispielsweise auf der Festplatte des Computers – verschlüsseln, sondern auch
sämtliche Backups.
Dies gelingt, indem die Ransomware so lange im Verborgenen arbeitet, bis sie auch alle Datensicherungen erfasst hat. Erst dann erscheint auf dem Bildschirm des Opfers die Mitteilung, dass seine Daten unbrauchbar geworden und erst nach der Lösegeldzahlung wieder herstellbar sind.
Der Angreifer schleust nicht nur eine Schadsoftware ein, welche die Daten verschlüsselt, sondern stiehlt zusätzlich auch sensible Daten wie Kundendaten oder Lohnlisten.
Er erpresst das Opfer nicht nur mit der Verschlüsselung, sondern droht zugleich,
die gestohlenen Daten im Darknet zu veröffentlichen. Diese doppelte Erpressung (englisch „Double Extortion“) ist besonders wirksam, weil sie dem Angreifer auch dann ein Druckmittel in die Hand gibt, wenn ihm die vollständige Verschlüsselung nicht gelingt.
Wie kann es überhaupt so weit kommen, dass Schadsoftware in ein gut gesichertes IT-System eindringen kann? Warum gelingt es nicht, die Ransomware mit den installierten Virenscannern und Firewalls aufzuhalten?
Die Antwort liegt im „Faktor Mensch“: Die Anwender laden die Schadsoftware unwissentlich selbst herunter.
Angreifer täuschen ihre Opfer auf vielfältige Art und Weise:
Ransomware bleibt (wie oben beschrieben) lange Zeit unentdeckt. Trotzdem gibt es verschiedene Anzeichen, die auf einen Ransomware-Angriff hindeuten. Das BSI rät dazu, die folgenden Vorgänge mittels konsequentem Monitoring zu überwachen, um Angriffsversuche frühzeitig zu entdecken:
Während die oben aufgelisteten Überwachungsaufgaben von IT-Spezialisten durchgeführt werden müssen, können Endanwender auf die folgenden Anzeichen achten:
Als Erstes sollten Sie alle Rechner – PCs, Notebooks, Server – sofort vollständig ausschalten. Trennen Sie die Geräte vom Strom und führen Sie bei Notebooks eine harte Abschaltung durch, indem Sie den Einschaltknopf für mehrere Sekunden gedrückt halten.
Nehmen Sie Kontakt mit IT-Experten auf. Ransomware können Sie nicht selbst entfernen. Glücklicherweise ist es Sicherheitsexperten gelungen, einige der eingesetzten Verschlüsselungen zu knacken. Das BSI stellt auf ihrer Website alle bekannten Entschlüsselungsprogramme kostenlos zur Verfügung.
Wichtig: Zahlen Sie kein Lösegeld! Es gibt keine Garantie, dass der Erpresser Ihnen den versprochenen Entschlüsselungscode mitteilt. Vielmehr müssen Sie damit rechnen, dass weitere Geldforderungen folgen.
Die eingangs beschriebenen Angriffspunkte von Angreifern betreffen alle die Anwender. Deshalb besteht die erste Maßnahme darin, die Anwender zu schulen! Lassen Sie Ihr IT-System von Experten fachkundig aufsetzen. Dazu gehören ein durchdachtes System von Benutzerrechten, Backups, Firewalls, E-Mail-Spamschutz, VPN und einiges mehr.
Ransomware ist die wichtigste Bedrohung von Unternehmen in der heutigen, digitalisierten Wirtschaftswelt geworden. Deshalb müssen sich alle Unternehmen damit auseinandersetzen. Die wichtigsten Präventionsmaßnahmen sind die Schulung der Anwender und das fachkundige Aufsetzen der IT-Infrastruktur. Gerne beraten wir Sie detailliert dazu – nehmen Sie einfach mit uns
Kontakt auf.