Bei vielen Cyber-Attacken erhoffen sich die Angreifer Geld – die Verbreitung von Ransomware ist hierfür das perfekte Beispiel. Was sich genau hinter der Bedrohung verbirgt und wie man sich professionell davor schützen kann, erklären wir Ihnen hier.
Google zufolge sollen durch Ransomware im Zeitraum vom 1.1.2014 bis zum 1.4.2017 mehr als 25 Millionen US-Dollar erbeutet worden sein.
Ransomware ist nichts neues.
Erpressungstrojaner wie z.B. GoldenEye oder WannaCry haben in der Vergangenheit gezeigt, welche große Gefahr von Ransomware ausgehen kann. Diese Gefahr ist leider noch nicht gebannt und immer noch sehr aktuell.
Welchen Schaden Ransomware anrichten kann, verdeutlicht ein das Beispiel aus dem US-Bundesstaat Georgia: Cyberkriminelle haben es dort mittels Ransomware geschafft, einen Großteil der öffentlichen Verwaltung des Jackson County zum Erliegen zu bringen. Das geforderte Lösegeld von 400.000 US-Dollar zahlten die Opfer bereitwillig – allerdings nur vor dem Hintergrund, daß ein langfristiger Ausfall bzw. der Wiederaufbau der Systeme mehr kosten könnte.
Ein Begriff. Zwei Varianten
Wie Sie schon richtig vermutet haben, nutzt auch die Ransomware menschliches und technisches Fehlverhalten rücksichtslos aus – infizierte E-Mail-Anhänge, gefälschte Webseiten, Sicherheitslücken in Browsern oder Server-Schwachstellen sind nur Beispiele hierfür.
Sind Ihre Systeme erst einmal mit der Ransomware infiziert, müssen Sie sich mit großer Wahrscheinlichkeit auf eines der folgenden beiden Szenarien gefaßt machen:
1: Ihre Systeme werden blockiert
Die meisten Opfer dieser Art von Ransomware berichten von einem Hinweisfenster, das sich nicht mehr schließen läßt und das die Verwendung des Computersystems deutlich beschränkt. Über das Hinweisfenster werden die Betroffenen darüber informiert, daß sich die Systemblockade nur durch das Zahlen der Lösegeldforderung beseitigen ließe.
2: Daten werden verschlüsselt
Tritt dieser Fall ein, findet unbemerkt eine Verschlüsselung der Daten auf dem infizierten System statt, wodurch dann ein Zugreifen nicht mehr möglich ist. Dabei können nicht nur die Daten auf der Festplatte in Mitleidenschaft gezogen werden, sondern auch die, die sich auf verbundenen Speichern befinden, etwa in der Cloud oder auf Servern. Den Schlüssel, der zur Entschlüsselung der Dateien notwendig ist, händigen die Hacker (wenn überhaupt!) nur im Tausch gegen das geforderte Lösegeld aus.
In vielen Fällen drohen die Cyberkriminellen damit, das System langfristig zu blockieren bzw. die verschlüsselten Daten zu löschen, sollte die Polizei hinzugezogen werden.
Maßnahmen gegen Ransomware
Damit es erst gar nicht dazu kommt, daß Ihre Systeme mit Ransomware infiziert werden, gibt das Anti-Ransomware-Projekt „No More Ransom“ unter https://www.nomoreransom.org einige praktische Tips, denen wir so nur beipflichten können:
Regelmäßige Backups schützen Sie vor unerwarteten Datenverschlüsselungen bzw. -verlusten. Wichtig: Speichern Sie die erstellte Sicherungskopie unbedingt auf externen Medien (am besten einmal physisch und einmal virtuell) ab und trennen Sie diese danach von der Hardware – ansonsten könnte Ransomware auch darauf übergreifen.
Sorgen Sie mit automatischen Updates dafür, daß Ihre Betriebssysteme und Programme immer auf dem aktuellsten Stand sind.
Verwenden Sie eine professionelle Anti-Viren-Software wie Kaspersky, BitDefender oder TrendMicro. Hier hilft Ihnen auch kein Sparen. Umsonst-Software wie Avira und Konsorten sind an dieser Stelle nicht umsonst, denn der Einsatz dieser unserer Erfahrung nach unqualifizierter Software kann ihre Daten kosten. Die sogenannten heuristischen Funktionen, die heute normalerweise Standard bei Antivirenprogrammen sind, helfen bei der Erkennung von noch unbekannter Ransomware und sollten daher immer eingeschaltet bleiben.
Lassen Sie bei unbekannten und/oder verdächtigen E-Mails (oder anderen Online-Benachrichtigungen) Vorsicht walten, das heißt Anweisungen, Anhänge und Links sollten in solchen Fällen lieber ignoriert werden.
Sollten Sie Windows im Einsatz haben, ist es ratsam, die Option “Dateierweiterungen anzeigen” in den Windows-Einstellungen zu aktivieren, um dadurch potentielle Ransomware schneller zu identifizieren. „No More Ransom“ warnt insbesondere vor Dateien mit den Erweiterungen “.exe”, “.vbs” und “.scr”.
Zusätzlich zu den genannten Präventionsmaßnahmen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), Mitarbeiterschulungen durchzuführen und im Allgemeinen das Bewußtsein für Cybersecurity im Unternehmen zu erhöhen.
Für den Fall, daß Sie sich bereits Ransomware eingefangen haben und Ihre Daten verschlüsselt wurden ist folgende Vorgehensweise empfehlenswert:
Trennen Sie das betroffene Gerät unverzüglich von allen Netzwerken – nur so können Sie verhindern, daß sich die Ransomware ausbreitet.
Installieren Sie im nächsten Schritt dann das System neu und ändern Sie danach alle Paßwörter.
Jetzt können Sie – wenn vorhanden – die Backup-Daten wieder auf Ihr System zurückspielen. Wurde vorab keine Sicherungskopie erstellt, sollten Sie die verschlüsselten Daten dennoch behalten, da es für viele bekannte Ransomware bereits Gegenmittel gibt, etwa die Entschlüsselungs-Werkzeuge von No More Ransom.
Erstatten Sie Anzeige bei der Polizei – auch wenn Sie die Cyberkriminellen davor warnen. Denn erst durch das Hinzuziehen der Behörden können weitergehende Schritte eingeleitet werden.
Überweisen Sie auf keinen Fall das geforderte Lösegeld. Zum einen bestärken Sie dadurch die Hacker darin, die Ransomware weiterhin zu verbreiten, zum anderen ist eine Bezahlung kein Garant dafür, daß Sie den Entschlüsselungs-Schlüssel wirklich erhalten.
Mit Ransomware ist definitiv nicht zu spaßen – schließlich geht es um die Zahlung hoher Geldbeträge. Doch nicht nur ein finanzieller Schaden muß gefürchtet werden, auch der Ruf Ihres Unternehmens ist in Gefahr, wenn zum Beispiel auch fremde Daten von der Ransomware betroffen sind. Mit den empfohlenen Sicherheitsvorkehrungen können Sie die Wahrscheinlichkeit einer Ransomware-Infektion allerdings vergleichsweise geringhalten.