Bei vielen Cyber-Attacken erhoffen sich die Angreifer Geld – die Verbreitung von Ransomware ist hierfür das perfekte Beispiel. Was sich genau hinter der Bedrohung verbirgt und wie man sich professionell davor schützen kann, erklären wir Ihnen hier.
Google zufolge sollen durch Ransomware im Zeitraum vom 1.1.2014 bis zum 1.4.2017 mehr als 25 Millionen US-Dollar erbeutet worden sein.
Ransomware ist nichts neues.
Erpressungstrojaner wie z.B. GoldenEye oder WannaCry haben in der Vergangenheit gezeigt, welche große Gefahr von Ransomware ausgehen kann. Diese Gefahr ist leider noch nicht gebannt und immer noch sehr aktuell.
Welchen Schaden Ransomware anrichten kann, verdeutlicht ein das Beispiel aus dem US-Bundesstaat Georgia: Cyberkriminelle haben es dort mittels Ransomware geschafft, einen Großteil der öffentlichen Verwaltung des Jackson County zum Erliegen zu bringen. Das geforderte Lösegeld von 400.000 US-Dollar zahlten die Opfer bereitwillig – allerdings nur vor dem Hintergrund, daß ein langfristiger Ausfall bzw. der Wiederaufbau der Systeme mehr kosten könnte.
Ein Begriff. Zwei Varianten
Wie Sie schon richtig vermutet haben, nutzt auch die Ransomware
menschliches und technisches Fehlverhalten rücksichtslos aus – infizierte
E-Mail-Anhänge, gefälschte Webseiten, Sicherheitslücken in Browsern oder
Server-Schwachstellen sind nur Beispiele hierfür.
Sind Ihre Systeme erst einmal mit der Ransomware infiziert,
müssen Sie sich mit großer Wahrscheinlichkeit auf eines der folgenden beiden Szenarien
gefaßt machen:
1: Ihre Systeme werden blockiert
Die meisten
Opfer dieser Art von Ransomware berichten von einem Hinweisfenster, das sich
nicht mehr schließen läßt und das die Verwendung des Computersystems deutlich beschränkt.
Über das Hinweisfenster werden die Betroffenen darüber informiert, daß sich die
Systemblockade nur durch das Zahlen der Lösegeldforderung beseitigen ließe.
2: Daten werden verschlüsselt
Tritt dieser Fall
ein, findet unbemerkt eine Verschlüsselung der Daten auf dem infizierten System
statt, wodurch dann ein Zugreifen nicht mehr möglich ist. Dabei können nicht
nur die Daten auf der Festplatte in Mitleidenschaft gezogen werden, sondern
auch die, die sich auf verbundenen Speichern befinden, etwa in der Cloud oder
auf Servern. Den Schlüssel, der zur Entschlüsselung der Dateien notwendig ist,
händigen die Hacker (wenn überhaupt!) nur im Tausch gegen das geforderte
Lösegeld aus.
In vielen Fällen drohen die Cyberkriminellen damit, das System
langfristig zu blockieren bzw. die verschlüsselten Daten zu löschen, sollte die
Polizei hinzugezogen werden.
Maßnahmen gegen Ransomware
Damit es erst gar nicht dazu kommt, daß Ihre Systeme mit Ransomware infiziert werden, gibt das Anti-Ransomware-Projekt „No More Ransom“ unter https://www.nomoreransom.org einige praktische Tips, denen wir so nur beipflichten können:
Regelmäßige Backups schützen Sie vor
unerwarteten Datenverschlüsselungen bzw. -verlusten. Wichtig: Speichern Sie die
erstellte Sicherungskopie unbedingt auf externen Medien (am besten einmal physisch
und einmal virtuell) ab und trennen
Sie diese danach von der Hardware – ansonsten könnte Ransomware auch darauf
übergreifen.
Sorgen Sie mit automatischen Updates dafür, daß Ihre Betriebssysteme und Programme immer auf dem aktuellsten Stand sind.
Verwenden Sie eine professionelle
Anti-Viren-Software wie Kaspersky, BitDefender oder TrendMicro. Hier hilft Ihnen
auch kein Sparen. Umsonst-Software wie Avira und Konsorten sind an dieser Stelle
nicht umsonst, denn der Einsatz dieser unserer Erfahrung nach unqualifizierter
Software kann ihre Daten kosten. Die sogenannten heuristischen Funktionen, die
heute normalerweise Standard bei Antivirenprogrammen sind, helfen bei der
Erkennung von noch unbekannter Ransomware und sollten daher immer eingeschaltet
bleiben.
Lassen Sie bei unbekannten und/oder
verdächtigen E-Mails (oder anderen Online-Benachrichtigungen) Vorsicht walten,
das heißt Anweisungen, Anhänge und Links sollten in solchen Fällen lieber
ignoriert werden.
Sollten Sie Windows im Einsatz haben, ist es
ratsam, die Option “Dateierweiterungen anzeigen” in den Windows-Einstellungen
zu aktivieren, um dadurch potentielle Ransomware schneller zu identifizieren.
„No More Ransom“ warnt insbesondere vor Dateien mit den Erweiterungen
“.exe”, “.vbs” und “.scr”.
Zusätzlich zu den genannten
Präventionsmaßnahmen, empfiehlt das Bundesamt für Sicherheit in der
Informationstechnik (BSI), Mitarbeiterschulungen durchzuführen und im
Allgemeinen das Bewußtsein für Cybersecurity im Unternehmen zu erhöhen.
Für den Fall, daß Sie sich bereits Ransomware eingefangen haben
und Ihre Daten verschlüsselt wurden ist folgende Vorgehensweise empfehlenswert:
Trennen Sie das betroffene Gerät unverzüglich
von allen Netzwerken – nur so können Sie verhindern, daß sich die Ransomware
ausbreitet.
Installieren Sie im nächsten Schritt dann das
System neu und ändern Sie danach alle Paßwörter.
Jetzt können Sie – wenn vorhanden – die
Backup-Daten wieder auf Ihr System zurückspielen. Wurde vorab keine
Sicherungskopie erstellt, sollten Sie die verschlüsselten Daten dennoch
behalten, da es für viele bekannte Ransomware bereits Gegenmittel gibt, etwa
die Entschlüsselungs-Werkzeuge von No More Ransom.
Erstatten Sie Anzeige bei der Polizei – auch
wenn Sie die Cyberkriminellen davor warnen. Denn erst durch das Hinzuziehen der
Behörden können weitergehende Schritte eingeleitet werden.
Überweisen Sie auf keinen Fall das geforderte
Lösegeld. Zum einen bestärken Sie dadurch die Hacker darin, die Ransomware
weiterhin zu verbreiten, zum anderen ist eine Bezahlung kein Garant dafür, daß
Sie den Entschlüsselungs-Schlüssel wirklich erhalten.
Mit Ransomware ist definitiv nicht zu spaßen – schließlich geht
es um die Zahlung hoher Geldbeträge. Doch nicht nur ein finanzieller Schaden muß
gefürchtet werden, auch der Ruf Ihres Unternehmens ist in Gefahr, wenn zum
Beispiel auch fremde Daten von der Ransomware betroffen sind. Mit den
empfohlenen Sicherheitsvorkehrungen können Sie die Wahrscheinlichkeit einer
Ransomware-Infektion allerdings vergleichsweise geringhalten.
