Was ist Ransomware – und wie kann ich mich davor schützen?

Ein Blick in die Zeitung genügt, um zu erkennen: Ransomware wird zu einer immer größeren Bedrohung für Unternehmen. Wir erklären, was es damit auf sich hat und wie Unternehmen sich schützen können.

Ransomware (Englisch „ransom“ = Lösegeld) ist ein besonders gefährlicher Typ von Malware, also von Schadprogrammen. Alternative Namen wie Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner verraten bereits, worum es geht: Bei Ransomware handelt es sich um ein Schadprogramm, das ein Eindringling nutzt, um auf einem damit infizierten Rechner liegende Daten zu verschlüsseln und für die Entschlüsselung oder Freigabe der Daten ein Lösegeld zu fordern. Lösegeld wird häufig in Form von Kryptowährungen gefordert, und meist unter Setzung einer (oft kurzen) Frist.

Weil dieses Vorgehen finanziell extrem lukrativ sein kann, sind Fall- und Schadenszahlen in den letzten Jahren rasant angestiegen. Mittlerweile verschlüsseln Ransomware-Kriminelle nicht nur die Systeme Ihrer Opfer und verlangen Lösegeld für eine Entschlüsselung, sondern greifen oft zusätzlich noch sensible Kunden- und Unternehmensdaten ab und drohen mit deren Veröffentlichung.

Selbst wenn nicht auf Lösegeldforderungen eingegangen wird, entstehen oft sehr hohe Kosten für die Wiederherstellung von Daten und die Schadensbehebung. Ransomware-Angriffe können aufgrund der finanziellen Schäden und Folgeschäden für Unternehmen daher existenzbedrohend sein.

Ransomware gelangt zunächst wie andere Computerviren auf einen Rechner: Durch mittels Social Engineering infizierte E-Mail-Anhänge (oft als Rechnung oder Mahnung getarnt), das Ausnutzen von Sicherheitslücken in Webbrowsern, über manipulierte Programme oder infizierte Webseiten. Einmal (meist unbemerkt) auf einem betroffenen Rechner installiert, entfaltet die Ransomware ihre Wirkung.

Nicht alle Ransomware-Angriffe erfolgen unmittelbar nach Installation des Schadprogramms. Einige Ransomware-Programme sind darauf programmiert, sich für bestimmte Zeit in einem System zu „verstecken“, auch, um spätere Rückschlüsse auf ihre Herkunft zu erschweren.

Bei einfacheren und harmloseren Erpressungsversuchen erscheint bei den betroffenen Usern bei jedem regulären Systemstart ein Hinweisfenster, das nicht geschlossen werden kann; der Rest des Systems wird blockiert, sodass der Rechner nicht genutzt werden kann. Das Hinweisfenster enthält meist detaillierte Anweisungen für eine Lösegeldzahlung, damit der Rechner wieder freigegeben wird.

Bösartige Varianten von Ransomware haben ein größeres Schadpotenzial: Sie verschlüsseln Dateien auf einem infizierten Computer oder in einem System. Dabei versuchen die Angreifer, vor allem solche Dateien zu verschlüsseln, von denen sie annehmen, dass diese für den Besitzer des Computers besonders wichtig und möglicherweise unwiederbringlich sind. Ist die Datenverschlüsselung abgeschlossen, wird der geschädigte Nutzer aufgefordert, ein Lösegeld zu zahlen, um ein Passwort zu erhalten, mit dem die Dateien wieder entschlüsselt werden können.

Vorsicht: Ein befallener Computer kann durch die Schadsoftware zusätzlich manipuliert und ausgespäht werden. Deswegen sollten auf einem infizierten Rechner auf keinen Fall Passwörter eingegeben oder Onlinebanking-Aktionen durchgeführt werden.

Kriminelle müssen Ransomware mittlerweile nicht einmal mehr selbst programmieren, sondern können entsprechende Schadprogramme im Internet kaufen (bzw. im Darknet, einem versteckten Teil des Internets), um ihre Angriffe dann damit vorzubereiten und durchzuführen.

Damit sich Ransomware auf den eigenen Rechnern gar nicht erst installieren oder seine Wirkung entfalten kann, sollten Unternehmen u.a. die folgenden Maßnahmen ergreifen:

• Erstellen Sie regelmäßige Datensicherungen auf externen Medien, die nur während des Backupvorgangs mit den Rechnern verbunden sind (bleibt das Sicherungslaufwerk angeschlossen, kann die aktive Ransomware auch die gesicherten Daten verschlüsseln).
• Halten Sie Ihr Betriebssystem auf dem neuesten Stand halten und installieren Sie Updates umgehend.
• Schulen Sie Ihre Mitarbeiter zu besonderer Vorsicht bei E-Mails, die von unbekannten Absendern stammen oder angeblich wichtige Anhänge enthalten. Links könnten auf Webseiten mit Schadprogrammen führen, angefügte Dateien könnten Schadprogramme enthalten.
• Da es sich bei den schädlichen Dateien häufig um manipulierte Office-Dateien handelt, sollten Makros deaktiviert werden. Ausführbare Dateien (.exe) sollten niemals geöffnet werden!
• Installieren Sie einen Virenschutz und halten Sie diesen stets aktuell.
• Nutzen Sie eine Firewall.

Diese Maßnahmen sind natürlich auch gegen andere Schadprogramme und Viren wirksam. Prüfen Sie außerdem Ihr System und Ihre Betriebsabläufe regelmäßig auf mögliche Schwachstellen.

Wird festgestellt, dass ein Computer befallen ist, sollte dieser sofort hart ausgeschaltet (also vom Strom getrennt) werden. Fahren Sie den Computer nicht „normal“ herunter! So besteht eine Chance, dass noch nicht verschlüsselte Dateien unverschlüsselt bleiben.

Im Anschluss sollten sofort die Kriminalpolizei und Experten eingeschaltet werden, um den Angriff aufzunehmen und Anzeige zu erstatten, sowie zu prüfen, inwieweit der Angriff erfolgreich war und welche Möglichkeiten es ggf. gibt, Rückschlüsse auf die Angreifer, das betroffene System und die Wiederherstellung bereits verschlüsselter Dateien zu ziehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, nicht auf Lösegeldforderungen einzugehen. Denn auch die Zahlung eines Lösegeldes garantiert nicht, dass verschlüsselte Dateien komplett wiederhergestellt werden können. Auch könnten weitere Angriffe erfolgen, wenn das Opfer erst einmal Zahlungsbereitschaft signalisiert oder den Forderungen nachkommt.

Die Erfahrung zeigt aber, dass viele Unternehmen das geforderte Lösegeld trotzdem zahlen, insbesondere dann, wenn durch die Datenverschlüsselung betriebliche Abläufe oder die Produktion stark behindert werden oder sogar komplett gestoppt werden müssen.

Tatsächlich haben Unternehmen die Möglichkeit, sich gegen finanzielle Schäden, die durch gezielte Cyberangriffe auf ihr Unternehmen entstehen, abzusichern.

Eine sogenannte Vertrauensschadenversicherung schützt Unternehmen u.a. gegen Vermögensschäden durch vorsätzlich unerlaubte Handlungen bzw. zielgerichtete Eingriffe in ihre EDV. Auch andere Betrugsschäden sind durch eine Vertrauensschadenversicherung abgedeckt, z.B. Betrug durch falsche Identität wie beim „Fake President Fraud“, beim Bestellerbetrug oder bei der Umleitung von Überweisungen durch Dritte, die jeweils mittels einer gefälschten Anweisung vortäuschen, ein Geschäftspartner zu sein.

Ransomware stellt eine schwerwiegende und wachsende Gefahr für Unternehmen dar. Umso wichtiger ist es, Mitarbeitende zu sensibilisieren, umfassende Vorsichtsmaßnahmen zu ergreifen und sichere Datenbackups anzulegen. Wird ein Angriff festgestellt, sollten betroffene Rechner sofort vom Netz getrennt und Kriminalpolizei sowie Experten hinzugezogen werden. Eine Vertrauensschadenversicherung kann vor finanziellen Verlusten durch Ransomware-Angriffe schützen.