Ransomware: Wie sich Unternehmen vor der Gefahr der Online-Erpressung schützen
Nichts kann gegen den Willen einer Person erzwungen werden – zumindest nicht auf legalem Wege. Daher gibt es viele TäterInnen, die durch Erpressung an die illegale Erfüllung ihrer Ziele kommen wollen. Sei es das Ergaunern von Geld durch Lösegeldzahlungen, Daten oder Gefälligkeiten. Dieses Problem verlagert sich durch Schadprogramme zunehmend auch in den digitalen Raum.
Das Phänomen ist unter dem Begriff Ransomware bekannt und stellt ein großes Risiko für Unternehmen und Privatpersonen dar. In diesem Artikel gehen wir der Problematik auf den Grund und erklären Ihnen, wie Sie sich und Ihr Unternehmen am besten vor Angriffen mit dem Erpressungstrojaner schützen können.
Was ist Ransomware und wie funktioniert sie?
Ransomware bezeichnet den Versuch von TäterInnen, online Daten durch Attacken zu erpressen. Bei dieser Art von Software handelt es sich um Malware bzw. einen Erpressungstrojaner. Sie hat das Ziel, das System des Computers zu blockieren und bei dem Angriff die Betriebs- und Nutzerdaten zu verschlüsseln. Über die nicht-nutzbaren Dateien erpressen die BetrügerInnen die Opfer dann, indem sie Lösegeld für die Entschlüsselung verlangen. So kommt es auch zum Namen: „Ransom“ heißt auf Deutsch „Lösegeld“. Das Ransomware-Programm kann dabei nicht nur auf der lokalen Festplatte walten, sondern auch auf angebundene Netzwerke übergreifen.
Wie erkennt man Ransomware?
Da es bei Ransomware um digitale Erpressung geht, wird das Opfer unter Druck gesetzt: Normalerweise ist dabei das erste Element, ein blockierter Computerbildschirm oder aber eine Botschaft (meist eine Zahlungsaufforderung), die sich nicht mehr schließen lässt. Manche Varianten der Schadsoftware arbeiten auch mit einer Art Inkubationszeit: Dabei tritt sie erst dann in Kraft, wenn sich die Betroffenen nicht mehr daran erinnern können, wann und wo sie sich die Malware zugezogen haben könnten. Ebenso kann Ransomware einfach durch einen Virenscanner erkannt werden, wo sie dann als positiver Scan in Erscheinung tritt. Sollte kein solches Schutzprogramm am PC vorhanden sein, wird Ransomware oft übersehen. Viele der Erpresserprogramme löschen sich selbst, nachdem sie ausgeführt wurden, was es noch schwerer macht, sie im normalen System zu ertappen.
Welche Arten von Ransomware gibt es?
- Verschlüsseler: Hier werden so viele Daten wie möglich im System gesperrt, sodass diese unbrauchbar werden. Es erscheint eine Lösegeldforderung mit Zahlungsdetails. Die Dateien, die verschlüsselt werden, werden häufig mit einer zufälligen Folge aus Buchstaben und Zahlen ersetzt oder die Dateinamen durch eine Erweiterung ersetzt. Es besteht die Gefahr, solche Angriffe frühzeitig zu bemerken und den Schaden zu minimieren. “Encryption Ransomware” ist ein Beispiel für einen Verschlüsseler. Dieser Trojaner ersetzt jede Datei durch einen Ordner, der dann wiederum die verschlüsselte Datei und die Aufforderung zum Zahlen enthält.
- Lockware: Im Gegensatz zum Verschlüsseler werden die NutzerInnen hier komplett aus dem System verdrängt, indem wirklich alle Daten verschlüsselt werden. Es erscheint ebenfalls eine Lösegeldforderung mit den Zahlungsdetails. Eine Spezialform der Ransomware, die gleichzeitig auch zu einem Synonym für ähnlich geartete Begriffe geworden ist, ist eine Schadsoftware namens Cryptolocker. Sie ist in der Lage, als Verschlüsselungstrojaner besonders großen Schaden anzurichten. Erstmals verschickt 2013, infizierte sie schon damals den Rechner bzw. das Netzwerk und verschlüsselte Daten. Im Anschluss wurde Lösegeld gefordert, wobei bei Nichtüberweisung eine Entschlüsselung der Daten nicht mehr möglich war – sie wurden gelöscht. Nicht jede Ransomware ist ein Cryptolocker, aber jeder Cryptolocker ist eine Form von Ransomware.
- Scareware: Diese Form der Ransomware versucht Geld zu erpressen, indem es falsche Behauptungen aufstellt. Ein Paradebeispiel sind die Hacker, die vorgeben von der Regierung zu sein und behaupten, dass sie von ungezahlten Steuern erfahren hätten. Es wird daraufhin mit Geldstrafen gedroht, wenn die geforderte Summe nicht gezahlt würde.
- Leakware: Diese Variante greift sensible personenbezogene Daten ab und droht damit, diese öffentlich zu machen, wenn der Zahlungsaufforderung nicht nachgekommen wird. Viele der Leakware-Hacker betreiben Webseiten im Darknet, auf denen die sensiblen Informationen dann geleaked werden. Meist betroffen von dieser Betrugsmasche sind größere Unternehmen, Anwaltskanzleien oder Arztpraxen.
- Ransomware als Modell: RaaS (Ransomware as a Service) ist wahrscheinlich die gefährlichste Ransomware-Variante. Sie ist so spezialisiert, dass High-End-RaaS-Arten auch sehr fortschrittliche Sicherheitssysteme durchdringen können. Die hohen Lösegeldforderungen durch Ransomware, von denen manchmal in den Nachrichten berichtet wird, gehen wahrscheinlich in den meisten Fällen auf RaaS-Systeme zurück. Bei diesen kann man schon von einer Art Service-Modell sprechen, denn die ausführenden Hacker-Teams arbeiten meist mit RaaS-Betreibern zusammen.
Welches Risiko birgt Ransomware für Unternehmen?
Natürlich ist das erste Risiko für Unternehmen durch die Attacke eines Verschlüsselungstrojaners, die Erpressung von Geld oder wichtigen Dateien. Ist das betriebsinterne System erstmal von Ransomware infiziert, zieht das allerdings auch immer einen langen Rattenschwanz nach sich: Entweder Probleme mit der DSGVO, weil sich die Angreiferinnen und Angreifer Zugang zu sensiblen Kundendaten verschaffen oder aber hohe finanzielle Kosten, da die Unternehmen entweder bei einer Lösegeldforderung tatsächlich eine Zahlung entrichten oder aber die Systeme so oder so danach aktualisiert werden müssen. Ebenso können rechtliche Klagen ins Haus stehen, sollten sich diverse Personen geschädigt fühlen. Natürlich kann die Drohung der Malware auch wahr gemacht und die Entschlüsselung der Dateien verhindert werden.
Ransomware-Risiko: Wie können sich Unternehmen schützen?
- Regelmäßige Datensicherung bzw. Backups: Regelmäßige Backups sind essenziell, um den Zugriff auf kritische Daten auch im Falle einer Ransomware-Attacke sicherzustellen. Daher ist es sehr empfehlenswert, wichtige Daten in steten Abständen auf externen Festplatten, Laufwerken oder aber einer Cloud zu sichern. Dabei sollte sichergestellt sein, dass die Verbindung zu jedem Speichermedium nach Abschluss des Speichervorgangs getrennt wird, da sonst eine Verschlüsselung aller Dateien droht.
- Software aktualisieren: Die Software sollte immer auf dem aktuellen Stand sein, wie es auch das BSI empfiehlt. Gleiches gilt für das Betriebssystem, den Browser und alle zugehörigen Plugins. Dabei kann ein zentrales Patch-Management helfen, da es Korrekturen an der Software vornimmt und so Sicherheitslücken schließt. Indem es die Software auf allen zugehörigen Geräten aktuell hält, wird HackerInnen, Trojanern und Ransomware wenig Angriffsfläche geboten. Cyberkriminelle sind oft darauf aus, bei Attacken Sicherheitslücken auszunutzen, die obigen Schritte helfen bei der Prävention.
- Gesunde Skepsis: Es ist nicht verkehrt, Korrespondenz oder deren AbsenderInnen auf Seriosität zu überprüfen. Sollte eine E-Mail viele Tippfehler enthalten oder aber Angebote wie Geld ohne Gegenleistung, dann liegt der Verdacht auf einen Betrugsversuch nahe. Sollten Sie eine verdächtige Mail erhalten, ist es nicht falsch, sie zu löschen. Achtung, häufig wird schädliche Software im Anhang versendet! Besonders bei ausführbaren EXE-Dateien oder Office-Dokumenten, die mit Makros (die Automatisierung von Arbeitsschritten in MS-Office-Programmen) ausgestattet sind, ist Argwohn gut – am besten sorgen Sie bereits vor und deaktivieren die automatische Ausführbarkeit von Makros in der Office-Suite der zugehörigen Endgeräte.
- Aktuelle Sicherheitslösung: Da Ransomware eine Art Malware ist, ist sie auch für Virenscanner oder Verhaltensüberwachung erkennbar. Ideal ist es, wenn sie auch Schutz vor Exploits (dem Ausnutzen von Schwachstellen) bieten, da diese Programme helfen, die unternehmenseigenen Geräte und Systeme zu schützen. Schädliche Programme können auch an universellen Codeabfolgen erkannt werden, die typisch für Downloadroutinen oder Verschlüsselungen sind. Signaturen, die heuristisch und generisch sind, können solche Codefolgen auch bei bisher unbekannten Malware-Arten erkennen.
- Mitarbeitende schulen: Wie immer wird ein Schutzkonzept auch durch die Sensibilisierung der Belegschaft im Unternehmen selbst getragen. Wenn die Angestellten wissen, wie sie sich im Falle der Bedrohung eines Angriffs mit Ransomware zu verhalten haben oder vorbeugend und gefahrabweisend reagieren, wird ein Großteil der Gefahr schon eliminiert.
Fazit
Erpressung durch Ransomware ist ein großes Problem der Neuzeit: Sowohl Unternehmen als auch Privatpersonen können vom Schadprogramm betroffen sein. In jedem Fall ist ein Angriff durch Ransomware ein kostspieliges Ereignis: Für Betriebe ergibt sich ein ganzer Rattenschwanz an Risiken, von Lösegeldforderungen und dem tatsächlichen Zahlen, über das Abgreifen und Verschlüsseln von personenbezogenen Kundendaten, bis hin zu Klagen durch KundInnen, die sich in ihren Rechten verletzt sehen. In jedem Fall sollten die Sicherheitssysteme danach aktualisiert werden. Als Vorbeugung sollte das allerdings vorher schon der Fall sein.
Zudem stellen regelmäßige Backups, die Schulung der Angestellten, gesunde Skepsis und aktuelle Sicherheitsprogramme einen guten Cyberschutz für Unternehmen dar. Digitale Zeiten erfordern eben auch digitale Lösungen.
E-Learning für mehr IT-Sicherheit im Unternehmen
Die Erpressung durch sogenannte Ransomware nimmt weltweit zu und stellt ein großes Risiko für die Cybersicherheit von Unternehmen dar. Mit unserem innovativen E-Learning wappnen Sie Ihre Belegschaft erfolgreich gegen Cyberangriffe.
