Was ist Ransomware?

16.04.2024 von Horst Greifeneder IDG ExpertenNetzwerk

Wir zeigen, was sich hinter dem Begriff Ransomware verbirgt und was Sie tun können, wenn Erpressersoftware Ihre Systeme verschlüsselt hat.

Erpressersoftware erkennen
Ransomware entfernen
Schutz vor Ransomware-Angriffen

Ransomware-Attacken zielen häufig darauf ab, Lösegeld von den Opfern zu fordern, um den Zugriff auf ihre Daten zurückzuerlangen.
Foto: Andrey_Popov - shutterstock.com

Ransomware wie Wannacry und Notpetya sorgten vor einigen Jahren weltweit für Angst und Schrecken. Die Schadprogramme verbreiteten sich im Handumdrehen in den Netzwerken von Behörden, Flughäfen und Unternehmen. Die Kosten für Lösegeldzahlungen, Aufräum- und Säuberungsarbeiten sowie die Umsatzverluste betrugen Medienberichten zufolge hunderte Millionen Euro.

Es vergeht auch kein längerer Zeitraum, in dem nicht über aktuelle Ransomware-Angriffe berichtet wird. Weiterentwicklungen von Schadprogrammen wie Ryuk, suchen bei einem Netzwerkbefall zuerst nach Sicherungskopien, vernichten diese und verschlüsseln erst dann die Daten, um in der Folge Lösegeld zu fordern. Angegriffen werden mittlerweile nicht nur IT-Systeme, sondern immer häufiger auch industrielle Infrastrukturen zur Steuerung von Produktionsprozessen.

Lesetipp: Von Hackern erpresst - Die 5 größten Ransomware-Attacken

Ransomware - Eine Definition

Unter dem Begriff Ransomware versteht man Schadprogramme, welche letztendlich darauf abzielen, das Ziel der Cyber-Attacke zu erpressen. Angriffe mittels Ransomware können sowohl private Internetnutzer als auch Firmen betreffen. Der oder die Angreifer verschlüsseln Daten auf den infizierten Computern oder der Zugriff darauf wird verhindert. Die Konterminierung des Systems kann zum Beispiel über das Öffnen einer infizierten E-Mail oder das Anklicken eines Browserlinks erfolgen. Anschließend wird dem Opfer eines Angriffs Glauben gemacht, dass der Zugriff auf seine Daten nach Zahlung einer Lösegeldforderung wieder freigeschaltet wird.

Ransomware erkennen

Bei einer Ransomware-Infektion helfen einige Hinweise, um einen Angreifer korrekt zu identifizieren. Der GDATA Sicherheitsexperte Karsten Hahn verweist darauf, dass sich Ransomware nicht mehr auschließlich über veränderte Dateiendungen identifizieren lassen. Und er nennt weitere Hinweise, die sich zur Identifizierung einer Ransomwareinfektion nutzen lassen:

Sind betroffene Dateien korrupt oder verschlüsselt?
Lässt sich ein auffälliges Schema bei der Umbenennung von Dateien erkennen?
Welche Dateiformate wurden von der Ransomware verschlüsselt?
Lassen sich Dateien am System identifizieren, die einer Malware zugeordnet sind?

Nützliche Tools, um eine Ransomware-Infektion auf eigenen Systemen zu erkennen, sind ID-Ransomware vom MalwareHunterTeam oder der Crypto Sheriff von nomoreransom.org. Die web-basierten Dienste ermöglichen betroffenen Anwendern einen Upload der Erpressernachricht oder einer verschlüsselten Datei. Die übermittelten Informationen werden online ausgewertet und, falls möglich, einer entsprechenden Ransomware zugeordnet. Wenn Sie Glück haben, dann findet sich gleich noch eine Lösung zum Entschlüsseln ihrer Dateien bei en Anbietern.

Eine gute Quelle, um bei Ransomware am Laufenden zu bleiben, ist das Portal Bleepingcomputer.com. Die Online-Plattform bietet laufend aktualisierte Berichte zu neuesten Entwicklungen bei Ransomware und eine Reihe von nützlichen Tools zur Identifikation und zur Beseitigung von schadhaften oder verschlüsselten Dateien.

Ransomware entfernen

Ist ein System bereits kontaminiert, heißt es schnell und richtig zu handeln. Der erste Schritt ist: das befallene System sofort vom Netz zu nehmen. Dadurch werden etwaige weiterlaufende Verschlüsselungsvorgänge im Hintergrund unterbrochen. Polizei und Sicherheitsdienste raten zudem davon an, Lösegeld zu zahlen. Das biete keine Garantie, dass der Zugang zu den Daten wiederhergestellt werden kann oder weitere Angriffe unterbleiben.

Unternehmen, die über ein aktuelles und funktionsfähiges Backup ihrer System- und Geschäftsdaten verfügen, profitieren bei einem Ransomware-Vorfall davon. In der Regel ist das Neuaufsetzen der betroffenen Systeme mit Backups der schnellste und sicherste Weg, um wieder eine funktionierende IT-Infrastruktur zu erhalten.

Ansonsten ist es wichtig, dass die beim Angriff verwendete Ransomware zweifelsfrei identifiziert wird. Zahlreiche Anbieter haben Entschlüsselungsprogramme für bekannte Ransomware im Portfolio, welche die Beseitigung der durch einen Angriff verursachten Schäden ermöglichen können.Identifiziert eine solche Software eine Datei, die von einem noch nicht identifizierten Schadprogramm befallen ist, muss diese noch nicht sofort gelöscht werden. Durch das Verschieben in den Quarantäne-Ordner besteht die Möglichkeit, dass die Security-Software das Schadprogramm nach einem Update erkennt und die befallene Datei wieder nutzbar machen kann.

Machen Sie Ihr Security Awareness Training besser

Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.

Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.

Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.

Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.

Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.

Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.

Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.

Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.

Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.

Sind keine passenden Tools vorhaben, um befallene Dateien zu entfernen oder zu reparieren, hilft nur noch die manuelle Analyse der Systeme, soweit möglich, und der Versuch, die Schadprogramme händisch von den betroffenen Systemen zu entfernen.

Schutz vor Ransomware

Eine permanente Sensibilisierung und Schulung der Anwenderinnen und Anwender in Bezug auf mögliche Formen von Cyberangriffe ist ein wichtiger Baustein, um das Sicherheitsniveau im Betrieb zu erhöhen. Mitarbeiter sollten trainiert werden, um mögliche Ransomware-Attacken im E-Mail- und Datenverkehr sowie beim Zugriff auf Internetseiten zu erkennen.

Schutz vor Ransomware-Angriffen bietet der Einsatz einer Server-basierten Managed-E-Mail-Security-Lösung mit integrierter Advanced Thread Protection (ATP). ATP führt eine Analyse von potenziell gefährlichen Nachrichten durch und identifiziert und eliminiert Schadprogramme, bevor sie im Mail-Konto des Unternehmens landen.

Standard sollte zudem sein, dass alle Systeme immer mit den aktuellen Sicherheits-Updates des jeweiligen Herstellers ausgestattet sind. Des Weiteren ist es empfehlenswert, eine Firewall einzusetzen und Virenscanner zum Schutz von Endgeräten zu installieren.

Abschließend sollten Unternehmen im Falle eines überstandenen Cyber-Angriffs grundsätzlich in der Lage sein, jederzeit auf aktuelle Backups ihrer wichtigsten System- und Geschäftsdaten zugreifen zu können, die frei von Malware sind.