Geschäftskritische Daten schützen
Ransomware - das müssen Sie wissen
Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Foto: wsf-s - shutterstock.com
Im Laufe der letzten Jahre wurden weltweit Millionen von PCs von Schadprogrammen gekapert, die Dateien sperren und diese nur gegen die Zahlung eines Geldbetrages wieder freigeben. Diese Erpressungs-Malware kennt man gemeinhin unter der Bezeichnung Ransomware. Diese Art von Systemschädling hat sich inzwischen zu einer echten Plage entwickelt - für Endnutzer genauso wie für Unternehmen und sogar staatliche Institutionen. Unglücklicherweise ist dahingehend auch kein Ende in Sicht - eher im Gegenteil. Deshalb sagen wir Ihnen, was Sie über die erpresserischen SchädlingeSchädlinge wissen sollten. Alles zu Security auf CIO.de
Nicht nur Ihr Rechner steht auf dem Spiel
Das Gros der Ransomware-Attacken sind gegen Windows-Rechner gerichtet. Das hat den ganz einfachen Grund, dass das Microsoft OS das am weitesten verbreitete ist. Allerdings sind Android-Geräte, Linux-Server und so gut wie alle anderen Devices ebenso von Ransomware betroffen. Sicherheits-Experten haben bereits Ransomware-Applikationen für Systeme, die unter OS X laufen und sogar für Smart TV-Betriebssysteme entdeckt. Aktuell nutzen Cyberkriminelle auch die Angst vor der Coronavirus-Pandemie für ihre Zwecke aus, wie das folgende Video zeigt:
Die Staatsgewalt kann nur selten helfen
Es gab in der Vergangenheit einige Fälle, in denen Strafverfolgungsbehörden und Security-Unternehmen gemeinsam gegen Ransomeware-Kampagnen vorgehen konnten. Der wohl bekannteste Vorfall war die sogenannte "Operation Tovar", in deren Rahmen 2014 ein Hacker-Netzwerk ausgehoben wurde, das den berüchtigten Schädling CryptoLocker über ein Botnet verbreitet hatte.
In den meisten Fällen ist die Staatsgewalt allerdings machtlos - insbesondere in den Fällen, in denen Autoren von Ransomware ihre Aktivitäten mit Hilfe des Tor-Netzwerks verschleiern. Die Hilflosigkeit der Behörden manifestiert sich in zahlreichen Angriffen auf Regierungs-Institutionen, Polizeistationen und Krankenhäuser, in denen den Betroffenen schlichtweg nichts anderes übrig blieb, als auf die Lösegeld-Forderung der Hacker einzugehen, um wieder an ihre Daten zu kommen.
Eine Sprecherin des FBI sagte auf einer Veranstaltung, dass die Behörde in einigen besonderen Fällen Betroffenen geraten habe, das Lösegeld zu bezahlen - wenn kein Backup vorhanden sei und auch sonst keine andere Lösung des Problems in Frage komme.
Backups sind Pflicht
Viele User fertigen ein Backup an - insbesondere von ihren sensiblen Daten. Leider wird dieses Backup dann aber allzu oft auf externen oder Netzwerk-Festplatten abgelegt, die immer mit dem Rechner verbunden sind. Wenn der Rechner dann von einer Ransomware-Attacke betroffen ist, bringen diese Backups natürlich herzlich wenig, da die Schadsoftware nicht nur das System selbst, sondern auch alle verfügbaren Netzlaufwerke und externen Festplatten betrifft.
Um das zu vermeiden, sollten Sie sich einer einfachen Regel bedienen: mindestens drei verschiedene Kopien der Daten sollten angefertigt werden, die dann in zwei verschiedenen Formaten gespeichert sind. Anschließend sollten Sie mindestens eine Kopie des Datensatzes offline verwahren.
Sie könnten Glück haben … oder nicht
Manchmal machen Autoren von Ransomware Fehler bei der Implementierung der Verschlüsselungs-Algorithmen, was Schwachstellen zur Folge hat, die unter Umständen dazu führen, dass Sie Ihre Daten wiederherstellen können, ohne ein Lösegeld zu bezahlen. In einigen Fällen in der Vergangenheit konnten IT-Security-Experten so Decryption Tools für bestimmte Versionen von Ransomware-Software zur Verfügung stellen. Allerdings sind auch das nur zeitlich begrenzte Lösungen: Die meisten Ransomware-Hacker haben ihre Fehler schnell identifiziert, beseitigt und eine neue Version der Schadsoftware geschrieben.
Anbieter von IT-Sicherheitslösungen empfehlen, nicht auf Lösegeld-Forderungen einzugehen, weil das einerseits die kriminellen Hacker in ihrem Tun bestärkt und andererseits auch nicht garantiert ist, dass die Daten nach der Zahlung tatsächlich freigegeben werden. Wenn Sie sich dafür entscheiden, der Forderung der Kriminellen nicht nachzukommen, sollten Sie eine Kopie der betroffenen Daten unbedingt aufbewahren - man weiß schließlich nie. Wenn es sich um geschäftskritische Daten handelt, deren Wiederbeschaffung besonders zeitintensiv wäre, bleibt Ihnen fast nichts anderes übrig, als auf die Erpressung einzugehen und darauf zu hoffen, dass die Cyberkriminellen Wort halten.
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Vorsicht ist besser als Nachsicht
Ransomware wird über verschiedene Wege verbreitet, in den meisten Fällen jedoch über E-Mail-Anhänge, Word-Dokumente mit infizierten Makros oder über infizierte Webseiten. Auch bestimmte andere Malware-Arten installieren zusätzlich die Erpresser-Malware auf Ihrem Rechner. Deshalb sollten Sie diese Security-Regeln unbedingt beachten:
Halten Sie die Software auf Ihrem Rechner immer aktuell - insbesondere gilt das für Betriebssystem, den Browser und auch dessen Plugins (zum Beispiel Flash Player, Java oder Silverlight);
Aktivieren Sie niemals die automatische Ausführung von Makros in Dokumenten - es sei denn, Sie kennen den Absender und haben mit diesem den Einsatz von Makros im Vorfeld abgestimmt;
Prüfen Sie eingehende E-Mails vor dem Öffnen ganz genau - insbesondere solche mit Datei-Anhängen; wichtig: auch bei vermeintlich bekannten Absendern sollten Sie ganz genau hinsehen;
Führen Sie Ihre tägliche Arbeit nicht von einem Admin-Account aus aus, sondern von einem normalen Nutzerprofil und benutzen Sie stets aktuelle Antivirus-Software.