Geschäftskritische Daten schützen

Ransomware - das müssen Sie wissen



Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Die Bedrohung durch Schadsoftware, die Dateien kapert und erst gegen Zahlung eines Lösegelds wieder freigibt, steigt unaufhörlich. Insbesondere Unternehmen stehen im Visier der kriminellen Hacker.
Ransomware wird über verschiedene Wege verbreitet, in den meisten Fällen jedoch über E-Mail-Anhänge, Word-Dokumente mit infizierten Makros oder über infizierte Webseiten.
Ransomware wird über verschiedene Wege verbreitet, in den meisten Fällen jedoch über E-Mail-Anhänge, Word-Dokumente mit infizierten Makros oder über infizierte Webseiten.
Foto: wsf-s - shutterstock.com

Im Laufe der letzten Jahre wurden weltweit Millionen von PCs von Schadprogrammen gekapert, die Dateien sperren und diese nur gegen die Zahlung eines Geldbetrages wieder freigeben. Diese Erpressungs-Malware kennt man gemeinhin unter der Bezeichnung Ransomware. Diese Art von Systemschädling hat sich inzwischen zu einer echten Plage entwickelt - für Endnutzer genauso wie für Unternehmen und sogar staatliche Institutionen. Unglücklicherweise ist dahingehend auch kein Ende in Sicht - eher im Gegenteil. Deshalb sagen wir Ihnen, was Sie über die erpresserischen SchädlingeSchädlinge wissen sollten. Alles zu Security auf CIO.de

Nicht nur Ihr Rechner steht auf dem Spiel

Das Gros der Ransomware-Attacken sind gegen Windows-Rechner gerichtet. Das hat den ganz einfachen Grund, dass das Microsoft OS das am weitesten verbreitete ist. Allerdings sind Android-Geräte, Linux-Server und so gut wie alle anderen Devices ebenso von Ransomware betroffen. Sicherheits-Experten haben bereits Ransomware-Applikationen für Systeme, die unter OS X laufen und sogar für Smart TV-Betriebssysteme entdeckt. Aktuell nutzen Cyberkriminelle auch die Angst vor der Coronavirus-Pandemie für ihre Zwecke aus, wie das folgende Video zeigt:

Die Staatsgewalt kann nur selten helfen

Es gab in der Vergangenheit einige Fälle, in denen Strafverfolgungsbehörden und Security-Unternehmen gemeinsam gegen Ransomeware-Kampagnen vorgehen konnten. Der wohl bekannteste Vorfall war die sogenannte "Operation Tovar", in deren Rahmen 2014 ein Hacker-Netzwerk ausgehoben wurde, das den berüchtigten Schädling CryptoLocker über ein Botnet verbreitet hatte.

In den meisten Fällen ist die Staatsgewalt allerdings machtlos - insbesondere in den Fällen, in denen Autoren von Ransomware ihre Aktivitäten mit Hilfe des Tor-Netzwerks verschleiern. Die Hilflosigkeit der Behörden manifestiert sich in zahlreichen Angriffen auf Regierungs-Institutionen, Polizeistationen und Krankenhäuser, in denen den Betroffenen schlichtweg nichts anderes übrig blieb, als auf die Lösegeld-Forderung der Hacker einzugehen, um wieder an ihre Daten zu kommen.

Eine Sprecherin des FBI sagte auf einer Veranstaltung, dass die Behörde in einigen besonderen Fällen Betroffenen geraten habe, das Lösegeld zu bezahlen - wenn kein Backup vorhanden sei und auch sonst keine andere Lösung des Problems in Frage komme.

Backups sind Pflicht

Viele User fertigen ein Backup an - insbesondere von ihren sensiblen Daten. Leider wird dieses Backup dann aber allzu oft auf externen oder Netzwerk-Festplatten abgelegt, die immer mit dem Rechner verbunden sind. Wenn der Rechner dann von einer Ransomware-Attacke betroffen ist, bringen diese Backups natürlich herzlich wenig, da die Schadsoftware nicht nur das System selbst, sondern auch alle verfügbaren Netzlaufwerke und externen Festplatten betrifft.

Um das zu vermeiden, sollten Sie sich einer einfachen Regel bedienen: mindestens drei verschiedene Kopien der Daten sollten angefertigt werden, die dann in zwei verschiedenen Formaten gespeichert sind. Anschließend sollten Sie mindestens eine Kopie des Datensatzes offline verwahren.

Sie könnten Glück haben … oder nicht

Manchmal machen Autoren von Ransomware Fehler bei der Implementierung der Verschlüsselungs-Algorithmen, was Schwachstellen zur Folge hat, die unter Umständen dazu führen, dass Sie Ihre Daten wiederherstellen können, ohne ein Lösegeld zu bezahlen. In einigen Fällen in der Vergangenheit konnten IT-Security-Experten so Decryption Tools für bestimmte Versionen von Ransomware-Software zur Verfügung stellen. Allerdings sind auch das nur zeitlich begrenzte Lösungen: Die meisten Ransomware-Hacker haben ihre Fehler schnell identifiziert, beseitigt und eine neue Version der Schadsoftware geschrieben.

Anbieter von IT-Sicherheitslösungen empfehlen, nicht auf Lösegeld-Forderungen einzugehen, weil das einerseits die kriminellen Hacker in ihrem Tun bestärkt und andererseits auch nicht garantiert ist, dass die Daten nach der Zahlung tatsächlich freigegeben werden. Wenn Sie sich dafür entscheiden, der Forderung der Kriminellen nicht nachzukommen, sollten Sie eine Kopie der betroffenen Daten unbedingt aufbewahren - man weiß schließlich nie. Wenn es sich um geschäftskritische Daten handelt, deren Wiederbeschaffung besonders zeitintensiv wäre, bleibt Ihnen fast nichts anderes übrig, als auf die Erpressung einzugehen und darauf zu hoffen, dass die Cyberkriminellen Wort halten.

Vorsicht ist besser als Nachsicht

Ransomware wird über verschiedene Wege verbreitet, in den meisten Fällen jedoch über E-Mail-Anhänge, Word-Dokumente mit infizierten Makros oder über infizierte Webseiten. Auch bestimmte andere Malware-Arten installieren zusätzlich die Erpresser-Malware auf Ihrem Rechner. Deshalb sollten Sie diese Security-Regeln unbedingt beachten:

  • Halten Sie die Software auf Ihrem Rechner immer aktuell - insbesondere gilt das für Betriebssystem, den Browser und auch dessen Plugins (zum Beispiel Flash Player, Java oder Silverlight);

  • Aktivieren Sie niemals die automatische Ausführung von Makros in Dokumenten - es sei denn, Sie kennen den Absender und haben mit diesem den Einsatz von Makros im Vorfeld abgestimmt;

  • Prüfen Sie eingehende E-Mails vor dem Öffnen ganz genau - insbesondere solche mit Datei-Anhängen; wichtig: auch bei vermeintlich bekannten Absendern sollten Sie ganz genau hinsehen;

  • Führen Sie Ihre tägliche Arbeit nicht von einem Admin-Account aus aus, sondern von einem normalen Nutzerprofil und benutzen Sie stets aktuelle Antivirus-Software.

Zur Startseite