Ransomware

Was ist Ransomware, was sind Ursachen, welche Vorsichtsmaßnahmen gibt es und wer bietet Hilfe an?

Wissen kompakt: Ransomware verschlüsselt Computer oder Daten mit dem Ziel, von den Opfern entsprechender Angriffe Lösegeld zu erpressen.

Ransomware – Das erpresserische Blockieren von Computern oder Daten

Ransomware ist eine Software, die die Nutzung von Computern oder Daten blockiert, in dem sie den Zugriff darauf unterbindet. Die Blockade erfolgt über eine Verschlüsselung, die das Opfer dieser Straftat – zumindest in der Theorie – durch die Bezahlung von Lösegeld aufheben kann. Einfach ausgedrückt kidnappt Ransomware Computer oder Daten und verlangt für die Freigabe, also die Möglichkeit, den Computer und/oder die Daten wieder nutzen zu können, eine Gegenleistung in Form von Lösegeld. Alternative Begriffe für Ransomware sind Verschlüsselungstrojaner oder Krytotrojaner

Der Begriff Ransomware leitet sich aus dem englischen Wort für Lösegeld – ransom – ab. Im Gegensatz zu einer „herkömmlichen“ Malware, die versucht, einem Computer, einem User oder einem Netzwerk von Computern und ihren Usern Schaden zuzufügen, verfolgt Ransomware das Ziel einer Lösegelderpressung.

Ransomware - das Erpressen von Lösegeld durch Kidnapping von Computer oder Daten

Software, die ungewollt einen Schaden anrichtet, bspw. durch die fehlerhafte Implementierung von Features, gilt nicht als Malware. Die Verwendung von Malware ist kriminell und versucht z.B. schutzbedürftige Informationen zu veröffentlichen und die Integrität von Anwendern zu zerstören. Software, die Anwender ausspioniert, wird Spyware genannt. Auch die Kombination von Spyware und die Forderung nach Lösegeld ist inzwischen nicht unüblich.

Ursachen für die Infektion mit Ransomware

Sowohl bei Experten also auch bei einfachen Internetnutzern ist die Sorge vor Internetkriminalität relativ hoch.¹ Als größte Gefahr gilt die Infektion mit Schadprogrammen, gefolgt von dem Ausspionieren von Zugangsdaten, dem Versenden unerwünschter Mails unter dem eigenen Namen und den Betrug bei Online-Shopping oder Online-Banking.² Als Gründe für die Infektion mit Schadprogrammen gelten vor allem:³

  • Spam / Phising-E-Mails
  • schlecht geschulte Mitarbeiter
  • schadhafte Websites / Online-Werbung

 

Tipps gegen Ransomware

Es gibt eine Reihe von Tipps und Vorsichtsmaßnahmen, um sich als Organisation bzw. User vor der Bedrohung durch Ransomware zu schützen. Einerseits geht es darum, die Angriffsfläche zu minimieren, und andererseits um die Optimierung des persönlichen Handelns.

  • Aktualisieren Sie Betriebssysteme und Software mit den neuesten Patches, allerdings nur aus ihn bekannten und vertrauenswürdigen Quellen. Veraltete Anwendungen und Betriebssysteme sind das Ziel der meisten Angriffe.
  • Klicken Sie niemals auf Links oder Anhänge in E-Mails von unbekannten Absendern. Und klicken Sie auch nicht auf Links in Mails, die nur scheinbar von bekannten Absendern kommen, wenn Ihnen die Absende-Adresse „komisch“ vorkommt.
  • Nutzen Sie sichere Passwörter und eine Multifaktor-Authentifizierung.
  • Sichern Sie regelmäßig Ihre Daten. Manche Quellen empfehlen 3 Kopien zu erstellen, für diese 2 verschiedene Arten von Speicher zu verwenden und 1 Kopie offline zu lagern. Idealerweise sichern Sie dabei auch System-Images, Anwendungssoftware und Konfigurationen. Auch die Verwendung von unveränderlichen Backups, die sich nicht mehr manipulieren oder löschen lassen, ist sinnvoll. Und testen Sie auch den Recovery-Prozess in Bezug auf Geschwindigkeit, Vollständigkeit und Kosten.
  • Beschränken Sie die Berechtigungen für die Installation und Ausführung von Softwareanwendungen auf Ihrem Computer.
  • Richten Sie für Administratoren nicht privilegierte Mail-Konten für alltägliche Zwecke ein, die zwar das Lesen von E-Mails, das Surfen im Internet etc. ermöglichen, gleichzeitig aber die Auswirkungen bei einem Klick auf eine Phising-E-Mail beschränken.
  • Nutzen Sie Whitelists mit Anwendungen, die in Ihrem Netzwerk ausgeführt werden können.
  • Verwenden Sie Spam-Filter, denn so verhindern Sie idealerweise, dass Phishing-E-Mails Endbenutzer erreichen. Authentifizieren Sie eingehende E-Mails, um E-Mail-Spoofing zu verhindern.
  • Konfigurieren Sie Firewalls, um den Zugriff auf bekannte bösartige IP-Adressen zu blockieren. Und segmentieren Sie Ihr Netzwerk, so dass sich Viren im schlimmsten Fall nur in einem Segment verbreiten können.
  • Monitoren Sie das System und überwachen Sie die Protokolle. Lassen Sie sich informieren, wenn ein neues Administratorkonto erstellt wird.

Grundsätzlich geht man davon aus, dass ca. 75% aller Malware-Angriffe über Phishing erfolgt. Es ist daher besonders wichtig, Mitarbeiter mittels Schulungen auf die Gefahren hinzuweisen und richtige Vorgehensweisen zu trainieren.

Lösegeld zahlen bei Ransomware?

Und was sollten Sie tun, wenn Sie doch Opfer einer Ransomware wurden? Da die Angriffe immer raffinierter werden und es inzwischen sogar Ransomware-as-a-Service Angebote im Internet bzw. Darknet gibt, ist dies bei aller Vorsicht nicht auszuschließen.

Viele Ansprechpartner wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA) oder die US-amerikanische The Cybersecurity and Infrastructure Security Agency (CISA) empfehlen, Lösegeld-Forderungen nicht nachzukommen. Bei Spyware könnte es sich schlicht um falsche Drohungen handeln; bspw. wird mit der Veröffentlichung von Kamerabildern gedroht, das vermeintliche Opfer besitzt aber gar keine Webcam, oder es wird mit dem Anbringen von Aufklebern auf dem Auto gedroht. Solche Formen der Erpressung werden Social Engineering bezeichnet.

Ransomware - ein Beispiel für ein Erpessungsversuch per Mail

Darüber hinaus ist schlicht unklar, was nach einer möglichen Bezahlung, die meist in Form von Bitcoins oder mit alternativen Kryptowährungen erfolgt, passiert. Werden das System, der Computer, das Programm oder die Daten tatsächlich wieder freigegeben oder folgt unmittelbar darauf eine weitere Lösegeld-Forderung? Da sich die Erpresser relativ sicher fühlen, sie sich an keinerlei Ehrenkodex halten oder unfreundliche Beurteilungen der Erpressungsopfer nicht fürchten müssen, könnten sie nach der Bezahlung einfach eine neue Forderung aufstellen.

Ransomware - Was passiert, wenn man nicht auf den Erpressungsversuch reagiert?

Impuls zum Diskutieren:

„Übersehen. Vergessen. Versäumt.“ – Diese drei menschlichen Dinge nutzen Angreifer aus.

Hinweise:

Das BSI stellt ein Themenpapier zum kostenlosen Download unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.html zur Verfügung.

Das CISA bietet fünf verschiedene Services (Up-to-date Informationen, Warnungen, Bulletins, Tips and Reports) unter https://www.us-cert.gov/ncas an. Ein englische Video zur Bekämpfung von Ransomware finden Sie unter https://www.youtube.com/watch?v=D8kC07tu27A.

In der Schweiz bietet die Melde- und Analysestelle Informationssicherung MELANI Hilfe an. U.a. veröffentlicht MELANI halbjährliche Berichte zur Entwicklung von Ransomware: https://www.melani.admin.ch/melani/de/home.html

Auch das European Cybercrime Center  – EC3 bietet viele nützliche Informationen: https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3

[1] https://de.statista.com/infografik/9344/jeder-zweite-deutsche-hat-angst-vor-cybercrime/
[2] https://de.statista.com/infografik/2637/erfahrungen-mit-online-kriminalitaet/
[3] https://de.statista.com/infografik/9382/weltweiter-infektionen-mit-erpressersoftware-und-gruende-fuer-infektionen/

Hier finden Sie ergänzende Informationen aus unserer Rubrik Wissen kompakt:

Wissen kompakt: Wie funktioniert Whitelisting?

Wie funktioniert Whitelisting?

Wissen kompakt: Was ist ein Misuse Case?

Was ist ein Misuse Case?

Wissen kompakt: Was ist Bloatware?

Was ist Bloatware?