Ransomware: So schützen Sie Ihre Daten
Von wichtigen E-Mails über firmeninterne Daten bis zu privaten Fotos: Im Laufe der Zeit sammeln sich unzählige persönliche und sensible Informationen auf der Festplatte eines Computers an. Stellen Sie sich vor, Sie müssten plötzlich Geld zahlen, um auf diese Daten zugreifen zu können. Dies ist bei einem Ransomware-Angriff der Fall. Was Ransomware ist, woran Sie einen Befall erkennen und wie Sie sich vor Ransomware schützen, verraten wir im folgenden Beitrag.
Was ist Ransomware?
“Ransom” kommt aus dem Englischen und bedeutet “Lösegeld” – aus dem Grund wird Ransomware auch Verschlüsselungs- und Erpressungstrojaner genannt. Es handelt sich um eine Gruppe bösartiger Programme, die den Computer sperren oder die darauf befindlichen Daten unauflöslich codieren. Der Hacker übernimmt die Kontrolle über das System. Jetzt heißt es: Lösegeld bezahlen.
Die Angriffe können beispielsweise auf Unternehmen, Krankenhäuser und Privatpersonen abzielen. Erst mit der Lösegeldzahlung stellen die Erpresser in Aussicht, die verschlüsselten Dateien freizugeben, indem sie einen speziellen Schlüssel mitteilen. Die Praxis zeigt allerdings, dass derartige Versprechen meist nicht eingehalten werden.
Die früheste Variante der Schadsoftware entstand in den späten 80er-Jahren. Damals wurde das Lösegeld per Postweg gezahlt. Heute verlangen Cyberkriminelle Bitcoins oder andere Kryptowährungen, da sich diese nicht fälschen und nur schwer nachverfolgen lassen.
Theoretisch können alle Betriebssysteme von dem Erpressungstrojaner betroffen sein – ob Server, Tablets oder Smartphones. Befindet sich das befallene Gerät in einem Netzwerk, besteht die Gefahr, dass sich die Malware auf das komplette Netzwerk ausbreitet und sämtliche Geräte verschlüsselt.
Welche Arten von Ransomware gibt es?
Die Schadsoftware macht sich verschiedene Arbeitsweisen zunutze und entwickelt sich in Bezug auf Art und Raffinesse stetig weiter. Prinzipiell lassen sich jedoch zwei Arten von Ransomware unterscheiden:
- Locker
- Crypter
Während Locker den kompletten Zugriff auf das System bzw. den Computer sperren, verschlüsseln Crypter alle Daten und nehmen Fotos, Dateien und Laufwerke als Geisel. Beide Arten haben eines gemeinsam: die Aufforderung zur Zahlung eines Lösegeldes.
Es gibt auch hybride Formen, die Locker und Crypter miteinander kombinieren. Weiterhin sind Untertypen beider Varianten möglich – Scareware zum Beispiel. Hierbei handelt es sich um eine gefälschte Virenschutz-Software, die Gefahren auf dem PC aufspürt, die in Wirklichkeit nicht existieren. Um das “Problem” zu beheben, verlangt die Software Geld. Einige Varianten sperren den PC, andere überfluten den Bildschirm mit Pop-up-Warnungen.
Doxware ist eine besonders gemeine Form. Sie verschlüsselt vertrauliche Informationen und droht damit, diese zu veröffentlichen, falls keine Zahlung erfolgt. Dies kann sowohl für Unternehmen als auch für Privatpersonen ungeahnte Folgen haben.
Zugriff verweigert! Erpressung mit Ransomware im BSI Podcast:
Wie macht sich Ransomware bemerkbar?
Ist ein PC mit Ransomware infiziert, bedeutet dies nicht zwangsläufig, dass die Verschlüsselung bzw. die Sperrung des Bildschirms sofort beginnen muss. Es gibt Schadprogramme, die auf die Anweisung ihrer Entwickler warten. Andere Varianten haben eine Inkubationszeit, sodass die schädliche Wirkung erst eintritt, wenn sich der Nutzer nicht mehr erinnert, wann und wo er sich mit der Malware infiziert hat.
Sobald der Erpressungstrojaner aktiv ist, beginnt er mit der Verschlüsselung des vorhandenen Dateisystems. Auf dem Bildschirm taucht für gewöhnlich ein Totenkopf oder ein Erpresserhinweis mit einer Zahlungsanweisung auf. Häufig ist die Schadsoftware so programmiert, dass derartige Meldungen mit jedem Mausklick erscheinen. Weiterhin kann die Schadsoftware als Nachricht von einer Behörde getarnt sein und suggerieren, dass die Sperrung aus rechtlichen Gründen notwendig ist.
Um Druck auf die Opfer auszuüben, sind die Forderungen meist mit einer Deadline versehen. Die Hacker drohen in diesem Fall damit, dass die Daten – bei nicht rechtzeitiger Zahlung – gelöscht werden.
Digitalisierung – Chancen und Risiken der digitalen Transformation
Wie kommt Ransomware auf den Computer?
Bösartige E-Mail-Anhänge, gefälschte Links – die schädliche Software gelangt über verschiedene Wege auf den PC:
Social Engineering
Ob privat oder im Unternehmen – die Erpressungssoftware verbreitet sich häufig mittels Social Engineering über E-Mails und fordert die Empfänger auf, einen schädlichen Mail-Anhang zu öffnen. Die Dateien werden meist als gewöhnliche Dokumente wie Bestellbestätigungen und Rechnungen getarnt und liegen als ZIP-Archiv, PDF, Word- oder Excel-Dokument vor. Auch vermeintliche Bewerbungsunterlagen sind ein Angriffsvektor. Öffnet der Nutzer den Anhang, breitet sich die schädliche Software aus.
Kompromittierte Webseiten
Der Code zum Starten eines Angriffs ist nicht zwangsläufig in einer Mail verpackt – er kann ebenso auf kompromittierten Webseiten eingebunden sein. Der Nutzer muss nur die vermeintlich normale, vielleicht sogar ihm bekannte Webseite öffnen. Diese enthält eine Weiterleitung zu einer Seite, die beispielsweise zum Download der neueren Version eines Webbrowsers auffordert. Kommt man dieser Aufforderung nach, ist der PC infiziert.
Malvertising
Weist der Browser eine ungepatchte Sicherheitslücke auf, haben sogenannte Malvertising-Angriffe leichtes Spiel. Hierbei binden Hacker über Werbeanzeigen auf vertrauenswürdigen Internetseiten einen Schadcode ein. Dieser lädt die schädliche Software herunter, sobald die Werbung angezeigt wird – selbst wenn Sie nicht auf die entsprechende Anzeige klicken.
Exploit-Kits
Exploit-Kits werden häufig über kompromittierte Webseiten oder Werbebanner verbreitet. Sie bestehen aus einem vorab erstellen Schadcode, der nach Schwachstellen und Sicherheitslücken in Browsern und Betriebssystemen wie Adobe Flash, Java oder Microsoft Office sucht. Wird etwas gefunden, schleust das Kit durch die Sicherheitslücke den Erpressungstrojaner in den Computer ein. Dieser Ansatz erfordert kein zusätzliches Handeln des Nutzers und wird auch “Drive-by-Download” genannt.
Wie können sich Privatpersonen und Unternehmen vor Ransomware schützen?
Um möglichen Schäden vorzubeugen, empfiehlt es sich, bestimmte Regeln im täglichen Umgang mit Computer und Internet einzuhalten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet diesbezüglich in ihrem “Maßnahmenkatalog Ransomware” einen guten Überblick und stellt konkrete Präventionen für den Schadensfall bereit. Wir haben die wichtigsten Tipps für Sie zusammengefasst.
Regelmäßige Backups
Beim Angriff eines Erpressungstrojaners verlieren die Betroffenen den Zugriff auf interne Daten – sei es, weil diese verschlüsselt worden sind oder der Rechner vom Netzwerk getrennt werden musste.
Sicherheitskopien bieten den Vorteil, dass Sie Ihre Daten höchstwahrscheinlich ohne Lösegeldzahlung zurückbekommen.
Laut BSI sind regelmäßige Backups, die in der Cloud und/oder auf einer externen Festplatte aufbewahrt werden, der beste Schutz, um einem Datenverlust vorzubeugen. Wichtig ist, dass das Speichermedium für die Datensicherung nicht dauerhaft an den PC angeschlossen ist – es könnte sonst ebenfalls Opfer der Verschlüsselung werden.
Vorsicht bei E-Mails, Anhängen und Links von unbekannten Absendern
Es ist keine Seltenheit, dass E-Mails unbekannter Absender in die Postfächer gelangen. Wer weder Mails noch Anhänge von unbekannten Absendern öffnet, reduziert die Gefahr, Opfer von Ransomware zu werden. Prüfen Sie den Absender einer E-Mail genau, bevor Sie die Mail sowie die angehängte Datei bzw. den Link anklicken.
Anhänge, für die Sie Makros aktivieren müssen, sollten ebenfalls ungeöffnet bleiben. Bei einem Mail-Anhang mit folgenden Endungen ist besondere Vorsicht geboten:
- .avi
- .exe
- .mov
- .zip
- .doc
- .mpg
Keine fremden USB-Sticks nutzen
Verwenden Sie nie USB-Sticks oder andere Speichermedien, deren Herkunft Sie nicht kennen. Es besteht die Gefahr, dass das Speichermedium infiziert ist und sich die Schadsoftware in kürzester Zeit über das gesamte Netzwerk verteilt. Infizierte USB-Sticks werden häufig auf Parkplätzen oder in Bussen und Bahnen aktiv platziert oder als getarntes Werbegeschenk auf Messen oder anderen Veranstaltungen ausgegeben.
Betriebssysteme und Anwendungen aktuell halten
Jede installierte Software bringt potenzielle Sicherheitslücken mit sich, die Cyberkriminelle ausnutzen. Das regelmäßige Aktualisieren von Programmen und Betriebssystemen hilft, diese Sicherheitslücken zu reduzieren. Dadurch haben es Cyberkriminelle schwerer, Schwachstellen in den Programmen auszunutzen.
Aktuelle Viren-Software nutzen
Fehlt ein Virenschutzprogramm oder ist die installierte Software veraltet, können Hacker leicht in das Netzwerk eindringen und eine entsprechende Schadsoftware platzieren. Achten Sie darauf, dass Sie über eine aktuelle Antiviren-Software von einem vertrauenswürdigen Anbieter verfügen. Das Tool sollte in der Lage sein, bekannte Ransomware zu erkennen und zu blockieren.
Installieren Sie stets Patches und Updates, um Schwachstellen zu beseitigen. Wer den E-Mail-Scanner der Viren-Software aktiviert, verhindert, dass sich infizierte Datei-Anhänge öffnen lassen. Diese Sicherheiten sollten auch auf Smartphones und Tablets nicht außer Acht gelassen werden.
Ransomwareschutz mit Sophos Intercept X
Da klassische Virenschutz-Lösungen nur bekannte Bedrohungen identifizieren / bekämpfen können und somit gegen viele Ransomware-Attacken machtlos sind, empfiehlt smartworx die zusätzliche Absicherung mit der “Intercept X”-Technologie von Sophos. „Intercept X“ überwacht die Funktionen der verwendeten Software auf einem Rechner / Server und versucht „unnatürliches“ Verhalten zu identifizieren. „Unnatürlich“ bedeutet in diesem Zusammenhang, dass eine Software eine nicht-typische Handlung vornimmt.
Ganz konkret: Der Vorgang der Verschlüsselung ist grundsätzlich auf Rechnern und Servern „erlaubt“ und teilweise sogar explizit erwünscht – z.B. zur Absicherung von Kommunikation oder bei der Signierung von Daten / Dateien. Hier gibt es spezielle Software, die dies übernimmt. Dass allerdings eine Excel-Tabelle oder eine PDF-Dokument, die man per E-Mail empfängt, eine Verschlüsselung ausführt, ist eher also „unnatürlich“ zu bewerten, da die Verschlüsselung weder bei PDF-Dateien noch bei Excel-Tabellen zu den üblichen / typischen Handlungen zählt.
Mitarbeiter für IT-Sicherheit sensibilisieren
Social Engineering ist eine beliebte Taktik, um Mitarbeiter mit harmlos aussehenden Mails auszutricksen und Malware in Unternehmensnetze einzuschleusen. Aufklärung ist der erste Schritt, um ein Unternehmen vor solchen Gefahren zu schützen. Es ist wichtig, dass die Mitarbeiter verstehen, was Ransomware ist und welche Risiken bestehen.
Führen Sie Schulungen durch und konfrontieren Sie Ihre Mitarbeiter mit entsprechenden E-Mail-Fälschungen, um das Bewusstsein für mögliche Einfallstore zu schärfen und das Infektionsrisiko zu reduzieren.
Sicheren Zugriff auf interne Ressourcen bereitstellen
Das Thema Homeoffice ist aktueller denn je. Leider greifen viele Menschen über unzureichend gesicherte Heim-Netzwerke auf firmeninterne Ressourcen zu – und diese Netzwerke sind anfällig für Schwachstellen. Damit sich Cyberkriminelle keinen Zugang über diese potenziellen Schwachstellen verschaffen können, ist ein Virtual Private Network (VPN) hilfreich. Die Software tunnelt den Datenverkehr des Nutzers und schützt ihn so vor äußeren Angriffen. Der Zugriff über VPN ins Unternehmensnetzwerk sollte aber nicht über private Rechner realisiert werden. Meist sind private Rechner nicht mit einem Unternehmenstandard abgesichert (Virenschutz, Ransomwareschutz) und werden vielleicht von anderen Familienmitgliedern genutzt, die sich teilweise den Risiken nicht bewusst sind.
Was tun, wenn es doch passiert?
Ist der Computer trotz aller Präventionsmaßnahmen mit Ransomware infiziert, gilt es, ruhig zu bleiben und mit Bedacht zu handeln.
Netzwerkverbindung trennen
Um den potenziellen Schaden einzugrenzen, sollten Sie infizierte Systeme umgehend vom Netz trennen. Hierzu gehören drahtlose Geräte, Festplatten und Cloud-Konten. Durch die vollständige Trennung unterbinden Sie den Zugriff für Externe und verhindern gleichzeitig die Verschlüsselung noch nicht befallener Daten.
Kein Lösegeld bezahlen
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Polizei rät, nicht auf die Lösegeldforderung einzugehen. Es gibt keine Garantie, dass die Geräte tatsächlich entsperrt und die verschlüsselten Dateien entschlüsselt werden. Eine Zahlungsbereitschaft kann vielmehr dazu führen, dass künftig weitere Lösegeldzahlungen eingefordert werden. Hinzu kommt, dass die Nutzer ihre Erpresser mit der Zahlung finanziell unterstützen.
Hilfe von Experten holen
Bei fehlendem Wissen ist es ratsam, externe Unterstützung in Anspruch zu nehmen. Anbieter von Betriebssystemen, Software und Sicherheitslösungen verfügen häufig über Experten, die den Unternehmen mit Rat und Tat zur Seite stehen, falls das System infiziert wurde. Darüber hinaus bieten externe Forensikexperten ihre Unterstützung an, um ein System wiederherzustellen und die Schadprogramme zu entfernen.
Fazit – Prävention ist die beste Strategie
Ransomware stellt in all seinen Arten eine Bedrohung für Unternehmen und private Nutzer dar und wird auch zukünftig eine Gefahr für alle sein, die sensible Daten besitzen. Im Interesse steht die klassische Erpressung von Lösegeld. Eine Zahlung garantiert jedoch nicht, dass die verschlüsselten Daten freigeschaltet werden.
Die beste Möglichkeit, derartige Bedrohungen zu entschärfen, besteht in einer frühzeitigen Prävention. Mit regelmäßigen Backups, einer aktuellen Software sowie einem regelmäßig aktualisierten Virenschutz- und Ransomwareschutzprogramm lässt sich das Risiko einer Infektion deutlich verringern. Privatpersonen sollten zudem beim Surfen im Internet sowie bei der Arbeit mit Downloads achtsam sein.
Zu bedenken ist weiterhin, dass die Angreifer häufig menschliche Fehler nutzen, um Systeme zu kompromittieren. Informieren Sie Ihre Mitarbeiter, woran sie schädliche Software erkennen und was sie tun müssen, falls sich eine verdächtige Mail in ihrem Postfach befindet.
Überwindet der Erpressungstrojaner dennoch alle Schutzmaßnahmen, sollten Betroffene die Systeme sofort vom Netz trennen und Polizei sowie Experten hinzuziehen.
Bild: Foto von olia danilevich von Pexels