Ransomware: eines der häufigsten Cyber-Angriffsmuster

Das Wort „Ransom“ bedeutet aus dem Englischen übersetzt „Lösegeld“. Und somit wird auch schnell klar, worum es geht. Hacker nutzen diese Art von Programmen, um sich unerlaubt Zugriff auf Netzwerke zu verschaffen, Daten zu verschlüsseln und anschließend eine Lösegeldforderung zu stellen. Man spricht auch häufig von einem Verschlüsselungstrojaner. Wie genau Ransomware funktioniert, wie sie auf ein Netzwerk gelangt, wie groß die Gefahren sind und wie man sich dagegen schützt, dass erklären wir in diesem Artikel.

Was genau ist Ransomware?

Entgegen der breiten Meinung ist Ransomware kein Virus. Bei Ransomware handelt es sich um ein Programm, dass sich auf einem Computer installiert oder in einem Netzwerk verbreitet und dann die Daten verschlüsselt. Sobald das Programm – meist unabsichtlich – installiert wurde, übernimmt der Hacker von extern die Kontrolle über den Rechner oder gar das gesamte Netzwerk. Er sperrt einfach den Zugriff. Eine Entschlüsselung der Daten erfolgt dann erst wieder, sobald Lösegeld gezahlt wurde. Das kann schnell teuer werden oder im Extremfall zur Insolvenz eines Unternehmens führen. Daher ist es auch so extrem wichtig, Daten regelmäßig über eine professionelle Back-up-Strategie zu sichern und Mitarbeitende über die Gefahren aus dem Netz aufzuklären und Schulungen unter Realbedingungen durchzuführen.

Welche Gefahr geht von Ransomware aus?

Für Unternehmen und die öffentliche Verwaltung geht eine sehr große Gefahr aus. Vor allem, wenn das eigene Netzwerk nicht optimal geschützt ist. Mehr als 220 Milliarden Euro Schaden entstehen der deutschen Wirtschaft aktuell jährlich durch Cyberattacken. Und die Zahl wird weiter steigen. Da sind sich Fachleute einig. Ein Großteil dieser Schadenssumme lässt sich auf erfolgreiche Ransomware-Angriffe zurückführen. Was so ein Ransomware-Angriff auf ein Unternehmen bedeutet? Innerhalb weniger Sekunden sind Daten nicht mehr erreichbar. Produktionslinien müssen gestoppt und Maschinen ausgeschaltet werden. Krankenhäuser müssen Intensivstationen räumen und Energieversorger den Betrieb einstellen. Hacker nutzen diese Abhängigkeit schamlos aus und erpressen dann hohe Lösegelder von den attackierten Unternehmen. Und wenn diese nicht vorbereitet sind, stehen sie vor der Wahl: Stillstand oder Zahlung. Der Imageschaden ist immens. Aber noch viel schlimmer ist, dass es zu einer existenzbedrohenden Situation für jedes Unternehmen kommen kann.

Wie genau funktioniert ein Ransomware-Angriff auf ein Unternehmen?

Meistens beginnt ein erfolgreicher Ransomware-Angriff mit einer einfachen Phishing-Mail an eine mitarbeitende Person. In dieser Mail wird über eine listige Ansprache gebeten, einen verseuchten Anhang zu klicken. Das können Excel-Dateien ebenso sein wie Word-Dokumente oder PDFs. Und da die Hacker zwischenzeitlich hoch professionalisiert sind, fallen die schädlichen Mails zwischen den ganzen Geschäftsmails kaum mehr auf. Bereits mit dem ersten Klick installiert sich das Programm auf dem Rechner. Damit haben Hacker alles, was sie für eine Erpressung brauchen. Denn ab diesem Zeitpunkt haben User oder Administratoren keine Zugriffsmöglichkeiten mehr auf den Rechner beziehungsweise das ganze System. Als nächstes erscheinen die Lösegeldforderungen. Das Prekäre daran ist: Durch die „feindliche Übernahme“ sämtlicher Systeme haben Hacker auch uneingeschränkten Zugriff auf alle Daten. Somit können sie diese – sofern es zu keiner Lösegeldforderung kommt – auch unwiderruflich löschen oder im Darknet verkaufen.

Es lässt sich aktuell auch noch ein zweiter Trend erkennen. Ein Ransomware-Angriff in Verbindung mit einer DDoS-Attacke. Was sich hinter dieser Form der Cyberkriminalität genau verbirgt, können Sie in unserem Artikel „Gefahr aus dem Netz“ nachlesen.

Übrigens: Unsere EWE Fachlaute und auch die Behörden raten immer davon ab, der Lösegeldforderung nachzukommen. Warum sie von der Zahlung abraten? Weil in vielen Fällen die Daten auch nach einer Lösegeldzahlung weiter verschlüsselt bleiben. Was man tun sollte: Sich unmittelbar mit einem zertifizierten Partner und den entsprechenden Behörden in Verbindung setzen.

Warum steigt die Zahl der Ransomware-Angriffe so drastisch?

Hacker sind längst nicht mehr einzelne Nerds, die in ihrem Zimmer sitzen und sich ein paar Euro nebenher verdienen. Cyberkriminalität ist zwischenzeitlich zu einer gut organisierten Wirtschaftsbranche herangewachsen. Eine illegale Branche, mit der sich leider viel Geld verdienen lässt. So hat beispielsweise der sogenannte BKA-Trojaner seinem Urheber in den Jahren 2011 bis 2013 einige Millionen Euro eingespielt. Darüber hinaus hat eine Studie laut Chainanalysis.com ergeben, dass allein im Jahr 2020 über 350 Millionen Euro an Lösegeldern von Firmen an Cyberkriminelle nach einem Ransomware-Angriff gezahlt wurden. Hinzu kommen die Imageschäden, die damit einhergehen.

So schützen Sie sich vor Ransomware

1. Als erstes gibt es natürlich eine Reihe von spezialisierten IT-Sicherheitslösungen auf dem Markt, die vor Ransomware schützen. Das sind vor allem Programme zur Analyse sämtlicher E-Mail-Anhänge auf Schadsoftware, wie beispielsweise unser EWE Mailscan+ oder Lösungen, die Ransomware bereits erkennen, bevor sie am Endpoint ankommen. Darüber hinaus sollten auf sämtlichen Geräten alle Programme regelmäßig upgedatet werden. Das gilt nicht nur für die Betriebssysteme, sondern für jegliche Apps und Anwendungen.

2. Als zweite, organisatorische Maßnahmen sollte eine Sensibilisierung aller Mitarbeitenden erfolgen. Erst durch gezielte Schulungen unter Realbedingungen, sogenannte Security Awareness Trainings, lernen die Mitarbeitenden den richtigen Umgang beziehungsweise die richtige Reaktion auf Phishing-Mails und Co. Diese sollten allerdings regelmäßig aufgefrischt werden und nicht nur einmalig stattfinden.

3. Mit Hilfe der richtigen Backup-Strategie können Sie zwar den Angriff nicht vermeiden, aber den Schaden erheblich minimieren. Denn wenn sie Ihre Daten nicht nur auf einem Firmenserver, sondern auch extern in einem sicheren Rechenzentrum „geschützt“ speichern, können Sie innerhalb kürzester Zeit den Betrieb nach einer Ransomware-Verschlüsselung wieder aufnehmen. 

4. Als eine wichtige, organisatorische Vorbereitung gilt ein professioneller Incident Response Plan. In diesem werden sämtliche Schritte und Maßnahmen nach einem Cyberangriff im Detail beschrieben. Auch, an wen man sich wenden muss und wie weitere Kommunikationsketten auszusehen haben. Wichtig dabei ist die uneingeschränkte Unterstützung und Aufmerksamkeit durch das Top-Management. IT-Sicherheit ist Chefsache. Vor allem während einer Hacker-Attacke.

5. Und als letzter Tipp gilt. Machen, nicht reden. Setzen Sie sich frühzeitig mit dem IT-Schutz Ihres Unternehmens auseinander und vertrauen Sie auf die Erfahrungen von externen Partnern. Ein gut aufgesetztes IT-Sicherheitskonzept kostet in der Entwicklung und Implementierung sicherlich Zeit und auch Geld. Diese Kosten stehen aber in keinem Verhältnis zu dem Schaden, der nach einem erfolgreichen Cyberangriff entstehen kann.

Wenn es dann mal passiert ist

Sollte in Ihrem Unternehmen die Lösegeldforderung nach einem erfolgreichen Angriff eingegangen sein, dann bleiben Sie ruhig und lassen Sie sich helfen! Zahlen Sie auf keinen Fall das Lösegeld. Und versuchen Sie keinen Alleingang. Spätestens jetzt braucht es erfahrene IT-Sicherheitsexperten, die Sie vor einem größeren Schaden bewahren. Mehr dazu können Sie auch in unserem Artikel „Was tun nach einem Cyberangriff“ nachlesen.