Ransomware

Bezeichnet erpresserische Schadprogramme. Durch Ransomware machen Cyberkriminelle Dateien, Festplatten, Computer oder ganze Netzwerke für ihre legitimen Nutzer unzugänglich und fordern ein Lösegeld, um die Dateien etc. wieder freizugeben. Der Begriff setzt sich zusammen aus den englischen Worten „ransom“ für Lösegeld und „-ware“ als Wortteil von Software, also Programm.

Was bedeutet Ransomware im Detail?

Ransomware-Angriffe nehmen aktuell zu. Cyberkriminelle haben Unternehmen, Behörden und Verwaltungen als lohnende Ziele für sich erkannt. Vermehrt werden aufwendige, individualisierte Angriffe auf Unternehmen beobachtet. Dabei gehen Cyberkriminelle gezielt und häufig mehrstufig vor. Mit scheinbar alltäglichen Cybervorfällen wie z. B. Spam verschaffen sie sich Zugang zum Unternehmensnetzwerk. Dann erforschen sie die IT-Infastruktur, um gezielt besonders wichtige oder sensible Daten zu verschlüsseln – oder das gesamte System inklusive angeschlossener Backups. Durch dieses Vorgehen können die Erpresser größeren Druck auf die betroffenen Unternehmen ausüben und höhere Lösegelder verlangen. Die Zahlung des Lösegeldes ist für die Cyberkriminellen der erwünschte Endpunkt ihrer Aktivitäten.
Ob sie die verschlüsselten Daten oder Systeme danach wieder freigeben, ist daher stets ungewiss. Bei einigen Ransomware-Programmen gibt es keine vorgesehene Entschlüsselung, d. h. die Daten bleiben auch nach einer Lösegeldzahlung verschlüsselt.
Bei der bekannten Ransomware WannaCry konnten geleistete Lösegeldzahlungen aufgrund eines Programmierfehlers nicht zugeordnet werden. Dadurch erfolgten keine entsprechenden Entschlüsselungen der Daten.
Auch eine zweite, höhere Lösegeldforderung kann zum Konzept der Cyberkriminellen gehören.
Technisch gesehen handelt es sich bei Ransomware um Trojaner. Ransomware kann über mehrere Wege übertragen werden: Unter anderem über infizierte E-Mail-Anhänge, über kompromittierte Webseiten, über infizierte USB-Sticks und Festplatten, über Sicherheitslücken im Netzwerk und über sogenannte Drive-by-Downloads.

Wo begegnet mir das Thema „Ransomware“ im Arbeitsalltag?

Potenziell begegnet es Ihnen bei jeder E-Mail mit Anhang, bei jeder E-Mail mit einem Link und an vielen anderen Stellen des Arbeitsalltages. Zum Beispiel bei scheinbar verlorenen oder vergessenen USB-Sticks, bei Datenübertragungen auf externe Festplatten von Kunden, beim Herunterladen eines angeblich wichtigen Updates, um ein Video im Internet sehen zu können. An all diesen Stellen können Sie mit Ihrer Umsicht großen Schaden von Ihrem Unternehmen fernhalten.

Was kann ich tun, um meine Sicherheit zu verbessern?

Im Rahmen dieses Glossars können wir nur Anregungen und Einblicke geben. Bitte besprechen und erstellen Sie ein umfassendes Vorgehen mit Ihrer IT-Abteilung oder mit einem externen IT-Sicherheitsdienstleister wie Perseus.

Präventiv

Nahezu alle Maßnahmen zur Verringerung des Cyberrisikos Ihres Unternehmens verringern auch das Risiko von Ransomware-Angriffen. Zu diesen Maßnahmen gehören u. a.:

• Alle Programme und Bestandteile des Netzwerkes immer auf dem neuesten Stand halten, z. B. durch automatisch Updates
• Einsatz eines zuverlässigen, stets aktuell gehaltenen Viren-Scanners
• Überlegter Einsatz einer zuverlässigen Firewall
• Durchdachte Netzwerk-Struktur, bei der z. B. besonders sensible Bereiche oder Abteilungen ein unabhängiges Netzwerk erhalten
• Monitoring des Datenverkehrs
• Sensibilisierung Ihrer Mitarbeitenden: Durch ihre Aufmerksamkeit und Umsicht können Ihre Mitarbeitende Schaden auch dort abwenden, wo die Technik dies nicht kann. So können Sie z. B. eine E-Mail mit einem bisher unbekannten Trojaner als verdächtig erkennen und behandeln.
• Bedenken Sie bei Sicherheitsmaßnahmen auch die sogenannte Schatten-IT (z. B. auch privat genutzte Mitarbeitersmartphones) sowie IoT-Geräte (z. B. Fitnesstracker, digitale Überwachungskameras).
• Außerdem empfiehlt sich eine durchdachte Backup-Strategie. So stellen Sie sicher, dass Sie möglichst viele Ihrer Daten auch im schlimmsten Fall wiederherstellen können. Hinsichtlich Ransomware sollten Sie u. a. berücksichtigen:
  • An das System angeschlossene Backups können von Ransomeware ebenfalls verschlüsselt werden. Daher empfehlen sich häufige Backups, deren Verbindung zum System nach dem Erstellen auch physisch getrennt wird.
  • Eine noch nicht aktive Ransomware kann auch auf Ihrem Backup gespeichert werden und dieses nach dem Einspielen verschlüsseln. Sorgen Sie daher dafür, dass möglichst viele vorhergehende Backups gespeichert werden. Sorgen sie zudem dafür, dass diese im Modus „Read only“ gespeichert werden. Dann können diese Backups im Nachhinein nicht mehr verändert werden, auch durch Ransomware nicht. Besprechen Sie das richtige Verhalten im Akutfall mit Ihrer IT-Abteilung oder mit einem externen IT-Sicherheitsdienstleister wie Perseus.
  • Üben Sie es – auch mit Ihren Mitarbeitenden – ein und verschriftlichen Sie es. Im Akutfall kommt es auf eine schnelle und richtige Reaktion an. Präventiv können Sie die besten Voraussetzungen hierfür schaffen.

Nach einem scheinbar „normalem“ Cybervorfall

• Lassen Sie Ihr System sehr sorgfältig auf tiefergehenden Kompromittierungen prüfen und veranlassen Sie eine besonders engmaschige Überwachung des ein- und ausgehenden Datenverkehrs
• Falls Sie es noch nicht getan haben, besprechen Sie spätestens jetzt das Thema Ransomware und Sicherheitsmaßnahmen mit Ihrer IT-Abteilung und/oder einem externen IT-Sicherheitsdienstleister wie Perseus.

Im Akutfall

ACHTUNG: Diese Hinweise sind allgemein. Halten Sie sich im Akutfall an das mit Ihrer IT-Abteilung oder mit einem externen IT-Sicherheitsdienstleister wie Perseus besprochene Vorgehen. Nur dieses ist auf Ihre unternehmensindividuelle IT-Infrastruktur abgestimmt!

• Trennen Sie das betroffene Gerät oder System so schnell wie möglich vom Netzwerk, vom Internet und wenn irgend möglich vom Strom. Mit Glück können Sie den Verschlüsselungsprozess so vor seiner Vollendung stoppen. Lassen Sie sich nicht beirren, auch nicht von anderslautenden Meldungen auf dem Bildschirm eines befallenen Rechners.
• Nicht alle Geräte lassen sich vom Strom trennen, z. B. Laptops oder Tablets mit verbauten Akkus. Wenn möglich, entnehmen Sie diese. Wenn nicht, fahren Sie das Gerät so schnell wie möglich herunter.
• Alarmieren Sie Experten für das weitere Vorgehen.
• Üblicherweise werden nun von den infizierten Systemen Backups angelegt. Zum einen als digitale Spurensicherung und zum anderen können viele verschlüsselte Daten wieder hergestellt werden.
• Melden Sie diesen Cybervorfall der Polizei, dem BKA und der Meldestelle für Cyber-Sicherheit in Deutschland. Dadurch können Sie dazu betragen, dass die Täter gefasst und andere Unternehmen gewarnt werden.
• Zahlen Sie kein Lösegeld. Es gibt keine Garantie, dass Ihr Gerät oder System danach entschlüsselt wird, z. T. ist diese Möglichkeit im Programm der Ransomware nicht einmal vorgesehen. Es besteht sogar die Möglichkeit, dass Sie nach einer Zahlung mit einer zweiten Lösegeldforderung konfrontiert werden. Weiterhin ist möglich, dass die Cyberkriminellen Zahlungsweg und Zahlungsmittel kompromittieren und so z. B. sensible Kreditkarteninformationen erhalten.

Weitere Informationen und Tipps für den Akutfall von der Polizeilichen Kriminalprävention:https://www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ransomware/