Was ist Ransomware und was bietet effektiven Schutz vor diesen Cyberattacken? 

Was ist Ransomware und was bietet effektiven Schutz vor diesen Cyberattacken? 

Ransomware-Angriffe können die Existenz von Unternehmen bedrohen. So eine der Aussagen in einer Pressemeldung im August 2023 des BKA (Bundeskriminalamt) zum Bundeslagebild Cybercrime. Hiernach haben im Bereich der Cyberkriminalität insbesondere Ransomware-Angriffe erhebliches Schadenspotenzial. Im Jahr 2022 gab es im Durchschnitt täglich einen Angriff durch Ransomware auf deutsche Unternehmen. 

Gefährdet sind ebenso Organisationen und Infrastrukturen, was Ransomware zur gefährlichsten Malware macht.

Erfahren Sie von uns als IT-Dienstleister und Experten für IT-Sicherheit, was Ransomware ist und wie sich Organisationen, Unternehmen und Privatperson effektiv durch eine sichere IT-Infrastruktur und dem umsichtigen Digitalverhalten von Beschäftigten, vor einer Ransomware-Attacke schützen können.

Erhalten Sie außerdem Praxis-Tipps und Empfehlungen zum richtigen Umgang mit einem Malware-Angriff durch Ransomware.

Ransomware – was ist das? 

Ransomware ist eine Art von Schadsoftware (sog. Malware / engl. Malicious Software), die entweder durch Verschlüsselung den Zugriff auf einzelne Dateien verhindert oder sogar ganze Geräte und Systeme sperrt. 

Der erste dokumentierte Ransomware-Angriff fand bereits 1989 statt. Seither haben sich die Programme und Strategien Cyberkriminellen stets weiterentwickelt und professionalisiert. 

Ransomware verschlüsselt Dateien, Daten und Programme auf betroffenen Geräten und teils in den gesamten Netzwerken so, dass sie nicht mehr zugänglich sind. Die Daten werden durch den Verschlüsselungsprozess in ein nicht lesbares Format umgewandelt. Um diese Verschlüsselung aufzuheben, ist ein Passwort nötig. 

Um die Wiederfreigabe der Daten zu erhalten, wird von den Cyberkriminellen ein Lösegeld (engl. ransom) in teils horrenden Höhen verlangt.

Es wird gedroht, bei Zuwiderhandlung entweder die Sperrung einzelner wichtiger Dateien oder ganzen Geräten bestehen zu lassen oder darin enthaltene sensible Daten zu veröffentlichen.

Eine Ransomware-Attacke ist einfach erklärt, eine Form von digitaler Erpressung mit dem Ziel der monetären Bereicherung der Täter durch die Verursachung des größtmöglichen Schadens. 

Um eine erhöhte Zahlungsbereitschaft zu erzwingen, wird das Opfer eines solchen Malware-Angriffs sogleich erheblichem Zeitdruck ausgesetzt. Zum Beispiel, indem die geforderte Lösegeldsumme nach Ablauf von Fristen immer weiter steigt. 

Die Bezahlung des Lösegelds wird in einer Kryptowährung (digitales Zahlungsmittel), beispielsweise Bitcoin, verlangt, um eine Nachverfolgung der Transaktionen zu Tätern unmöglich zu machen.  

Arten von Ransomware

Es gibt eine Vielzahl von Ransomware-Arten, jedoch lassen sie sich in zwei Hauptkategorien unterteilen.

Die Crypto-Ransomware (sog. Verschlüsselungstrojaner)

Durch eine Crypto-Ransomware werden einzelne, wertvolle Dateien unzugänglich verschlüsselt und damit nutzlos. Gegen Zahlung eines Lösegelds werden die Dateien wieder entschlüsselt. Zumindest so das Versprechen der Täter.  

Doch was als  Cryptomalware erscheint, kann sich auch als Wiper entpuppen: Eine Form von Malware, die Dateien unwiderruflichen Schaden zufügt, der eine Wiederherstellung von Daten auch nach der Zahlung von Lösegeld unmöglich macht.

Die Locker-Ransomware

Die Locker-Ransomware verschlüsselt nicht nur Einzeldateien, sondern macht das betroffene Gerät oder ganze Systeme komplett unzugänglich. Auch hier wird ein Lösegeld zur Entsperrung gefordert.

Wie funktioniert ein Ransomware-Angriff und wie ist er zu erkennen?

Effektive Malware-Prävention gelingt nur, wenn Kenntnis über die Gefahrenstellen vorhanden ist. Deshalb zeigen wir nun, wie ein Ransomware-Angriff vonstatten geht, um danach die besten Möglichkeiten zu zeigen, wie man das Risiko einer Ransomware-Attacke (Sprungmarke zur Sektion Ransomware-Schutz) senken kann. 

Um einzelne Dateien, Geräte oder ganze Netzwerke lahmzulegen, muss die Schadsoftware zunächst in das Netzwerk gelangen. 

Generelle Schwachstellen sind hierbei:

  • Menschliche Unachtsamkeit oder Unwissen im Umgang mit digitalen Daten und 
  • Sicherheitslücken in der IT-Infrastruktur einer Organisation. Zum Beispiel durch veraltete Geräte und Systeme oder fehlerhaftes Netzwerkdesign. 
  • Ein weiteres gängiges Einfallstor besteht aus Fehlkonfigurationen sowie Systemen, die ursprünglich nur für Testzwecke eingerichtet wurden und anschließend unbeachtet blieben.

Häufige Eintrittswege für Ransomware sind:

  1. Phishing-E-Mails, die vorgeben, von vertrauenswürdigen Quellen zu stammen oder mit besonders attraktiven Inhalten versehen sind, können mit Malware versehene Links oder Anhänge enthalten. Ein falscher Klick, und schon gelangt die Ransomware unbemerkt auf das jeweilige Gerät.
  1. Abfangen von sensiblen Daten über Fake-Websites. Beim Social Engineering werden Benutzer derart getäuscht, dass sie ihre Zugangsdaten unwissentlich auf gefälschten Websites preisgeben. Alles in der Annahme, dies bei einem legitimen Anbieter getan zu haben.
  1. Gleiches gilt für Mobiltelefone. Hier spricht man von Smishing, wenn SMS infizierte Links enthalten.
  1. Ein Ransomware-Eintritt  ist auch über Webseite-Downloads oder Chats möglich. Bei den sogenannten Drive-by-Downloads wird die Schadsoftware automatisch beim Besuch der Website heruntergeladen und installiert. Besonders gefährdet sind hier Browser- oder Browser-Erweiterungen, die veraltet sind und damit Schwachstellen aufweisen. 
  1. Schädliche Werbeanzeigen auf Websites, die mit Malware versehen sein können (sog. Malvertising): Sie können ein Gerät selbst ohne Anklicken der schadhaften Werbeanzeige infizieren und sind deshalb besonders gefährlich und häufig.
  1. Externe Datenträger, wie USB-Sticks oder externe Festplatten können ebenso mit Malware versehen sein und damit unbemerkt Zutritt auf das angeschlossene Gerät und das verbundene Netzwerk enthalten. 
  1. Schlechter Passwortschutz durch zu einfache Passwörter oder fehlende 2-Faktor-Authentifizierung geben Cyberkriminellen eine weitere Angriffsfläche. Gleiches gilt für den arglosen Umgang mit Passwörtern, die gedankenlos an Dritte weitergegeben werden.
  1. Insbesondere schwacher Passwortschutz oder ungeänderte Standardanmeldeinformationen ermöglichen sogenannte Fernzugriffexploits. Hierbei wird über Remote-Verbindungen Zugriff auf Netzwerke oder Computersysteme erlangt, indem zuvor das Passwort geknackt wurde. Dazu gehören ebenso sogenannte Brute-Force-Angriffe. Damit werden hochautomatisiert alle erdenklichen Anmeldekombinationen ausprobiert, bis schließlich ein erfolgreicher Login gelingt.
  1. Das Remote-Desktop-Protokoll (RDP) ermöglicht Nutzern des Windows-Betriebssystems die Steuerung eines Computers aus der Ferne. Praktisch, aber auch nicht ungefährlich. Denn diese Verbindung bietet Angreifern aus der Ferne einfachen Zugang zu Systemen, wenn Sicherheitslücken bestehen, beispielsweise durch fehlende Updates.
  2.  Gerade das Thema Remote-Arbeit birgt ein IT-Sicherheitsrisiko. So arbeiten viele Unternehmen mit Software, die den Remote-Zugriff, beispielsweise aus dem Home-Office, erlauben. Die Software-Anbieter geben regelmäßig Software-Updates heraus, um Sicherheitslücken zu schließen.

    Werden diese Patches (Updates) nicht regelmäßig aktualisiert, steigt das Risiko eines bösartigen Fernzugriffs erheblich. Gleiches gilt für die verwendeten Endgeräte (Endpunkte), die ausreichenden Schutz bieten müssen.
  1. VPN-Verbindungen können ebenfalls ein Sicherheitsrisiko darstellen. Besonders bei fehlender Netzwerküberwachung, schlechter Authentifizierung oder mangelnden Sicherheitsupdates. 
  1. Veraltete Software oder Betriebssysteme bieten leichte Einfallstore für Malware. 
  1. Schlechte Netzwerksicherheit durch nicht ausreichende oder falsch konfigurierte Firewalls (überwachen den Netzwerkverkehr) erhöhen das Risiko eines Cyberangriffs.

Was passiert, wenn Ransomware auf einem Gerät installiert ist?

Dass eine Ransomware auf einem Gerät und möglicherweise innerhalb kurzer Zeit im gesamten Netzwerk ist, bleibt oft zunächst unbemerkt, sodass sich die Ransomware ausbreiten (Lateralausbreitung) und verbundene Geräte und Systeme infizieren kann.

Nach der Infektion und der Ausbreitung im Netzwerk findet häufig zunächst das Ausspionieren des gesamten Systems statt. Dies kann teilweise völlig unbemerkt über einen Zeitraum von mehreren Monaten geschehen, bevor es zu dem eigentlichen Angriff der Verschlüsselung von Dateien oder Blockierung von Geräten sowie der Erpressung kommt. 

Cyberkriminelle erhalten durch die Spionage alle nötigen Informationen über Schwachstellen und Daten einer Organisation. Damit sind sie in der Position, den gewünschten, größtmöglichen Schaden anzurichten.

Nach der Datenverschlüsselung wird das Opfer zum Beispiel über eine Bildschirmnachricht über die Sperrung der Daten informiert und bekommt Anweisungen mit Informationen zum weiteren Ablauf, wie der Lösegeldzahlung und der Wiederfreigabe der Daten. 

Warum ist Ransomware eine große Gefahr?

Die Gefährlichkeit dieser Cyberangriffe liegt neben dem immensen wirtschaftlichen Schaden darin, dass jede Person und Organisation ein Angriffsziel werden kann.

Dass Infektionen beispielsweise durch mangelnde Netzwerküberwachung nicht schnell genug erkannt werden, erhöht den Schaden eines Ransomware-Angriffs immens. 

Die Täter spionieren unbehelligt Informationen aus, stehlen (exfiltrieren) insbesondere wertvolle Daten und können alle Schwachstellen eines Unternehmens finden. Auch erhalten sie Kenntnis über die finanzielle Situation eines Unternehmens und leiten nicht selten die geforderte Lösegeldsumme daraus ab. 

Die gestohlenen Daten werden teilweise für  zwei- oder dreifache Erpressung genutzt und machen Angriffe damit besonders profitabel. Der Aufwand für Täter, welche immer häufiger im Ausland sitzen, ist mitunter relativ klein.

So können Cyberkriminelle die Nutzung von Ransomware oder die Durchführung von Ransomware-Kampagnen als kriminelle Dienstleistung im Darknet kaufen. Ransomware-as-a-Service (RaaS) macht es Tätern möglich, ohne tiefergehendes Know-how oder einer Infrastruktur digitale Erpressungen zur eigenen Bereicherung durchzuführen. 

Sogar „Komplett Dienstleistungen“ sind im Darknet erhältlich, bei der vom  „Dienstleister” gegen Bezahlung die komplette Cyber-Attacke durchgeführt wird. Inklusive der Abwicklung von Transaktionen des Lösegelds. 

Die Einstiegshürde in die Ransomware-Kriminalität ist durch RaaS sehr niedrig und trägt zur gesteigerten Häufigkeit dieser Straftaten bei. 

Schaden und Folgen und von Ransomware-Attacken

Die Folgen für betroffene Unternehmen, Einrichtungen oder Privatpersonen können erheblich sein. Sowohl in finanzieller Hinsicht und für Unternehmen oder Organisationen zudem in existenzieller Hinsicht. 

Im schlimmsten Fall funktionieren während eines laufenden Cyber-Angriffs keinerlei Geräte oder computergesteuerte Systeme: Computer, Produktionssteuerungen, Maschinen und Anlagen oder sogar elektrische Türen können in Ihrer Funktion beeinträchtigt oder ganz gesperrt sein. 

Das bedeutet: Das Unternehmen ist komplett handlungsunfähig. 

Wie schon erwähnt, kann sich Ransomware je nach Konnektivität einzelner Systembereiche oft zunächst unbemerkt ausbreiten. Durch die Synchronisation digitaler Geräte können neben Computern auch mobile Kleingeräte wie Smartphones oder Tablets von Ransomware befallen werden. 

Eine teilweise oder komplette Stilllegung kann für Unternehmen und Organisation den Super-GAU bedeuten, weil ein erheblicher finanzieller Schaden mit entsprechenden Folgen entsteht. Im schlimmsten Fall bedeutet es den unternehmerischen Bankrott. 

Noch schlimmer, wenn Gesundheits- oder Pflegeeinrichtungen betroffen sind. Hier besteht Gefahr für Menschenleben, wenn beispielsweise kein Zugriff auf zur Behandlung notwendiger Patientenakten mehr besteht oder sogar lebenserhaltende Geräte betriebsunfähig gemacht werden. 

Doch nicht nur Unternehmen und Organisationen sind gefährdet. Auch Privatnutzer können Opfer von Ransomware-Angriffen werden und der Schaden ist verhältnismäßig genauso folgenschwer wie bei Unternehmen.

Ransomware-Schutz: So mindern Sie das Risiko eines Malware-Angriffs

Wir haben bereits die verschiedenen Möglichkeiten für den Eintritt einer Malware in das Netzwerk erklärt.

Eine der größten Schwachstellen für einen Malware-Angriff ist der Mensch, denn es benötigt nur das achtlose Verhalten eines einzigen Mitarbeiters, um einer Ransomware Zutritt ins Netzwerk zu verschaffen.

An der Stelle der Belegschaft besteht zugleich auch ein wichtiger Schutz gegen einen Ransomware-Angriff. Um sich als Unternehmen oder Privatperson bestmöglich zu schützen, ist das Wissen um die Gefahr und der richtige Umgang mit digitalen Medien, Informationen und Geräten essenziell. 

Schulen und sensibilisieren Sie Ihre Belegschaft regelmäßig, damit ein achtsames Verhalten im Umgang mit digitalen Informationen erreicht wird.

Und beachten Sie darüber hinaus einige zentrale Sicherheitsregeln (insbesondere für Unternehmen), um sich vor Ransomware-Angriffen zu schützen. Hier im Video erfahren Sie einige interessante Tipps:

Verbesserung der Netzwerksicherheit: 

  • Malwareschutz- und Antivirensoftware
  • Funktionsfähige Firewalls
  • Netzwerküberwachung und Lösungen für die Echtzeiterkennung
  • Web-Gateway-Sicherheit

Verbessertes Patch-Management: 

Regelmäßige und lückenlose Aktualisierung von Sicherheitsupdates bei Software und Systemen.

Authentifizierungs-Management und Zugriffssteuerung:

Nutzung der Multi-Faktor-Authentifizierung (MFA) und sicheres Passwortmanagement.

Nutzung von Cybersicherheits-Lösungen für Unternehmen:

Lassen Sie sich von einem Experten für IT-Sicherheit beraten, ob und welche Cybersicherheits-Lösungen für Ihr Unternehmen infrage kommen. Wir von DRENSEC bieten einen kostenfreien IT-Sicherheitscheck mit Tipps zur Minimierung Ihres individuellen Risikos. 

Maßnahmen zur Schadensminimierung bei einem Ransomware-Angriff:

Die Erstellung von regelmäßigen Backups ist für jedes Unternehmen ein Muss. Wichtig ist jedoch auch, dass die Backups vom Zugriff von Cyberkriminellen geschützt sind und örtlich getrennt von den Unternehmensdaten bestehen. 

Diese Merkmale bieten sogenannte Offsite-Backup

Ebenfalls wichtig ist, dass Backups von unterschiedlichen Zeitpunkten vorhanden sind. Damit sind Daten auch dann wiederherstellbar, wenn die Ransomware schon einige Zeit unbemerkt im System aktiv war.

Mittlerweile sind Cybersecurity-Versicherungen erhältlich, die den finanziellen Schaden durch einen Angriff minimieren und bei Ermittlungen unterstützen können. 

Ransomware-Attacke: Was tun, wenn ein Ransomware-Angriff erfolgt ist?

Ist ein Ransomware-Angriff erfolgt oder wenn der Verdacht besteht, dass eine Ransomware ein Gerät infiziert hat, folgen Sie diesen Handlungsschritten für eine Schadensminimierung.

  1. Schalten Sie Ihre Geräte aus und isolieren Sie Ihr befallenes Gerät von Netzwerken und anderen Geräten, um eine weitere Ausbreitung zu verhindern.

    Für herkömmliche PCs und Servern genügt es, einfach die Stecker zu ziehen, während bei Laptops und Handys ein langes Drücken des Ausschaltknopfes ausreicht, um Zeit durch ein „ordnungsgemäßes“ Herunterfahren zu sparen.
  1. Informieren Sie die zuständigen Ermittlungsbehörden und gehen Sie keinesfalls auf die Lösegeldforderungen der Erpresser ein.
  1. Nehmen Sie Kontakt zu Cyber-Sicherheitsexperten auf und lassen Sie sich bei der Rettung Ihres Systems und der Daten unterstützen.

Kontakte für Unternehmen der Bundesländer in Deutschland:

Zentrale Ansprechstellen für Cybercrime der Polizei für Wirtschaftsunternehmen in der Übersicht. Nutzen Sie die Empfehlungen des Bundesamtes für Sicherheit und Informationstechnik BSI, Hier erhalten Sie auch Informationen zur möglichen Datenrettung.

Für Privatpersonen sind die Onlinewachen der Polizeien der Bundesländer zuständig. 

Fazit zu Ransomware

Die Bedrohung eines Ransomware-Angriffs stellt für Unternehmen eine konkrete Gefahr mit erheblichem Schadenspotenzial dar. Angesichts der Vielzahl der Angriffsmöglichkeiten für Ransomware erfordert es einen durchdachten und umfassenden Ansatz für die IT-Sicherheit. Dies beinhaltet die Schulung der Mitarbeiter sowie die Implementierung wirksamer Sicherheitsmaßnahmen, die die gesamte IT-Infrastruktur abdecken.

Ein effektives Backup-Management und schnelles, überlegtes Handeln im Falle eines Angriffs können dazu beitragen, den entstehenden Schaden zu minimieren.