Ransomware

Ransomware – Bedrohungslage, Prävention & Reaktion

Ransomware – Bedrohungslage, Prävention & Reaktion

Sebastian Schoeps

Was ist Ransomware eigentlich?

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe dieser Ressourcen erfolgt nur gegen Zahlung eines Lösegeldes (engl. ransom). Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.

Bereits seit 2010 / 2011 wird Ransomware verbreitet für Cyber-Angriffe eingesetzt. Auch davor gab es bereits erste Varianten dieses Schadprogramm-Typs. Einfache Ransomware-Varianten zeigen z. B. einen Sperrbildschirm an und hindern die Anwender an der Nutzung ihres Systems. Über eindringliche Warnungen und Aufforderungen wurde behauptet, dass das System im Zuge polizeilicher oder sonstiger staatlicher Ermittlungen (BKA, BSI, international FBI, CIA …) gesperrt sei und nur gegen Zahlung eines Bußgeldes oder Strafzahlung wieder freigegeben wird.

Im Zuge der Weiterentwicklung werden vermehrt Ransomware-Varianten entwickelt, die Daten auch verschlüsseln, welche dann dauerhaft (auch nach Bereinigung des Schadprogramms) nicht mehr zur Verfügung stehen. Für die Verschlüsselung werden als sicher anzusehende Algorithmen eingesetzt, somit ist eine Entschlüsselung nicht möglich. Zusätzlich zu den Daten des in zierten Clients werden auch Daten auf zugänglichen Netzlaufwerken oder eingebundenen Cloud-Diensten verschlüsselt.

Aus der Sicht der Kriminellen haben Cyber-Angriffe mittels Ransomware den Vorteil, dass es zu einem direkten Geldtransfer zwischen Opfer und Täter über anonyme Zahlungsmittel wie Bitcoin oder anonymen Guthaben- und Bezahlkarten kommt. Im Vergleich zu Cyber-Angriffen über Banking-Trojaner sind weder Mittelsmänner für Überweisungen noch Waren-Agenten notwendig, um einen erfolgreichen Angriff zu monetarisieren.

Lage in den Unternehmen

Bei Ransomware-Vorfällen werden Versäumnisse bei der Prävention deutlich aufgezeigt. Schlecht gep egte Systeme, fehlende, veraltete oder nicht überprüfte Software-Backups, schwache Administrator-Passworte, fehlende Netzsegmentierung uvam. rächen sich bei Ransomware sofort durch die eingetretenen Schäden.

Auch das Verhalten der Mitarbeiter spielt eine zentrale Rolle. Einige Angriffe sind mittlerweile so gut, dass sie kaum oder schwer zu erkennen sind. Dabei sind viele der beobachteten Ransomware-Spamwellen nicht mit großem Aufwand gestaltet. Hier würde eine Sensibilisierung der Mitarbeiter helfen.