Ransomware - Die eigenen Daten als Geisel

Vor einem Jahr gab es eine große Welle an Ransomware. Betroffen waren Universitäten, Krankenhäuser, Unternehmen, sogar ganze Konzerne. Die Verluste waren immens. So hat das deutsche Pharma-Unternehmen Merck im 3. Quartal 2017 alleine einen Verlust von über 300 Millionen Euro vermelden müssen.

Aber auch andere Konzerne wie die Deutsche Post, die Deutsche Bahn, verschiedene Autohersteller wie Renault und Nissan, aber auch Logistikunternehmen wie Maersk waren betroffen. Es ist also eindeutig das Ransomware eine Bedrohung darstellt, die jeder ernst nehmen sollte.

Was ist eigentlich Ransomware?

Das Wort "ransom" stammt aus dem Englischen und bedeutet Lösegeld. Hat Ransomware das System infiziert, so verschlüsselt das Schadprogramm im Hintergrund wichtige Dateien des Benutzers. Beim nächsten Systemsstart spielt es dann einen Hinweis aus, dass die Daten verschlüsselt wurden. Diese können gegen die Zahlung eines "Lösegeldes" wieder entschlüsselt werden. Doch ist dies nicht garantiert, wie der Fall von NotPetya zeigt, welcher Merck infizierte. Die Daten wurden zwar verschlüsselt, aber es existierte kein Schlüssel für die Entschlüsselung, die Daten waren trotz Zahlung des Lösegelds seitens Mercks nicht zu retten.

Wie schützt man sich vor Ransomware?

Im Grunde mit denselben Methoden, mit denen man sich vor jeder Art von Malware schützt. Aktuelle Betriebssysteme, aktuelle Anwendungsprogramme, sowie der Einsatz von Virenscannern. Idealerweise in Firewalls, sowie auf Endpoint-Geräten.
Häufig werden bereits bekannte Sicherheitslücken genutzt, für die es bereits seitens der Hersteller Sicherheitspatches gibt.
So war es auch bei der großen Ransomware-Welle von 2017, wo eine Sicherheitslücke im Windows SMB Dienst ausgenutzt wurde. Während Windows 10 nicht betroffen war, gab es in allen Windows Versionen von XP bis Windows 8 diese Lücke. Das Update, welche diese Lücke schloss, war zum Zeitpunkt der Hauptangriffswelle schon seit Wochen verfügbar. Aufgrund der Schwere der Sicherheitslücke und wie massiv diese ausgenutzt wurde, hatte Microsoft ein Update für alle betroffenen Betriebssysteme bereitgestellt. Sogar für Windows XP, welches zu diesem Zeitpunkt seitens Microsoft offiziell keinen Support mehr erhielt.

Neben regelmäßigen Updates sollten zusätzlich auch sämtliche wichtigen Daten regelmäßig in Backups gesichert werden. So hat man im Ernstfall nicht nur Geld gespart, sondern ebenfalls nur wenige Stunden an Arbeit.

Grundsätzlich sollten auch Mitarbeiter für solche Angriffe sensibilisiert werden. Die meisten Angriffe erfordern die ungewollte Mithilfe des Benutzers, um erfolgreich zu sein. Immer noch kommt die Schadsoftware im Normalfall als Anhang einer E-Mail, bespielsweise als PDF. Diese werden im normalfall als ungefährlich eingestuft und bedenkenlos geöffnet.

Was macht man im Ernstfall?

Ob man das Lösegeld zahlt, muss man selber entscheiden. Es gibt allerdings keinerlei Garantie, dass einem im Anschluss auch der Schlüssel zum entschlüsseln der Daten gegeben wird. In wenigen Fällen ist es möglich, die Daten wiederherzustellen, ohne das Lösegeld zu zahlen. So ist es bei frühen Versionen von Petya möglich gewesen, die Daten wiederherzustellen, da die Verschlüsselung geknackt werden konnte. Sollte man von einem sogenannten Wiper wie NotPetya betroffen sein, so bringt einem die Zahlung des Lösegelds nichts, da die Daten so oder so verloren sind. Hier kann lediglich die Wiederherstellung der Daten durch ein Backup helfen.

Tags: Ransomware

Die mit einem * markierten Felder sind Pflichtfelder.