Ransomware: Was ist das und wie kann man sich vor ihr schützen?

Ransomware ist die Art von Cyberangriff über die die französische Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI) 2021 am meisten kommuniziert. Tatsächlich verzeichnete ANSSI im vergangenen Jahr in Frankreich einen Anstieg der Ransomware-Cyberangriffe um 100%. Laut offiziellen Angaben stellen Ransomware-Angriffe die „schwerwiegendste Sicherheitsbedrohung“ für Unternehmen dar. Man sollte beachten, dass die Coronavirus-Pandemie den Weg für viele Phishing-E-Mails geebnet hat, da Hacker durch diese Betrügereien die Panik der Benutzer ausnutzen.

Wie funktioniert ein Ransomware-Angriff? Was sind die Folgen für das Unternehmen? Wie kann man effektiv geschützt werden? Was ist ein Ransomware-Angriff?

Simon Park

An article from

Simon Park
Cyber Security and Risk Management Consultant
Published
January 10, 2023
Updated
January 10, 2023
Reading time
minutes
Cybersicherheit durch Ransomware - C-Risk

Was ist ein Ransomware-Cyberangriff?

Ein Ransomware-Angriff beinhaltet, wie der Name schon sagt, eine Lösegeldforderung.

Ransomware: eine Definition

Gemäß zu einem Ratgeber laut NCSC ist Ransomware „eine Art von Malware das verhindert, dass Sie auf Ihren Computer (oder die darauf gespeicherten Daten) zugreifen.“ Ransomware kann Ihren Computer infizieren, wenn Sie bestimmte Websites besuchen. Es kann auch während eines Hackerangriffs auf Ihr Gerät aktiviert werden.

In demselben NCSC-Artikel wird darauf hingewiesen, dass Ransomware zur Kategorie „bösartige Software“ gehört, auch „Malware“ genannt. Diese Art von Malware hat die Besonderheit, Dateien auf einem Computer oder anderen Computergeräten zu verschlüsseln, einschließlich der Dateien, die in einem gemeinsamen Ordner gespeichert sind, z. B. denen, die auf einem Cloud-Laufwerk gehostet werden. Ransomware kann auch jeglichen Zugriff auf den Computer verhindern.

Der Zweck von Ransomware besteht darin, Geld von Ihnen zu erpressen, indem versprochen wird, Ihren Zugriff auf gesperrte Geräte oder verschlüsselte Daten wiederherzustellen. In einigen Fällen haben Hacker jedoch kein anderes Ziel, als Ihre IT zu gefährden. Dies bedeutet oft, dass ihre Beweggründe daher unlauterer Wettbewerb oder politische Angriffe sind. Durch Ransomware-Angriffe können Cyberkriminelle den Betrieb und den Ruf Ihres Unternehmens schädigen.

Typologie von Ransomware-Angriffen

Es gibt zwei Hauptkategorien von Ransomware: Ransomware zur Datenverschlüsselung und zum Sperren von Ransomware. Zusätzlich zu diesen beiden klassischen Arten von Malware gibt es neue, wie Ransomware-as-a-Service (RaaS) oder Scareware. Es ist wichtig, dass Sie lernen, diese verschiedenen Cyberangriffe zu erkennen, um effiziente Schutzmaßnahmen ergreifen zu können.

Sperren von Ransomware

Diese Art von Ransomware blockiert vollständig den Zugriff auf die Schnittstelle von Computern oder Tablets und Smartphones. Das Gerät wird unbrauchbar und auf dem Bildschirm erscheint eine Meldung des Hackers, in der die Zahlungsbedingungen für das Lösegeld angegeben sind.

Einige Hacker gehen sogar so weit, Social Engineering in ihren Nachrichten zu verwenden. Sie versuchen, den Benutzer glauben zu lassen, dass das Lösegeld tatsächlich eine Geldstrafe ist. Sie nutzen so die Panikreflexe ihres Opfers aus.

Diese Art von Ransomware ist nicht die häufigste, da sie glücklicherweise nur den Zugriff auf die Benutzeroberfläche blockiert, ohne die Dateien zu gefährden. Sobald es gelöscht wurde, ruft der Benutzer alle seine intakten Dateien ab.

Ransomware verschlüsseln

Die Verschlüsselung von Ransomware, auch bekannt als „Datenblocker“ oder „Cryptolocker-Ransomware“, ist weitaus gefährlicher als Ransomware, die den Bildschirm sperrt. Diese Art von Ransomware kann die kritischsten Dateien auf Ihrem Gerät ins Visier nehmen und deren Erweiterung ändern. Hacker suchen häufig nach Finanzdaten, Bildern, Videos, vertraulichen Projekten oder persönlichen Daten.

Unter diesen Umständen ist es unmöglich, Dateien ohne Entschlüsselungsschlüssel zu lesen oder darauf zuzugreifen. Genau wie beim Sperren von Ransomware erhält das Opfer oft eine Nachricht, die echt oder sogar offiziell aussieht. Dies könnte eine markengefälschte Nachricht sein, die sich als Apple, Gmail, eine Bank oder Paypal ausgibt.

Der Hacker kann auch Ihren Zugriff auf Ihren Computer einschränken, indem er beispielsweise bestimmte Tasten auf der Tastatur sperrt. In diesem Fall sind Sie dann gezwungen, mit dem Hacker zu kommunizieren.

Sobald das Lösegeld verlangt wurde, zahlen Sie entweder und erhalten wieder Zugriff auf Ihre als Geiseln gehaltenen Dateien oder Sie müssen eine professionelle Ransomware-Entschlüsselungssoftware verwenden. Diese Lösung bleibt die beste, da viele Cyberkriminelle die Dateien nicht in ihrem ursprünglichen Zustand zurückgeben.

Mehrere Beispiele für groß angelegte Cyberangriffe fallen unter die Kategorie Datenverschlüsselungs-Ransomware:

  • Die Ryuk-Ransomware, die wir hinsichtlich ihrer Auswirkungen analysiert haben, läuft seit 2020 auf Hochtouren. Es ist die Waffe der Wahl bei zahlreichen Cyberangriffen auf französische Krankenhäuser während der COVID-19-Pandemie.
  • WannaCry ist eine verschlüsselnde Ransomware, die auf über 250.000 Computern mit Windows-Betriebssystemen auf der ganzen Welt ausgeführt wurde. Hacker erzielten damit einen Gewinn von 150.000 USD.
  • CryptoLocker hat eine halbe Million Computer infiziert und den Kriminellen einen Gewinn von 3.000.000 USD eingebracht.
  • Petya, umbenannt in Not-Petya, ging sogar so weit, die Akten der Opfer nach der Zahlung zu löschen. Diese verheerende Ransomware hat eine große Anzahl von Computernetzwerken auf der ganzen Welt beschädigt, darunter die Netzwerke ukrainischer Banken und öffentlicher Verkehrsmittel.

ransomware blocks access to data

Neue Arten von Ransomware

In den letzten Jahren, insbesondere im Jahr 2020, sind neue Arten von Ransomware aufgetaucht:

  • Als Antivirus getarnte Scareware. Das Opfer erhält eine scheinbar legitime Warnung, die es über eine Kontamination informiert. Aus Panik heraus laden sie die sogenannte Antivirensoftware herunter. Somit erhält der Cyberkriminelle vollen Zugriff auf die persönlichen Daten des Opfers.
  • Ransomware-as-a-Service (RaaS): Hacker nutzen einen „Lieferanten“, um Ransomware zu entwickeln. Sobald das Lösegeld eingezogen wurde, erhält dieser „Lieferant“ seinen Anteil an der Beute.
  • Doxware kommt von der Abkürzung „docs“ für „Dokumente“. Es wird manchmal auch „Leakware“ genannt. Mithilfe von Doxware wollen Hacker bei ihren Opfern Panik auslösen, indem sie mit der Preisgabe vertraulicher Informationen drohen.

Wer sind die Ziele von Ransomware-Angriffen?

In einem Informationsblatt zu Ransomware, sagt das FBI, „Angriffe können sich auf alle Sektoren auswirken“.

In der Tat können private Unternehmen und öffentliche Dienste dieser Art von Cyberangriffen auf alle Arten von Geräten ausgesetzt sein. Außerdem sind alle Betriebssysteme betroffen: iOS, Windows, Linux, Mac und Android.

Jedoch in einem kürzlich erschienenen Artikel, die Cybersicherheits-Nachrichtenwebsite Cybereason weist darauf hin, dass die am stärksten von Ransomware betroffenen Sektoren das Gesundheitswesen, das Bildungswesen und der Industriesektor sind. Man könnte hinzufügen, dass IT-Unternehmen auch ein Hauptziel für Ransomware-Cyberangriffe sind.

Ransomware-Angriff: Konsequenzen

Neben den finanziellen Verlusten aufgrund der Zahlung von Lösegeldern hat Ransomware auch wirtschaftliche, industrielle und soziale Auswirkungen. Dies ist insbesondere bei „Big Game Hunting“ -Angriffen der Fall, die seit 2014 andauern. Diese Angriffe zielen auf große Unternehmen oder Institutionen ab, die in der Lage sind, riesige Geldbeträge zu zahlen.

In ihrer Analyse der Folgen von Ransomware listet die französische Regierungsbehörde ANSSI (Nationale Agentur für die Sicherheit von Informationssystemen) die folgenden Arten von negativen Folgen für Unternehmen auf:

  • Produktivitätsrückgang, der zu schweren finanziellen Verlusten führt;
  • Aussetzung der Nutzerdienste;
  • Sanierungskosten;
  • Lösegeldkosten zwischen mehreren hundert Euro für Privatpersonen und Millionen Euro für Unternehmen;
  • Verzögerungen bei anhängigen Verfahren;
  • Veröffentlichung personenbezogener Daten, die jedoch den DSGVO-Vorschriften unterliegen.
cyber ransoms are often paid in bitcoins

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mit CRQ ein robustes, risikobasiertes Cybersicherheitsprogramm.

Wie funktioniert ein Ransomware-Angriff?

Die Behörden räumen ein, dass fünf große Gruppen von Cyberkriminellen hinter Ransomware stecken. Die Referenzseite ID-Ransomware, zählt jedoch mehr als 800 von ihnen. Wenn es um Ransomware geht, haben Hacker in der Tat eine Vielzahl von Methoden entwickelt:

  • Verbreitung bösartiger Werbung über legitime Websites und Umleitung der Opfer auf eine gefälschte Domain.
  • Verwendung von Phishing-E-Mails, um Opfer dazu zu bringen, auf einen Anhang mit einem Link zu einer Ransomware zu klicken oder ihn zu öffnen.
  • Infiziert ein ganzes Netzwerk, indem Ransomware auf andere Geräte übertragen wird.
  • Ausnutzen bekannter Sicherheitslücken einer bestimmten Software, weshalb es sinnvoll ist, jede Software regelmäßig zu aktualisieren.
  • Nutzen Sie die Einfachheit eines Passworts für den Zugriff auf ein Netzwerk.
  • In einigen seltenen Fällen gelingt es Hackern, einen Mitarbeiter zu bestechen, der dann selbst Ransomware installiert.

Für die Hacker geht es immer darum, in die Informationssysteme eines Unternehmens einzudringen. Um dies zu erreichen, müssen sie zunächst eine Sicherheitslücke ausnutzen, um ein Programm einzuschleusen, beispielsweise einen böswilligen Anhang. Dieser erste Code löst einen zweiten, größeren Code aus, der von einem externen Server stammt. Sobald sie aktiviert wurde, blockiert die Ransomware den Zugriff auf bestimmte Dateien oder Geräte. Das Unternehmen ist jetzt reif für Lösegeld.

Wie richte ich einen effizienten Schutz vor Ransomware ein?

Der Schutz vor Ransomware beginnt damit, dass Sie alle notwendigen Präventivmaßnahmen ergreifen. Es bedeutet auch, dass Sie sich der richtigen Verhaltensweisen bewusst sind, die Sie im Falle eines Ransomware-Angriffs anwenden sollten.

Präventive Maßnahmen gegen Ransomware

In seiner Kampagne gegen Ransomware hat ANSSI eine Reihe von Tipps zur Verhinderung von Ransomware-Angriffen herausgegeben. Das britische NCSC beschreibt auch mehrere ähnliche gute Praktiken. Hier finden Sie eine Zusammenfassung der von der britischen und der französischen Regierung empfohlenen Methoden zur Bekämpfung von Ransomware:

1/ Führen Sie regelmäßige Backups auf separaten Medien/Geräten durch;

2/ Vorsicht vor E-Mails, die von unbekannten oder verdächtigen Personen oder Organisationen gesendet werden: Achten Sie auf die Adresse des Absenders. Seien Sie vorsichtig, insbesondere bei E-Mails, die auf den ersten Blick von offiziellen Behörden oder von üblichen Korrespondenten herausgegeben zu werden scheinen. Cyberkriminelle zögern nicht, die Adressen Ihrer üblichen Kontakte zu fälschen. Löschen Sie im Zweifelsfall die E-Mail und wenden Sie sich an die betreffende Person oder Abteilung, um zu überprüfen, ob die Kommunikation wirklich von ihnen stammt.

3/ Öffnen Sie niemals im SCR- oder CAB-Format komprimierte Anhänge, diese bedeuten CTB-Locker-Ransomware;

4/ Arbeiten Sie auf Ihren Geräten nicht von einem Administratorkonto aus, sondern von einem Benutzerkonto aus;

5/ Akzeptieren Sie regelmäßig Softwareupdates, sobald Sie entsprechende Benachrichtigungen erhalten;

6/ Verwenden Sie ein aktuelles Antivirenprogramm und konfigurieren Sie Ihre Firewall so, dass nur legitime Anwendungen zugelassen werden;

7/ Installiere keine gehackten Programme;

8/ Vermeiden Sie Websites, die das illegale Herunterladen von Musik, Filmen oder Software ermöglichen;

9/ Verwenden Sie komplexe Passwörter, ändern Sie sie regelmäßig;

10/ Schalten Sie Ihre Geräte aus, wenn Sie sie nicht verwenden;

11/ Üben Sie, indem Sie sich auf ein Ransomware-Angriffsszenario vorbereiten.

Schulung zum Umgang mit einem Ransomware-Angriff

Eine der wichtigsten Maßnahmen, die Sie ergreifen können, um Ihre Informationssysteme wirksam zu schützen, ist die Schulung Ihrer Mitarbeiter in Onlinesicherheit. Ihre Mitarbeiter müssen insbesondere wissen, wie sie Phishing-Versuche erkennen können. Antivirenprogramme können diese nicht immer blockieren.

Ransomware-Simulationen helfen dabei, Ihre Mitarbeiter über Cyberrisiken aufzuklären, indem sie ihnen das richtige Verhalten beibringen. Dies ist auch eine der einfachsten Möglichkeiten, eine interne Cybersicherheitskultur zu entwickeln.

Lassen Sie Ihre Mitarbeiter neben der Schulung zur Phishing-Erkennung auch Wiederherstellungssimulationen durchführen. Ziel dieser Art von Tests ist es herauszufinden, wie schnell sie nach einem Ransomware-Angriff Daten wiederherstellen müssen. Es ist vor allem eine Gelegenheit, die Auswirkungen eines solchen Cyberangriffs auf Ihren Betrieb, Ihre Benutzer und ganz allgemein auf alle Ihre Stakeholder zu messen.

Was tun angesichts eines bestätigten Ransomware-Angriffs?

Wenn einer Ihrer Mitarbeiter tatsächlich einem Ransomware-Angriff ausgesetzt ist, gibt es eine Reihe von Richtlinien zu beachten: individuelle Sicherheitsverfahren, aber auch unternehmensweite Maßnahmen.

Wie sollte ein Mitarbeiter reagieren, wenn er mit Ransomware konfrontiert wird?

Beim Umgang mit Ransomware müssen Mitarbeiter:

  • Trennen Sie das Gerät vom Internet. Dies bedeutet, dass sie entweder die WiFi-Verbindung deaktivieren oder das Ethernet-Kabel abziehen müssen;
  • Informieren Sie die IT-Abteilung und gegebenenfalls den Cybersicherheitsdienstleister des Unternehmens;
  • Sorgen Sie für die Aufbewahrung von Beweisen, um dem Unternehmen die Möglichkeit zu geben, eine Beschwerde einzureichen: verschlüsselte Daten, betrügerische E-Mails usw.

First step against a ransomware attack: switch off the Internet

Unternehmensweit, Schritt 1: Zahlen Sie das Lösegeld nicht

Wenn Ihr Unternehmen gehackt wurde, geben Sie nicht der Versuchung nach, das Lösegeld zu zahlen. Es kann durchaus sein, dass der Hacker beschließt, Ihnen den Entschlüsselungsschlüssel danach nicht zu geben.

Was auch immer Sie tun, sie hatten bereits Zugriff auf Ihre Dateien und haben möglicherweise Kopien davon erstellt. Die von ihnen gesammelten Daten könnten durchgesickert sein, selbst wenn Sie das Lösegeld bezahlt haben. Wenn Sie sie bezahlen, kann dies auch Ihre Zahlungsmethode gefährden.

Indem Sie sich entscheiden, das Lösegeld zu zahlen, ermöglichen Sie auch widerwillig Cyberkriminalität. Ein weiterer Grund, warum die Lösegeldforderungen immer höher werden, ist, dass Hacker die Neigung von Unternehmen bemerkt haben, teuer zu zahlen, um ihre vertraulichen Daten wiederherzustellen.

Unternehmensweit, Schritt 2: Beschwerde einreichen und Ransomware melden

Gehen Sie auf Unternehmensebene wie folgt vor:

  • Bewahren Sie die Beweise für die Ransomware auf, die Ihre Mitarbeiter oder Anbieter entdeckt haben. Es könnte sich um eine infizierte E-Mail, verschlüsselte Daten oder Firewall-Berichte handeln.
  • Reichen Sie eine Beschwerde ein, bevor Sie die kompromittierten Dateien wiederherstellen. Auf diese Weise behalten Sie Beweise für den Cyberangriff. Möglicherweise möchten Sie sich an die Polizeistation oder eine zuständige Justizbehörde wenden.
  • Melden Sie die Ransomware-Infektion dem Information Commissioner's Office (ICO), wenn der Angriff zu einer Verletzung der persönlichen Daten Ihrer Mitarbeiter oder Kunden geführt hat.

Zur Erinnerung: Wenn die von Ihrem Unternehmen verwalteten personenbezogenen Daten nicht verfügbar sind, geändert, offengelegt oder gelöscht werden, sind Sie berechtigt, den Vorfall dem ICO zu melden. Geben Sie in diesem Fall die folgenden Elemente an:

  • Art des Verstoßes: Änderung, Löschung, Verbreitung;
  • Kategorien der beteiligten Mitarbeiter und Mitarbeiterzahl;
  • Kategorien personenbezogener Daten und Menge;
  • Folgen des Angriffs auf die Daten und Maßnahmen zu deren Abschwächung;
  • Maßnahmen, die Sie bereits ergriffen haben, sowie Maßnahmen, die Sie in Betracht ziehen, um einen zweiten Ransomware-Angriff zu verhindern.

Unternehmensweit, Schritt 3: Reparieren Sie das Computersystem und stellen Sie die beschädigten Daten wieder her

Ihr Unternehmen könnte sich dafür entscheiden, seinem CIO die Beseitigung der Malware anzuvertrauen. Ihre IT-Teams verwenden dann Websites wie Kein Lösegeld mehr um eine geeignete Ransomware-Entschlüsselungslösung zu finden.

Wenn der CIO die beschädigten Daten nicht entschlüsseln kann, kann das Unternehmen auf Ransomware-Entschlüsselungsdienste zurückgreifen. Sie könnten sich an Ihren üblichen Cybersicherheitsanbieter wenden, um zu versuchen, alle vom Eindringling erstellten Kopien zu identifizieren. Ihr Cybersicherheitsanbieter kann dem Hacker auch den Zugriff auf Ihre sensiblen Daten entziehen.

Dann kommt eine Erholungsphase. Dazu gehört das vollständige Neuformatieren des Geräts, aber auch das Wiederherstellen Ihrer Sicherungskopien. Setzen Sie alle potenziell betroffenen Geräte sowie die Server zurück.

Unternehmensweit, Schritt 4: Analysieren Sie Ihre Computerschwachstellen

Die Zeit der Turbulenzen aufgrund des Diebstahls Ihrer Daten ist vorbei. Jetzt ist es an der Zeit, die Cybersicherheitslücken zu analysieren, die den Ransomware-Angriff ermöglicht haben:

  • War es menschliche Verwundbarkeit? Denken Sie zum Beispiel an Geräte, die möglicherweise kürzlich von Ihren Mitarbeitern verloren gegangen sind oder von ihnen gestohlen wurden.
  • Klicken Sie auf einen bösartigen Link?
  • Phishing?
  • Surfen Sie auf einer beschädigten Website?
  • Ein Eindringen in Ihr Computersystem aufgrund fehlender sicherer Passwörter?

Sobald der Krise ist vorbei, es ist Zeit, dein DRP zu aktivieren, oder Notfallwiederherstellungsplan im Falle einer Cybersicherheitsverletzung. Dies muss im Voraus durchdacht worden sein, damit der Betrieb Ihres Unternehmens langfristig nicht unter Ransomware leidet.

Protecting against MITM attacks with HTTPS protocol

Häufig gestellte Fragen: Ransomware

Was ist ein Ransomware-Angriff?

Ransomware ist bösartige Software, die Computer sperren oder Unternehmensdaten verschlüsseln kann. Wenn es passiert, verlangen Hacker schließlich ein Lösegeld als Gegenleistung für die unzugänglichen Dateien.

Wie funktioniert Ransomware?

Um zu verhindern, dass das Opfer auf seine Daten zugreift, kann der Ransomware-Hacker diese verschlüsseln oder den Zugriff auf den Computerbildschirm oder den Internetbrowser blockieren.

Was sollten Sie tun, wenn Sie einem Ransomware-Angriff ausgesetzt sind?

Zahlen Sie nicht! Selbst wenn Sie dem Cyberkriminellen das von ihm geforderte Lösegeld geben, gibt es keine Garantie dafür, dass er Ihre Daten entschlüsselt oder dass er sie nicht verbreitet. Sie würden dann auch einen ungesunden und illegalen Handel unterstützen, und Hacker würden Sie dann als guten Kunden identifizieren.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.