Immer wieder gibt es Cyperangriffe durch sog. Ransomware. Der bisher größte Befall erfolgte im Mai 2017 durch das Schadprogramm „WannaCry“. Damals wurden über 230.000 Computer in 150 Ländern infiziert und jeweils Lösegeldzahlungen von den Betroffenen verlangt. Dieser Beitrag soll aufzeigen wie diese Schadprogramme in die Systeme gelangen und wie man sich dagegen schützen kann.
Der Inhalt im Überblick
Was ist Ransomware?
Als Ransomware werden Schadprogramme bezeichnet, mit denen ein Eindringling den Zugriff eines Computerinhabers auf seine eigenen Daten einschränkt oder ganz verhindert. Dazu werden die Daten mithilfe des Schadprogramms verschlüsselt und für die Entschlüsselung oder Freigabe wird ein Lösegeld gefordert. Die Zahlung des Lösegelds erfolgt über anonyme Bezahlungsmethoden wie z.B. Bitcoins oder Paysafecards.
Wie gelangt das Schadprogramm in das System?
Ransomware gelangt meistens über die gleichen Wege wie ein Computervirus in das System. Häufig geschieht dies über das Öffnen von E-Mail-Anhängen. Dazu werden z.B. unter Verwendung echter Firmennamen und –Adressen E-Mails mit angeblichen Rechnungen oder Bestellbestätigungen verschickt. Im Anhang findet sich dann jedoch keine Rechnung, sondern ein sog. Downloader, der das Schadprogramm nachlädt. Dies bietet für Angreifer den Vorteil, die Schadsoftware immer auf dem aktuellsten Stand halten zu können und ihre Erkennung zu erschweren. Eine andere Möglichkeit wie Ransomware in Systeme gelangt, ist die Ausnutzung von Schwachstellen in Servern, die Nutzung ungeschützter Fernwartungszugänge oder die Nutzung von Sicherheitslücken in zahlreichen Programmen.
Nachdem die Software in das System gelangt ist werden die persönlichen Daten des Nutzers verschlüsselt. Dazu gehören: Emails, Fotos, Word-Dokumente etc. Dem Betroffenen wird anschließend eine Entschlüsselungssoftware angeboten, wofür er zuvor bezahlen muss. Die praktische Erfahrung zeigt, dass selbst bei einer Bezahlung des Lösegelds durch den Nutzer nicht sicher ist, ob die Daten anschließend wieder entschlüsselt werden. Daher rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Themenpapier zu „Ransomware“ ausdrücklich das Lösegeld nicht zu bezahlen und polizeiliche Strafanzeige zu erstatten.
Präventive Schutzmaßnahmen
Die präventiven Maßnahmen gegen einen Befall lassen sich in drei Kategorien einteilen.
- Verhinderung von Infektionen
- Sicheres Backupkonzept
- Sensibilisierung von Nutzern
Um Infektionen zu verhindern sind das Betriebssystem und andere Programme ständig auf den aktuellsten Stand zu halten. Besonders zu achten ist dabei auf Anwendungen, die mit Inhalten aus dem Internet geöffnet werden. Dazu gehören z.B. Browser und E-Mail-Programme. Außerdem sollte nicht benötigte Software deinstalliert und Browser-Plugins wie Java oder Flash – sofern nicht mehr benötigt – entfernt werden. Weiterhin sollte man beim Öffnen von E-Mail-Anhängen besonders vorsichtig sein. Da oftmals auch die Absenderadresse gefälscht ist, sollte man als Nutzer vor dem Öffnen eines Anhangs eine Plausibilitätsprüfung von Absender und Inhalt vornehmen. Eine weitere Handlungsempfehlung ist die ständige Aktualisierung des Virenschutzes und die Sicherung der Fernwartungszugänge.
Die wichtigste Schutzmaßnahme ist die Gewährleistung der Verfügbarkeit der Daten im Falle eines Befalls durch Ransomware. Dafür sollte jeder Nutzer über ein Datensicherungskonzept verfügen. Da viele Ransomware-Varianten auch Online-Backups verschlüsseln, sollten die Daten in regelmäßigen Abständen über ein Offline-Backup gesichert werden.
In größeren IT-Infrastrukturen stellt die Sensibilisierung von Nutzern eine weitere wichtige Maßnahme dar. Durch die Aufklärung der Nutzer über mögliche Infektionswege können diese ihre Verhaltensweisen entsprechend verändern.
Zuziehung von Experten
Betreuer größerer IT-Infrastrukturen sollten sich, wenn sie nicht über eigenes IT-Security-Fachpersonal verfügen, rechtzeitig um externe Unterstützung kümmern. Eine gute Prävention und Reaktion ist nur mithilfe von fachkundigem Personal möglich.