Im Oktober 2023 kam es in 72 Kommunen im südlichen Westfalen zum Supergau in der Behörden-IT. In der Nacht hatten Hacker den kommunalen IT-Dienstleister mittels Ransomware angegriffen. Neben den Verwaltungen fielen auch bei Schulen die Systeme aus. Ähnlich erging es der Messe Essen, die ebenfalls mit Ransomware bedroht wurde: Cyberkriminelle kaperten den Kartenshop und stahlen personenbezogene Daten wie Adressen und E-Mails. Ein stabiles Sicherheitsnetz kann folgenschweren Ransomware-Attacken den Schrecken nehmen.
Was ist Ransomware?
Was Ransomware so gefährlich macht, erklärt bereits ihr Name: Diese Schad-Software (Malware) blockiert den Zugriff auf Computersysteme oder Dateien, bis eine Geldsumme (Englisch: Ransom) gezahlt wird. Normalerweise verschlüsselt die Software die Dateien auf dem Gerät des Opfers, so dass diese nicht mehr zugänglich sind. Um den Decryption-Schlüssel für die abgegriffenen Informationen zurückzuerhalten, sollen Firmen, Behörden oder Organisationen den Hackern Lösegeld zahlen.
Warum ist Ransomware so gefährlich?
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gab es 2023 mehr als 2.000 Schwachstellen in Software-Produkten. Das ist ein Zuwachs von 24 Prozent im Vergleich zum Vorjahr. 66 Prozent aller Spam-Mails waren versteckte Cyber-Angriffe. Vor allem für Unternehmen und Behörden ist Ransomware laut BSI die Top-Bedrohung schlechthin. Durchschnittlich 775 E-Mails mit Schadprogrammen wurden an jedem Tag im Berichtszeitraum in deutschen Regierungsnetzen abgefangen. Hinzukommen 370 Webseiten, die im Durchschnitt jeden Tag aufgrund von Schadprogrammen für den Zugriff gesperrt werden mussten.
Es ist die Mischung aus finanziellen Anreizen und zerstörerischer Kraft, die Ransomware so gefährlich macht. Zudem entwickeln Hacker Ransomware-Attacken ständig weiter und es kommen immer raffiniertere Techniken zum Einsatz, etwa neue Verschlüsselungsmethoden, anonyme Zahlungssysteme wie Krypto-Währungen und Social Engineering. Auf diese Risiken müssen Sie sich einstellen:
- Datenschutzverletzungen: Manchmal drohen Angreifer mit der Freigabe sensibler Daten, sollte kein Lösegeld gezahlt werden. Das kann zu Datenschutzverletzungen, Bußgeldern und rechtlicher Haftung für das betroffene Unternehmen führen.
- Finanzielle Schäden: Ransomware-Angriffe können Einzelpersonen, Unternehmen und Organisationen finanziell treffen, denn sie sind oft gezwungen, Lösegeld zu zahlen, um wieder Zugriff auf ihre Dateien zu erhalten. Vorsicht: Selbst, wenn gezahlt wird, gibt es keine Garantie, dass der Entschlüsselungsschlüssel auch mitgeteilt wird oder dass die Entschlüsselung wirklich funktioniert.
- Störungen und Zeitverlust: Ransomware-Angriffe können Betriebsabläufe erheblich stören, was zu Ausfallzeiten, Produktivitätsverlusten und Image-Schäden führt.
- Schnelle Ausbreitung: Ransomware kann sich schnell über Netzwerke und Geräte ausbreiten und mehrere Systeme innerhalb eines Unternehmens oder zwischen verschiedenen Firmen infizieren. Sie kann Unternehmen, Staaten und kritische Infrastrukturen weltweit treffen und weitreichende Störungen verursachen.
Einige Beispiele, wie Ransomware Computer infiziert, sind Malvertising (bösartige Werbung auf legitimen Websites), Phishing-Mails (mit gefährlichen Links oder Anhängen) oder Exploit-Kits, die Schwachstellen in Software, Betriebssystemen oder Netzwerkdiensten automatisiert ausnutzen. Hinzukommen Drive by Downloads, kompromittierte Webseiten, die Ransomware automatisch auf die Systeme von Website-Besuchern herunterladen).
Welche Arten von Ransomware gibt es?
Außerdem gibt es verschiedene Formen von Ransomware, die sich in der Art ihrer Angriffsvektoren und Verhaltensweisen unterscheiden.
- Locker Ransomware: Bei dieser Sperrbildschirm-Variante wird der Zugriff auf den Computer oder spezielle Funktionen des Betriebssystems gesperrt.
- Encrypting Ransomware: Dateien werden auf dem infizierten System mithilfe starker Verschlüsselungsalgorithmen verschlüsselt.
- Master Boot Record (MBR) Ransomware: Sie infiziert den MBR eines Computers, was dazu führen kann, dass das Betriebssystem nicht mehr richtig startet.
- Mobile Ransomware: Diese Schadsoftware zielt auf mobile Geräte wie Smartphones und Tablets ab. Sie kann sich über infizierte Apps, schädliche Links oder Drive by-Downloads verbreiten und persönliche Daten verschlüsseln und den Zugriff blockieren.
- Netzwerk-Ransomware: Sie breitet sich innerhalb eines Netzwerks aus und infiziert mehrere Computer oder Server. Gemeinsam genutzte Netzwerkressourcen, Schwachstellen in Netzwerkprotokollen oder ungesicherte Remote Desktop-Verbindungen sind das Eingangstor für Hacker.
- Dox- oder Leakware: Hierbei drohen Angreifer, gestohlene oder verschlüsselte Daten der Opfer zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Diese Form von Ransomware zielt darauf ab, Opfer durch die Veröffentlichung sensibler Informationen zu erpressen, anstatt nur den Zugriff auf Dateien zu verweigern.
- Ransomware as a-Service (RaaS): Cyber-Kriminelle bieten sogar Ransomware-Kits als Abonnement an. Durch vorgefertigte Tools können so selbst technisch Unerfahrenere Ransomware-Angriffe in die Wege leiten.
Wie erkennt und bekämpft man Ransomware?
Die frühzeitige Aufdeckung von Ransomware ist entscheidend, um die Auswirkungen auf Ihr System und Ihre Daten möglichst klein zu halten. Hierauf sollten Sie diesbezüglich achten:
- Installieren Sie verlässliche Antiviren- und Anti-Malware-Software!
- Setzen Sie auf verhaltensbasierte Detection: Es gibt verhaltensbasierte Erkennungstechniken, die Ransomware anhand ihrer Aktionen und nicht anhand ihrer Signatur identifizieren. Hierzu gehören die Überwachung des Systemverhaltens auf ungewöhnliche Dateiverschlüsselungsmuster oder Versuche, Systemeinstellungen zu ändern.
- Klären Sie Mitarbeitende über die Risiken von Ransomware auf und sensibilisieren Sie sie, verdächtige Aktivitäten auf ihren Computern zu melden. So können IT- und Sicherheitsteams schneller auf potenzielle Ransomware-Infektionen reagieren und Auswirkungen reduzieren.
- Nutzen Sie Mechanismen zur Erkennung von Anomalien. Dies können eine plötzliche Zunahme von Dateiverschlüsselungsaktivitäten, unbefugte Zugriffsversuche oder ungewöhnliche Netzwerkverkehrsmuster sein.
- Verwenden Sie Tools zur Überwachung der Dateiintegrität, um Änderungen an Dateien und Verzeichnissen zu verfolgen.
- Analysieren Sie den Netzwerkverkehr auf Anzeichen von Ransomware-Kommunikation, etwa Verbindungen zu bekannten Befehls- und Kontrollservern, die von Ransomware-Betreibern verwendet werden. Intrusion Detection and Prevention Systeme (IDPS) helfen, verdächtige Verbindungen in Echtzeit zu blockieren.
- Überwachen Sie Benutzeraktivitäten in Ihrem Netzwerk, um ungewöhnliche Aktionen zu erkennen.
- Setzen Sie Lösungen für Endpoint Detection and Response (EDR) ein, die Echtzeiteinblicke in die Aktivitäten von Endgeräten bieten und eine schnelle Reaktion auf potenzielle Bedrohungen ermöglichen.
- Implementieren Sie SIEM-Lösungen, die Sicherheitsereignisdaten aus verschiedenen Quellen in Ihrem Netzwerk sammeln und analysieren. Mit SIEM-Plattformen lassen sich Ereignisse korrelieren, potenzielle Sicherheitsvorfälle identifizieren und die Reaktion auf Ransomware-Angriffe erleichtern.