Was ist Ransomware?
Ransomware besteht aus Schadprogrammen, die den Zugang zu Daten für einen Computerbesitzer einschränken oder ganz unmöglich machen. Für das Aufheben der Blockierung verlangen die Täter ein Lösegeld. Erpressung und Computerkriminalität gehen im diesem Delikt eine Verbindung ein. Ransomware gehört derzeit zu den größten Problemen auf dem Gebiet der Schadprogramme.
Woher kommt Ransomware?
Die Programmierung von Ransomware erfordert einige technische Expertise. Für einen Angriff ist diese jedoch nicht mehr notwendig, weil im Darknet oder sogar im Internet selbst Bausätze verfügbar sind, mit denen ein Ransomware-Angriff ohne besondere Fähigkeiten durchgeführt werden kann.
Bekannte Beispiele
Wannacry trat im Frühling 2017 auf und befiel in kurzer Zeit Computer in 150 Ländern. Dieser Angriff wird als Schritt zu einer neuen Größenordnung des Problems Ransomware gesehen. Das bekannteste und am meisten verbreitete Schadprogramm dieses Typs führt den Namen Cryptolocker.
Methoden der Ausbreitung
Ransomware verbreitet sich wie andere Computerviren oft über Anhänge zu E-Mails oder durch Sicherheitslücken in einem Webbrowser. Auch ein Herunterladen verseuchter Dateien von einem Speicher in der Cloud kann einen Befall mit Ransomware nach sich ziehen. Ist ein Computer in einem firmeneigenen Netz befallen, versuchen die meisten Ransomware-Programme eine Ausbreitung auf andere Rechner im gleichen Netzwerk.
Verhalten von Ransomware
Eine frühe Version dieser Malware öffnet ein Fenster, das nicht leicht geschlossen werden kann und eine Lösegeldforderung enthält. Wenig erfahrene Nutzer kann schon so ein Fenster zu einer Zahlung bewegen. Heute sind fast alle Erpressungstrojaner wesentlich weniger gutartig und verschlüsseln Dateien mit einem nur den Angreifern bekannten Schlüssel. Ransomware zielt besonders auf diejenigen Daten ab, die für den Besitzer des Computers am wertvollsten sind wie e-mails und mit Bürosoftware erstellte Dateien.
Nach dieser Verschlüsselung erhält der Nutzer Anweisungen für die Bezahlung eines Lösegelds. In Aussicht gestellt wird von den Angreifern, dass der Schlüssel dem Nutzer zugestellt wird und er damit seine Daten wieder verfügbar machen kann. Wurden vertrauliche Daten von den Angreifern abgezogen, wird von den Tätern mit der Veröffentlichung gedroht, falls die Zahlung des Lösegelds verweigert wird. Das Hauptproblem liegt natürlich darin, dass Gauner keine Ehre haben und die Täter mit dem Lösegeld auch einfach verschwinden können, ohne dem Nutzer den Schlüssel zugänglich zu machen.
Die Zahlung des Lösegelds
Im eigenen Interesse geben die Täter den Nutzern leicht zu befolgende Anweisungen für diese Zahlung mit Paysafedards, Ukash oder mit Kryptowährungen. Im Durchschnitt wird eine Summe von etwa 5.000 Euro verlangt. Nach übereinstimmenden Angaben vielen Opfer von Ransomware-Angriffen sind die Kosten für den Betriebsausfall allerdings etwa 50 mal höher. Ein Zahlung kann wie die einzige Chance zum Zugang zu den eigenen Daten erscheinen. Zu berücksichtigen ist aber, dass eine Überweisung auch grundsätzliche Bereitschaft zur Zahlung signalisiert und Anlass für weitere Angriffe sein kann.
Wie schützt man sich vor Ransomware?
Der beste Ransomware-Schutz ist eine geeignete Vorbereitung. Das Optimum ist ein versioniertes Dateisystem, das zu älteren Versionen keinen Schreibzugriff gestattet. Nach einem Ransomware-Befall kann also ganz einfach von diesem Massenspeicher die kurz zuvor gespeicherte Version wiederhergestellt werden. Ein Beispiel ist das System NILFS.
Auf jeden Fall ist eine Sicherungskopie erforderlich, die nicht nur für die Bewältigung eines Ransomware-Angriffs wichtig ist. Der Massenspeicher darf nur zur Erstellung der Kopie am System angeschlossen werden, sonst wird er von Ransomware genauso befallen wie der interne Massenspeicher des Computers.
Um es Ransomware schwerer zu machen, sind schwierig zu erratende Passwörter und gut gesicherte Zugriffe von außen geeignete Schritte. Trotzdem ist damit zu rechnen, dass früher oder später ein Mitarbeiter auf den Anhang einer gefährlichen e-mail klickt und einem Erpressungstrojaner den Zugang zum System öffnet. Wird das Problem entdeckt, sollte die Stromversorgung des Computers sofort unterbrochen werden, um eine laufende Verschlüsselung zu unterbrechen.
Ein IT-Forensiker kann feststellen, welche Daten nicht verschlüsselt wurden und gerettet werden können. Entschließt man sich zur Zahlung des Lösegelds, sollte auf keinen Fall der befallene Computer für die Zahlung verwendet werden, denn er könnte auch noch mit anderer Malware befallen sein, die zum Beispiel die Zugangsdaten an den Angreifer übermittelt. Gerade der Betriebsausfall ist mit sehr hohen Kosten verbunden. Der vorbeugende Rat eines Experten für Computersicherheit ist praktisch immer wesentlich billiger.
