Es vergeht kaum mehr eine Woche, in der es nicht ein namhaftes Unternehmen gibt, das es auf unrühmliche Weise mit einer Ransomware-Attacke oder einem Datenleck in die Presse schafft. Immer häufiger werden aber auch kleinere Betriebe und Firmen angegriffen.

Wenn du denkst, dass du für Hacker uninteressant bist, täuschst du dich. Wir zeigen dir, warum Ransomware auch für dich zur Gefahr werden könnte und wie du dich davor schützen kannst.

Was ist Ransomware?

Ransomware fügt sich aus den Wörtern Lösegeld und Software zusammen und ist eine Form von Malware (Viren, Trojaner, Spyware), die die Daten von Personen verschlüsselt und unbegehbar macht. Oftmals spricht man auch von einer “Datenentführung“, da manche Hacker gezielt private Informationen klauen und den Nutzer damit erpressen.

Sie wird deshalb auch als Erpressungstrojaner bezeichnet, weil der Nutzer ein Lösegeld zahlen muss, um den Zugang zu seinen Daten zurückzubekommen. Sobald das Lösegeld bezahlt ist, kann der Benutzer nur hoffen, dass er wieder Zugriff auf seine Dateien erhält oder diese nicht als Klatsch und Tratsch im Netz landen.

Meist wird das Lösegeld in Form von Kryptowährung gefordert und liegt normalerweise zwischen einigen Hundert und Tausenden von Franken.

Wie gelangt die Software auf meinen Computer?

Ransomware kann mit einem trojanischen Pferd verglichen werden. Ein Virus wird versteckt in einem Anhang, Link oder Download auf deinen Computer geschmuggelt, verbreitet sich in deinem Netzwerk und greift dann plötzlich verschiedene Systeme an.

Sicherheitslücken in der Software oder dem Betriebssystem

Systeme und Softwares sind hauptsächlich dann anfällig für Ransomware, wenn sie veraltet sind. Werden Updates von Nutzern ignoriert werden, führt das nur dazu, dass Sicherheitslücken entstehen und Viren sich ganz einfach einnisten können. Es gibt schliesslich einen Grund, warum Windows & Co. ihre Nutzer mit ständigen Softwareupdates plagen.

Manipulierte Websites

“Im Internet ist nichts so wie es scheint.“

Einen Spruch, den wir unseren Kunden immer wieder gerne mit auf den Weg geben.

Denn viele Internetseiten dienen sozusagen als Ransomware-Fallen und sind von Hackern präpariert worden. Stösst du auf so eine Seite, so löst du automatisch einen sogenannten Drive-by-Download aus, der die Schadsoftware heimlich auf deinen Rechner spielt.

E-Mail-Anhänge

Wie jeder andere Virus auch versteckt sich die Ransomware zudem gerne in E-Mails. Egal, ob als Link oder Download – mit nur einem Klick wird die Malware auf den Computer gespielt.

Betroffen hiervon sind vordergründig Unternehmen oder grosse Organisationen, die täglich ein dutzend E-Mails erhalten und diesen deshalb nicht wirklich grosse Aufmerksamkeit schenken.

Wütende oder erpresste Mitarbeiter sind ebenfalls die perfekte Anlaufstelle für Hacker und ein Mittel, das fiese ist. Unzufriedene Angestellte oder diejenigen unter Druck können die installierten Sicherheits-Maßnahmen bypassen und den Virus ins System lassen.

Die zwei Arten von Ransomware

File-Encrypter

Dies ist die häufigste Variante, in der Ransomware auftritt.

Beim File-Encrypter handelt es sich um einzelne Dateien, die verschlüsselt werden. Diese sind dann für dich unbegehbar.

Hast du Pech, und Hacker finden sensible Informationen (wie Textnachrichten, Bilder etc.) auf dem Computer, dann können diese auch gerne mal als “Geiseln“ genutzt werden, um Lösegeld von dir zu fordern.

Lockscreen

Wie der Name schon sagt, handelt es sich hier um die Sperrung des gesamten Bildschirms, beziehungsweise Computers. Diese Malware hindert dich also daran, dein Gerät auch nur ansatzweise zu nutzen verhindert den Zugriff auf alles, was auf diesem gespeichert ist.

Berühmte Beispiele von Ransomware in Unternehmen

WannaCry

Der wohl bekannteste Ransomware-Angriff fand 2017 durch die Software Wannacry statt. Diese nutze eine Windows-Schwachstelle, um Daten auf weltweit über 250’000 Rechnern zu verschlüsseln. Dabei waren längst nicht nur Privatpersonen betroffen. Den britischen Gesundheitsdienst NHS kostete der Angriff über 100 Millionen Franken, weil Tausende Termine und Operationen wegen den befallenen Rechnern verschoben werden mussten. Auch das spanische Telekommunikationsunternehmen Telefónica war betroffen und auch in der Schweiz gab es Dutzende Firmen, die immense Ausfälle zu beklagen hatten.

Petya

Petya wurde in einer Dropbox-Datei versteckt, die angeblich Bewerbungsunterlagen enthalten sollte. Unwissende HR-Mitarbeiter in hunderten Unternehmen auf der ganzen Welt luden diese herunter, öffneten sie und die Erpressungssoftware konnte sich wie WannaCry ungehindert im gesamten Netzwerk verbreiten.

Wie genau funktioniert Ransomware?

Eine Ransomware-Attacke findet immer in 4 Phasen statt. Je früher du sie erkennen und intervenieren kannst, desto kleiner wird der Schaden sein.

1. Vorbereitung

Zuerst einmal muss die Ransomware auf deinen Computer gelangen. Dazu verschicken die Hacker meist eine Mail mit Anhang, den du als Unwissender dann auf deinen Computer lädst. Oftmals handelt es sich hierbei auch um einen einfachen Link aus dem Internet, wie beispielsweise beim Downloaden von Musik oder beim Streamen von Filmen.

Wird die Datei oder der Anhang geöffnet, so wird ein sogenannter Master Boot Record (MBR) auf deinen Computer überschrieben, der von deiner Computer-Polizei, aka Systemfestplatte, leider nicht ermittelt werden kann.

3. Verschlüsselung der Daten

Ist der Master Boot Record erst einmal auf dein Gerät gelangt, so beginnt der ganze Spass. Dein Computer fängt an, falsche Signale und Befehle zu erteilen und bittet dich darum, deinen Computer neu zu starten. Grösstenteils ist die Ausrede hierfür ein Update oder ein entdeckter Systemfehler.

Hast du erst einmal dein Gerät neu gestartet, so begrüsst dich dieses mit einem grossen, bösen Totenkopf, der auf dem Sperrbildschirm prangt.

Handelt es sich um eine “File-Encrypter“ Ransomware, so wird es dir zwar möglich sein, deinen Computer zu starten, du wirst aber schnell merken, dass das auch schon das einzige ist, was du tun kannst. Denn hier verschlüsselt die Malware einzelne Dateien und nicht den ganzen Schirm.

Versucht du erst einmal den gesperrten Bildschirm oder die verschlossenen Files durch Hämmern auf deine Tastatur zu beseitigen (wir machen das auch sehr gerne), so beginnt auch schon der nächste Schritt:

3. Erpressung und Verlangen von Lösegeld

Das nächste, was du auf deinem Computer siehst, ist ein Feld, in dem das Lösegeld von dir gefordert wird. Im Gegenzug wirst du den Zugang zu deinem Computer oder deinen Files erhalten. Oft kann es aber auch passieren, dass die Hacker vor der Sperrung persönliche Informationen von deinem Computer klauen und diese bei der Erpressung gegen dich verwenden.
Meist wollen die Hacker eine Bezahlung in Form von Krypto oder per Paysafe erhalten oder du wirst aufgefordert, eine bestimmte Summe auf ein nicht detektierbares Bankkonto zu überweisen.

Nach einem Cyberangriff im Jahre 2017 hat so etwa der englische Gesundheitsservice NHS über 1 Million Pfund an die Hacker zahlen müssen, um wieder Zugang zu Patientendaten und ihrem System zu erhalten.

4. Entschlüsselung

Nach Einzahlung des geforderten Betrags wird dir (wenn du Glück hast) ein Code zur Freischaltung bereitgestellt. Wird dieser erfolgreich verifiziert, dann darfst du dich freuen, denn rund 32 % der Betroffenen bekommen selbst nach Überweisung des Geldes den Zugang zu ihren Daten nicht zurück.

Ransomware und Corona

Im Zusammenhang mit der weltweiten Pandemie waren Corona-bezogene Nachrichten und Anhänge, die in verschiedenen Ransomware-Kampagnen als Köder eingesetzt wurden, zu beobachten. Dies belegen auch aktuelle Statistiken aus dem aktuellen FortiGuard Labs Global Threat Landscape Report: So war beispielsweise die durchschnittliche wöchentliche Aktivität von Ransomware-Bedrohungen im Juni 2021 mehr als zehnmal so hoch wie noch vor einem Jahr. Eine weitere beunruhigende Entwicklung ist der zunehmende Kauf und Verkauf von Ransomware, der in den letzten Jahren stetig zugenommen hatte.

Wie schütze ich mich vor Ransomware?

Im Grossen und Ganzen ist es zweitrangig, wie genau der Computervirus auf dein Gerät gelangt. Wichtig ist, wie du dich davor schützen kannst.

Es ist besonders wichtig, dass du dich proaktiv gegen Ransomware schützt. Zum einen gibt es dazu spezielle Software und zum anderen kannst du das Risiko von Ransomware mit dem richtigen Verhalten auf ein Minimum reduzieren.

Antivirus-Software mit Ransomware-Erkennung verwenden

Es gibt unzählige Sicherheitssoftwares da draussen, die vor Viren und Malware schützen können. Zu ihren Aufgaben zählen unter anderem auch die Verhaltensüberwachung von Skripten im Internet, sowie der Schutz von E-Mail und dem Browser.

Zudem kann eine Antivirus-Software auch dabei helfen, einen gesperrten Bildschirm zu entschlüsseln, um wieder Zugang zu den Daten und Systemen zu generieren.

Regelmässige Backups

Der beste Weg, um dich und deine Daten vor diesem Erpressungstrojaner zu schützen, ist ein Backup. Dieser sollte regelmässig gemacht werden und dazu auf einem separaten Speichermedium (CD, Festplatte oder in der Cloud) aufbewahrt werden.

So kannst du im Falle eines Cyberangriffs dafür sorgen, dass du wenigstens dein System und deine Daten ganz einfach wiederherstellen kannst, ohne grosse Verluste zu verzeichnen.

Software und Betriebssystem regelmässig aktualisieren

du kannst deine Daten auch schützen, indem du regelmässig dein Betriebssystem aktualisiert. Anstatt die lästige Update-Erinnerung einfach wegzuklicken und den Vorgang so lange wie nur möglich zu vermeiden (so wie es jeder halt tut…), solltest du darauf achten, deine Software zu regelmässig zu aktualisieren. So kannst du auftretende Sicherheitslücken schliessen und externe Zugänge, wie den Internetbrowser, absichern.

Mitarbeiter schulen

Arbeitest du in einem Unternehmen, das viel mit Technik, Computern und Software zu tun hat, dann ist es durchaus wichtig, auch die eigenen Mitarbeiter zu schulen. Es sind immer die Unwissenden, die solchen Trojanern in die Arme fallen.
Cyber Schutz ist etwas, das in jedem Unternehmen Wort finden sollte und am besten ist es, dies in einer Schulung vorzunehmen.

Dazu kann ein IT-Spezialist in die Firma eingeladen werden, der das Wesen von Viren und Malware einfach verständlich erklärt. Kennt sich bereits jemand im Unternehmen damit aus, dann umso besser. Das eigene Wissen darf gerne an die eigenen Kollegen weitergegeben werden.

Was kann ich tun, wenn mein Netzwerk bereits infiziert wurde?

Waren alle Vorsichtsmassnahmen vergeblich und der Erpressungstrojaner ist bereits auf dein System geschlichen, so heisst es schnell handeln.

Kappe alle Netzwerkverbindungen und sorge so dafür, dass sich die Ransomware nicht weiter ausbreiten kann.

Wir raten stets dazu, dem Wunsch der Erpresser nicht nachzugehen und das geforderte Lösungsgeld nicht zu überweisen.

Stattdessen solltest du dein Gerät zurücksetzen und deine getätigten Backups auf dieses hochladen.

Hast du deine Daten nicht abgesichert, dann ist trotzdem noch nicht alles verloren. Viele Malwares sind veraltet und können heutzutage sogar geknackt werden. So haben Sicherheitsexperten auf der ganzen Welt die Methoden der Erpresser identifiziert und Programme entwickelt, welche Daten entschlüsseln und den Virus unschädlich machen können.

Dennoch solltest du dich und deine Geräte stets gegen solche Situationen absichern und deshalb das Thema Ransomware proaktiv angehen. So sorgst du dafür, dass deine Daten geschützt und deine Geheimnisse bei dir bleiben.