Ransomware
Wenn Cyber-Erpresser Ihre Daten entführen

Lösegeld her, sonst Daten futsch: Datenerpressungen nehmen auch bei kleinen Unternehmen zu. Wie Sie Angriffe so genannter Ransomware wie Petya, Locky oder TeslaCrypt verhindern - und was Sie tun sollten, wenn es Sie erwischt hat.

, von

Kommentieren
Mit diesem Totenkopf begrüßt die Ransomware Petya ihre Opfer.
Mit diesem Totenkopf begrüßt die Ransomware Petya ihre Opfer.
© Screenshot Youtube

Der Schädling begrüßt seine Opfer mit einem Totenkopf auf rotem Hintergrund und einer Nachricht: „Die Festplatten Ihres Computers wurden mit einem Algorithmus nach Militärstandard verschlüsselt“, erscheint die Meldung in englischer Sprache. „Es gibt keinen Weg, Ihre Daten wiederherzustellen – außer mit einem speziellen Schlüssel.“ Dann folgt eine Anleitung, wie und wo genau der Betroffene den Code zum Entschlüsseln der Daten gegen ein Lösegeld kaufen kann.

IT-Sicherheitsfirmen warnen bereits seit Jahren vor den Auswirkungen sogenannter Ransomware, also Software, mit der sich Lösegeld (engl.: „ransom“) erpressen lässt. Petya ist dabei nur die neueste Erpresser-Software. Andere Schädlinge wie Cryptowall, TeslaCrypt, Locky oder KeRanger funktionieren nach dem immer gleichen Prinzip: Lösegeld gegen Daten. Vor allem in Deutschland nehmen die Angriffe seit diesem Jahr extrem zu. So meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Themenpapier, dass im Februar 2016 hierzulande zehnmal so viele Ransomware-Angriffe entdeckt wurden wie noch im Herbst 2015. Weltweit stieg die Zahl im selben Zeitraum um den Faktor sechs.

Meist gelangt der Schädling per E-Mail auf den Rechner – und kann von dort über Netzwerkfreigaben im Extremfall die gesamte Firmen-IT lahmlegen. Ein Krankenhaus in Neuss musste Mitte Februar sogar seine Patientendaten kurzfristig wieder per Hand aufnehmen, weil Ransomware wichtige PCs im Krankenhaus-Netzwerk blockierte.

Neben öffentlichen Einrichtungen und zahlreichen Privatpersonen geraten auch immer mehr kleine und mittelständische Unternehmen ins Visier digitaler Datenentführer. Im Saale-Orla-Kreis in Thüringen sollen Mails mit dem Petya-Virus Ende März gleich bei mehreren Unternehmen einen Gesamtschaden von mehreren Zehntausend Euro angerichtet haben. Das Schadprogramm mit dem Totenkopf hatte sich als Bewerbungsmail getarnt.

Doch was können kleine und mittelgroße Betriebe tun, wenn sie Opfer einer Cyber-Erpressung geworden sind? impulse.de gibt zwei Anleitungen zum Thema Ransomware: eine mit dringenden Sofortmaßnahmen – und eine mit Tipps zum Vorbeugen.

Das sollten Sie sofort tun …

1. Auf keinen Fall: Lösegeld zahlen!

Um ihre Spuren im Netz zu verwischen, fordern die Erpresser das Lösegeld meist in der digitalen Kryptowährung Bitcoin. Auch wenn es sich umgerechnet oft nur um ein paar Hundert Euro handelt, rät das BSI dringend davon ab, sich auf solche Forderung einzulassen. „Wer einmal zahlt, wird ein attraktives Ziel für weitere Angriffe“, sagt auch der Duisburger IT-Sicherheitsexperte Edgar Scholl von der Firma Datengold. Viele Betroffene sind trotz Lösegeldzahlung nicht wieder Herr ihrer eigenen Daten geworden. Nicht zuletzt finanziert jedes gezahlte Lösegeld die Weiterentwicklung der Schadsoftware.

2. Stecker ziehen!

Um einen Totalausfall des Firmennetzwerks zu verhindern, sollten Unternehmer und ihre Mitarbeiter bei dem leisesten Verdacht – etwa nach Öffnen eines verdächtigen Mail-Anhangs – den möglicherweise infizierten Rechner sofort ausschalten (wichtig: Netzstecker ziehen, nicht herunterfahren!) und vom Firmennetzwerk trennen. Ist der Rechner schnell genug ausgeschaltet worden, hat sich die Schadsoftware unter Umständen noch nicht vollständig breitgemacht. PCs, die im Verdacht stehen, mit Ransomware befallen zu sein, sollten grundsätzlich nur getrennt vom Firmennetzwerk gestartet werden. Nur so lässt sich verhindern, dass der Trojaner weitere Computer im Netzwerk infiziert.

Leseraufruf
Ihre Firma ist Opfer einer Daten-Erpressung geworden? Schreiben Sie uns. Gerne möchten wir im Heft ausführlich über einen Ransomware-Angriff berichten. Ihr Fall wird vertraulich behandelt.

3. Anzeige erstatten!

Eine einzelne Anzeige gegen unbekannt bringt die Polizei oft noch nicht weiter. Je mehr Hinweise aber bei der Polizei eingehen, desto höher ist nicht nur der Ermittlungsdruck, sondern auch die Chance, dass einzelne Kriminelle gefasst werden. Das BSI rät deshalb unbedingt, jeden Ransomware-Angriff anzuzeigen. Die Behörde hat dazu sogar ein spezielles Online-Formular eingerichtet. Viele Landeskriminalämter beschäftigen außerdem Sonderabteilungen zum Thema Cyberkriminalität. Auch hier können sich Unternehmer direkt melden.

4. Alles neu!

„Die Verschlüsselungsalgorithmen neuester Ransomware zu knacken, ist so gut wie unmöglich“, sagt IT-Fachmann Scholl. Zwar soll eine aktuelle Version des Petya-Trojaners inzwischen geknackt worden sein. Auch für andere Erpresser-Schädlinge gibt es teilweise bereits Werkzeuge zum Entschlüsseln. Das Dechiffrieren der Daten benötigt jedoch enorm viel Zeit und vor allem Expertise. Gerade in kleinen Betrieben fehlt oft beides. Ohne fremde Hilfe dürften somit nur die wenigsten Mittelständler in der Lage sein, ihre eigenen Daten wieder zu entschlüsseln.

In den meisten Fällen ist es ohnehin die sicherste Methode, die befallenen Festplatten zu formatieren und den Rechner samt Betriebssystem komplett neu aufzusetzen. Ihre alten Daten und Einstellungen können nur wiederhergestellt werden, wenn Sie ein aktuelles Backup Ihres Systems und Ihrer wichtigsten Dateien erstellt haben, das Sie einspielen können (siehe nächster Punkt).

So sieht es aus, wenn sich die Erpresser-Software auf einem Windows-System breitmacht (Quelle: G Data)

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

So können Sie vorbeugen…

1. Richten Sie einen Backup-Tag ein!

Regelmäßige Sicherungskopien sind die beste Schutzvorkehrung, die Unternehmer für den Ernstfall einer Daten-Erpressung treffen können. Programme hierfür sind bei den gängigen Betriebssystemen kostenlos inbegriffen. Auf Mac OS hilft das umfangreiche Programm „Time Machine“ beim Erstellen von Sicherheitskopien. Die Windows-Variante über „Systemsteuerung“ → „System und Sicherheit“ → „Sichern und Wiederherstellen“ ist nicht ganz so mächtig wie der Apple-Konkurrent, reicht aber, um Backups von wichtigen Dateien oder dem gesamten System anzulegen.

Das beste Backup nützt jedoch nichts, wenn es veraltet ist und Mitarbeiter Monate oder gar Jahre aufarbeiten müssten, um wieder an den alten Datenbestand heranzukommen. Führen Sie deshalb einen Backup-Tag in der Woche ein, an dem Sie wichtige Daten auf einem externen Festplatte sichern. Wichtig: Trennen Sie die Festplatte mit der Sicherungskopie nach Erstellen unbedingt vom Firmennetz. Sonst kann diese ebenfalls von Schadsoftware angegriffen werden.

2. Alles up to date?

Auch wenn sich Ransomware permanent weiterentwickelt: Einige Virenscanner oder Firewalls erkennen ältere Versionen bestimmter Erpresser-Software und können verdächtige Datenströme blocken. Halten Sie deshalb Virenschutz, Firewalls, Betriebssystem, aber auch Ihren Browser immer aktuell. Am wenigsten müssen sich Nutzer des Google-Browsers Chrome sorgen: Das Programm installiert Updates automatisch. Auch den Flash-Player hält der Google-Browser immer up to date – ein beliebtes Einfalltor für Schadsoftware.

3. Achtung, hinterlistige „.exe“!

Ein gesundes Maß an Misstrauen ist der wichtigste Grundstein, um Ihr Firmennetzwerk sauber zu halten. Sie und Ihre Mitarbeiter sollten deshalb genau hinschauen und es vermeiden, in E-Mails von Unbekannten Anhänge oder Links anzuklicken. Trojaner und andere Viren sind ausführbare Miniprogramme. Oft enden diese auf „.exe“, „.scr“, „.com“ oder „.js“ – Vorsicht also vor diesen Formaten in E-Mails. Manchmal verstecken Kriminelle die Schadprogramme auch in gepackten „.zip“- oder „.rar“-Dateien.

Schwierig zu erkennen ist Ransomware, die in kleinen Unterprogrammen einer Word-Datei schlummert, sogenannten Makros. Viele Unternehmen benötigen diese Erweiterung gar nicht, weil sie Microsoft Word als reines Schreibprogramm nutzen. Eine unnötige Sicherheitslücke, die sich über einige wenige Klicks schließen lässt: Wählen Sie in Microsoft Word den Reiter „Datei“ → „Optionen“ → „Sicherheitscenter“ (bei neueren Versionen „Trust Center“) → „Einstellungen für das Sicherheitscenter“ → „Alle Makros ohne Benachrichtigung deaktivieren“. So vermeiden Sie, dass Mitarbeiter auch aus Versehen einen schadhaften Code ausführen.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Der Schädling begrüßt seine Opfer mit einem Totenkopf auf rotem Hintergrund und einer Nachricht: „Die Festplatten Ihres Computers wurden mit einem Algorithmus nach Militärstandard verschlüsselt“, erscheint die Meldung in englischer Sprache. „Es gibt keinen Weg, Ihre Daten wiederherzustellen – außer mit einem speziellen Schlüssel.“ Dann folgt eine Anleitung, wie und wo genau der Betroffene den Code zum Entschlüsseln der Daten gegen ein Lösegeld kaufen kann. IT-Sicherheitsfirmen warnen bereits seit Jahren vor den Auswirkungen sogenannter Ransomware, also Software, mit der sich Lösegeld (engl.: „ransom“) erpressen lässt. Petya ist dabei nur die neueste Erpresser-Software. Andere Schädlinge wie Cryptowall, TeslaCrypt, Locky oder KeRanger funktionieren nach dem immer gleichen Prinzip: Lösegeld gegen Daten. Vor allem in Deutschland nehmen die Angriffe seit diesem Jahr extrem zu. So meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Themenpapier, dass im Februar 2016 hierzulande zehnmal so viele Ransomware-Angriffe entdeckt wurden wie noch im Herbst 2015. Weltweit stieg die Zahl im selben Zeitraum um den Faktor sechs. Meist gelangt der Schädling per E-Mail auf den Rechner – und kann von dort über Netzwerkfreigaben im Extremfall die gesamte Firmen-IT lahmlegen. Ein Krankenhaus in Neuss musste Mitte Februar sogar seine Patientendaten kurzfristig wieder per Hand aufnehmen, weil Ransomware wichtige PCs im Krankenhaus-Netzwerk blockierte. Neben öffentlichen Einrichtungen und zahlreichen Privatpersonen geraten auch immer mehr kleine und mittelständische Unternehmen ins Visier digitaler Datenentführer. Im Saale-Orla-Kreis in Thüringen sollen Mails mit dem Petya-Virus Ende März gleich bei mehreren Unternehmen einen Gesamtschaden von mehreren Zehntausend Euro angerichtet haben. Das Schadprogramm mit dem Totenkopf hatte sich als Bewerbungsmail getarnt. Doch was können kleine und mittelgroße Betriebe tun, wenn sie Opfer einer Cyber-Erpressung geworden sind? impulse.de gibt zwei Anleitungen zum Thema Ransomware: eine mit dringenden Sofortmaßnahmen – und eine mit Tipps zum Vorbeugen. Das sollten Sie sofort tun ... 1. Auf keinen Fall: Lösegeld zahlen! Um ihre Spuren im Netz zu verwischen, fordern die Erpresser das Lösegeld meist in der digitalen Kryptowährung Bitcoin. Auch wenn es sich umgerechnet oft nur um ein paar Hundert Euro handelt, rät das BSI dringend davon ab, sich auf solche Forderung einzulassen. „Wer einmal zahlt, wird ein attraktives Ziel für weitere Angriffe“, sagt auch der Duisburger IT-Sicherheitsexperte Edgar Scholl von der Firma Datengold. Viele Betroffene sind trotz Lösegeldzahlung nicht wieder Herr ihrer eigenen Daten geworden. Nicht zuletzt finanziert jedes gezahlte Lösegeld die Weiterentwicklung der Schadsoftware. 2. Stecker ziehen! Um einen Totalausfall des Firmennetzwerks zu verhindern, sollten Unternehmer und ihre Mitarbeiter bei dem leisesten Verdacht – etwa nach Öffnen eines verdächtigen Mail-Anhangs – den möglicherweise infizierten Rechner sofort ausschalten (wichtig: Netzstecker ziehen, nicht herunterfahren!) und vom Firmennetzwerk trennen. Ist der Rechner schnell genug ausgeschaltet worden, hat sich die Schadsoftware unter Umständen noch nicht vollständig breitgemacht. PCs, die im Verdacht stehen, mit Ransomware befallen zu sein, sollten grundsätzlich nur getrennt vom Firmennetzwerk gestartet werden. Nur so lässt sich verhindern, dass der Trojaner weitere Computer im Netzwerk infiziert. 3. Anzeige erstatten! Eine einzelne Anzeige gegen unbekannt bringt die Polizei oft noch nicht weiter. Je mehr Hinweise aber bei der Polizei eingehen, desto höher ist nicht nur der Ermittlungsdruck, sondern auch die Chance, dass einzelne Kriminelle gefasst werden. Das BSI rät deshalb unbedingt, jeden Ransomware-Angriff anzuzeigen. Die Behörde hat dazu sogar ein spezielles Online-Formular eingerichtet. Viele Landeskriminalämter beschäftigen außerdem Sonderabteilungen zum Thema Cyberkriminalität. Auch hier können sich Unternehmer direkt melden. 4. Alles neu! „Die Verschlüsselungsalgorithmen neuester Ransomware zu knacken, ist so gut wie unmöglich“, sagt IT-Fachmann Scholl. Zwar soll eine aktuelle Version des Petya-Trojaners inzwischen geknackt worden sein. Auch für andere Erpresser-Schädlinge gibt es teilweise bereits Werkzeuge zum Entschlüsseln. Das Dechiffrieren der Daten benötigt jedoch enorm viel Zeit und vor allem Expertise. Gerade in kleinen Betrieben fehlt oft beides. Ohne fremde Hilfe dürften somit nur die wenigsten Mittelständler in der Lage sein, ihre eigenen Daten wieder zu entschlüsseln. In den meisten Fällen ist es ohnehin die sicherste Methode, die befallenen Festplatten zu formatieren und den Rechner samt Betriebssystem komplett neu aufzusetzen. Ihre alten Daten und Einstellungen können nur wiederhergestellt werden, wenn Sie ein aktuelles Backup Ihres Systems und Ihrer wichtigsten Dateien erstellt haben, das Sie einspielen können (siehe nächster Punkt). So sieht es aus, wenn sich die Erpresser-Software auf einem Windows-System breitmacht (Quelle: G Data) So können Sie vorbeugen... 1. Richten Sie einen Backup-Tag ein! Regelmäßige Sicherungskopien sind die beste Schutzvorkehrung, die Unternehmer für den Ernstfall einer Daten-Erpressung treffen können. Programme hierfür sind bei den gängigen Betriebssystemen kostenlos inbegriffen. Auf Mac OS hilft das umfangreiche Programm „Time Machine“ beim Erstellen von Sicherheitskopien. Die Windows-Variante über „Systemsteuerung“ → „System und Sicherheit“ → „Sichern und Wiederherstellen“ ist nicht ganz so mächtig wie der Apple-Konkurrent, reicht aber, um Backups von wichtigen Dateien oder dem gesamten System anzulegen. Das beste Backup nützt jedoch nichts, wenn es veraltet ist und Mitarbeiter Monate oder gar Jahre aufarbeiten müssten, um wieder an den alten Datenbestand heranzukommen. Führen Sie deshalb einen Backup-Tag in der Woche ein, an dem Sie wichtige Daten auf einem externen Festplatte sichern. Wichtig: Trennen Sie die Festplatte mit der Sicherungskopie nach Erstellen unbedingt vom Firmennetz. Sonst kann diese ebenfalls von Schadsoftware angegriffen werden. 2. Alles up to date? Auch wenn sich Ransomware permanent weiterentwickelt: Einige Virenscanner oder Firewalls erkennen ältere Versionen bestimmter Erpresser-Software und können verdächtige Datenströme blocken. Halten Sie deshalb Virenschutz, Firewalls, Betriebssystem, aber auch Ihren Browser immer aktuell. Am wenigsten müssen sich Nutzer des Google-Browsers Chrome sorgen: Das Programm installiert Updates automatisch. Auch den Flash-Player hält der Google-Browser immer up to date – ein beliebtes Einfalltor für Schadsoftware. 3. Achtung, hinterlistige ".exe"! Ein gesundes Maß an Misstrauen ist der wichtigste Grundstein, um Ihr Firmennetzwerk sauber zu halten. Sie und Ihre Mitarbeiter sollten deshalb genau hinschauen und es vermeiden, in E-Mails von Unbekannten Anhänge oder Links anzuklicken. Trojaner und andere Viren sind ausführbare Miniprogramme. Oft enden diese auf „.exe“, „.scr“, „.com“ oder „.js“ – Vorsicht also vor diesen Formaten in E-Mails. Manchmal verstecken Kriminelle die Schadprogramme auch in gepackten „.zip“- oder „.rar“-Dateien. Schwierig zu erkennen ist Ransomware, die in kleinen Unterprogrammen einer Word-Datei schlummert, sogenannten Makros. Viele Unternehmen benötigen diese Erweiterung gar nicht, weil sie Microsoft Word als reines Schreibprogramm nutzen. Eine unnötige Sicherheitslücke, die sich über einige wenige Klicks schließen lässt: Wählen Sie in Microsoft Word den Reiter „Datei“ → „Optionen“ → „Sicherheitscenter“ (bei neueren Versionen „Trust Center“) → „Einstellungen für das Sicherheitscenter“ → „Alle Makros ohne Benachrichtigung deaktivieren“. So vermeiden Sie, dass Mitarbeiter auch aus Versehen einen schadhaften Code ausführen.
Mehr lesen über