27. Oktober 2021 Ransomware: Was Sie über den Erpressungstrojaner wissen sollten

Nach einem Angriff durch einen Verschlüsselungstrojaner sind sämtliche Dateien eines IT-Systems unbrauchbar. Für die Freigabe werden hohe Lösegeldsummen gefordert. Erfahren Sie, welche Maßnahmen einen effektiven Schutz bieten.

Bei Ransomware handelt es sich um ein Schadprogramm, das darauf spezialisiert ist, Daten zu verschlüsseln, sodass sie nicht mehr genutzt werden können. Für die Entschlüsselung fordern Cyberkriminelle von den Betroffenen ein Lösegeld, das via Kryptowährung im Darknet einzuzahlen ist. Im Vorfeld suchen die Täterinnen und Täter im Netz nach Informationen der potenziellen Erpressungsopfer. Diese Personen werden dann gezielt mit gefälschten Benachrichtigungen zum unbeabsichtigten Download des Erpressungstrojaners verleitet.
Thorsten Behrens vom Österreichischen Institut für angewandte Telekommunikation (ÖIAT) und Projektleiter von Watchlist Internet erklärt im Interview, welches Gefahrenpotenzial von Ransomware ausgeht und wie sich betroffene Unternehmen sowie Userinnen und User im Betrugsfall verhalten sollen.

Wie groß ist die Gefahr von Ransomware-Attacken für private Anwenderinnen und Anwender in Österreich?
Thorsten Behrens: Kriminelle zielen vor allem auf Unternehmen ab, weil deutlich höhere Lösegeldsummen verlangt werden können beziehungsweise die Daten wichtiger sind. Denn für Unternehmen ist es wichtig, dass sie mit ihren Daten weiterarbeiten können. Private Anwenderinnen und Anwender wären in so einem Fall vielleicht nicht bereit zu zahlen, weil beispielsweise private Fotos verschlüsselt worden sind. Aus diesem Grund werden Privatpersonen eher selten zur Zielscheibe von Ransomware Attacken, auch wenn es natürlich vorkommen kann.  Schätzungsweise zielen aber 95 % aller Ransomware-Angriffe auf Unternehmen ab.

Wie sieht der Ablauf einer Erpressung nach erfolgter Ransomware-Attacke aus?
Behrens: Nach einer Ransomware-Attacke befindet sich die Schadsoftware auf einem Gerät beziehungsweise im Netzwerk. Zunächst ist also nur ein Computer betroffen. Von dort breitet sich die Ransomware auf alle Geräte aus, die im Netzwerk angeschlossen sind, daher auch auf andere Computer, Server und Datenträger.
Angezeigt wird das meist durch eine Einblendung am Bildschirm, die darauf hinweist, dass alle Daten verschlüsselt wurden und eine bestimmte Lösegeldsumme gezahlt werden muss. Oftmals zeigt sich die Schadsoftware nicht gleich, sondern arbeitet zunächst im Hintergrund, um möglichst viele Geräte zu erreichen und Daten zu verschlüsseln. Erst wenn viel Schaden angerichtet ist, gibt sich die Schadsoftware über diese Einblendung zu erkennen.

Es gab sogar Fälle, in denen die Software über Wochen im Hintergrund gearbeitet hat und dafür gesorgt hat, dass sie auch auf vielen Backups verbreitet wird. Wenn man dann Backups einspielt, ist die Schadsoftware immer noch vorhanden. Die Vorgehensweise ist bei privaten Anwenderinnen und Anwender im Grunde gleich nur, dass in den meisten Fällen ein einzelnes Gerät verschlüsselt wird.
Die Kriminellen bieten über die Einblendung Möglichkeiten zur Kontaktaufnahme an, um mit den Betroffenen über die Höhe des Lösegeldes zu verhandeln. In der Vergangenheit hat sich aber gezeigt, dass es bei Unternehmen sinnvoll ist, Fachleute mit Erfahrungen auf diesem Gebiet für diese Zwecke zu beauftragen. Eine erste Hilfe kann zum Beispiel die Cyber-Security-Hotline der Wirtschaftskammer bieten.

Wie hoch ist im Durchschnitt die Lösegeldforderung für die Entschlüsselung privater Endgeräte?
Behrens: Bei privaten Endgeräten liegen die Forderungen eher im Bereich von € 1.000 bis maximal € 10.000. Im Normalfall wissen die Betrügerinnen und Betrüger sehr genau, was sie fordern können. Bei größeren Unternehmen kann es sich auch um Millionenbeträge handeln.

Sind Endgeräte mit einem herkömmlichen beziehungsweise kostenlosen Virenschutz ausreichend gegen Ransomware gesichert?
Behrens: Nein, ein Virenschutz bietet keine 100-% Sicherheit, auch wenn es immer bessere Virenschutzprogramme und Firewalls gegen Ransomware gibt. Auch der Virenschutz, der im Betriebssystem integriert ist, bietet einen Schutz. Allerdings haben die meisten Virenschutzprogramme den Nachteil, dass sie den Virus erst erkennen, wenn dieser im Vorfeld vom Programm erfasst wurde und bekannt ist. Wenn der Virus also neu ist, ist es sehr wahrscheinlich, dass er durch Virenscanner und Firewall hindurch kommt.
Darum sollte man vor allem beim Öffnen von Datei-Anhängen in der E-Mail oder beim Anklicken eines Links in einer E-Mail immer hinterfragen, ob man eine solche Benachrichtigung erwartet hat. Sobald man einen infizierten Datei-Anhang anklickt, ist die Wahrscheinlichkeit sehr hoch, dass sich der Virus auf dem Gerät verbreitet.

Können verschlüsselte IT-Systeme wiederhergestellt werden, ohne der Lösegeldforderung nachzukommen?
Behrens: Es gibt inzwischen Tools, die Verschlüsselungen erfolgreich decodieren können. Kriminelle entwickeln jedoch stets neue Verschlüsselungen, sobald kostenfreie Decodierungstools erhältlich sind. Das ist ein Katz-und-Maus-Spiel und die Cyberkriminellen sind hier einen Schritt voraus. Man kann also Glück haben, wenn die Verschlüsselungssoftware bereits gehackt wurde und es ein entsprechendes Tool zur Entschlüsselung gibt. Das ist aber sehr selten.

Erfolgt die Zahlung des Lösegeldes ausschließlich im Darknet mittels Bitcoins?
Behrens: Lösegeldforderungen werden immer über Bitcoins bezahlt und dann zusätzlich auf einem Weg, der nicht nachverfolgbar sein soll. Die Nachverfolgbarkeit ist bei Bitcoins schwierig und wird durch das Darknet zusätzlich erschwert. Darum werden für Lösegeldzahlungen meist Expertinnen und Experten für Cyber-Security-Angriffe beauftragt, weil man ohne Vorkenntnisse an der Bezahlung des Lösegeldes im Darknet scheitern kann.

Wie oft erhalten Unternehmen oder private Anwenderinnen und Anwender nach Zahlung des Lösegeldes das Entschlüsselungstool als „Gegenleistung“?
Behrens: Nach unserer Erfahrung erhalten Unternehmen nach erfolgter Übermittlung des Lösegeldes auch die Entschlüsselung und somit den Zugriff auf die Daten. Dadurch sehen auch andere Unternehmen, dass man den Schlüssel als Gegenleistung bekommt. Das ist also eine Art Geschäftsmodell der Kriminellen.
Grundsätzlich muss man davon abraten zu zahlen. Das Problem ist aber, dass viele Unternehmen keine Backups haben und daher keinen anderen Ausweg sehen, um wieder ihre Daten zu bekommen. Wenn man keine Vorkehrungen getroffen hat, bleibt einem Unternehmen oft nicht viel übrig, als zu zahlen.

Welche Sofortmaßnahmen können Userinnen und User nach erfolgter Ransomware-Attacke ergreifen?
Behrens: Betroffene sollten das infizierte Gerät sofort abschalten und vor allem vom Internet trennen. Danach benötigen Betroffene professionelle Unterstützung, um zu sichern, was gesichert werden kann. Nach einem erfolgten Angriff hat man selbst nicht viele Möglichkeiten für die Datenrettung. Man braucht daher die Unterstützung von Fachleuten, um den Schaden zu begrenzen.
Als vorbeugende Sofortmaßnahme kann man eine ordentliche Datensicherung vornehmen. Die Daten sollten nicht nur auf einem Gerät gespeichert sein, sondern auf einem externen Speicher. Über das Smartphone gibt es die Möglichkeit, Daten auf einer Cloud zu speichern, was allerdings nicht die sicherste Variante ist. Darum ist es sehr wichtig, Daten auf einer Festplatte zu sichern, die nicht am Gerät angeschlossen ist. Die externe Festplatte wird nur zur Datensicherung an das Gerät angeschlossen und nach der Datenübertragung wieder entfernt.

Könnte eine Ransomware-Attacke auch ein ganzes Smart Home (Stichwort IoT), in dem alle Geräte miteinander verbunden sind, infizieren und lahmlegen?
Behrens: Prinzipiell ist das möglich. Allerdings ist es eher unwahrscheinlich, dass das eigene Smart Home beziehungsweise die eigenen Geräte angegriffen werden. Bei Ransomware geht es immer um das Verschlüsseln von Daten nicht von Geräten. Wenn aber die Daten beim Hersteller verschlüsselt werden, kann es sein, dass das eigene Smart Home nicht mehr funktioniert. Smarte Geräte sind nämlich immer im Austausch mit der Anbieterin beziehungsweise dem Anbieter. Wenn man mit dem Smartphone etwas steuern möchte, gibt es immer einen Web-Zugriff und eine Kommunikation über das Internet. Wahrscheinlicher ist es daher, dass die Herstellerfirma von einer Ransomware-Attacke angegriffen wird. Diese Fälle sind zwar selten, kommen jedoch vor.

Ransomware-Angriffe: Hilfreiche Links

Erste Hilfe nach Cyber-Angriffen bietet die Cyber-Security-Hotline der Wirtschaftskammer. Bei weiteren Fragen zum Thema und in Betrugsfällen können sich Betroffene an die Internet Ombudsstelle wenden oder Watchlist Internet zu Rate ziehen.