Was ist Ransomware?
Erfahren Sie mehr über Ransomware – z. B. wie sie funktioniert und wie Sie sich und Ihr Unternehmen vor dieser Art von Cyberangriffen schützen.
Einfach erklärt: Ransomware
Ransomware ist eine Art Schadsoftware, bei der damit gedroht wird, kritische Daten oder Systeme zu zerstören oder den Zugriff zu blockieren, bis ein Lösegeld gezahlt wird. In der Vergangenheit richtete sich Ransomware meist gegen Einzelpersonen, doch in jüngster Zeit beobachten wir eine hochkomplexe Bedrohung, die besonders schwer abzuwehren und unschädlich zu machen ist: menschlich gesteuerte Ransomware, die auf Unternehmen abzielt. Bei dieser Art von Ransomware nutzt eine Gruppe von Angreifern ihre kollektiven Einblicke, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Manche dieser Angriffe sind so raffiniert, dass die Angreifer das Lösegeld auf der Grundlage interner Finanzdokumente festlegen, die sie zuvor ausgespäht haben.
Ransomware-Angriffe in den Medien
Das Thema Bedrohungen durch Ransomware begegnet uns immer häufiger in den Schlagzeilen. Jüngste Ransomware-Angriffe zielten auf kritische Infrastrukturen, das Gesundheitswesen und IT-Dienstleister ab. Da Angreifer immer skrupelloser werden, lassen sich auch die Folgen immer schwerer voraussagen. Wir werfen nun einen Blick auf einige Ransomware-Angriffe und deren Folgen für die betroffenen Unternehmen:
- Im März 2022 wurde das griechische Postsystem Ziel eines Ransomware-Angriffs. Dadurch wurden die Postzustellung vorübergehend unterbrochen und die Verarbeitung von Finanztransaktionen beeinträchtigt.
- Eine der größten indischen Fluggesellschaften war im Mai 2022 von einem Ransomware-Angriff betroffen. Der Vorfall führte zu Flugverspätungen und -ausfällen sowie zu Hunderten gestrandeten Passagieren.
- Ein führendes US-Personalmanagement-Unternehmen geriet im Dezember 2021 ins Visier von Ransomware-Angreifern. Dabei war auch das Lohnbuchhaltungs- und Zeiterfassungssystem von Klienten betroffen, die die Clouddienste des Unternehmens nutzen.
- Im Mai 2021 stellte eine US-Treibstoffpipeline den Betrieb ein, um weitere Sicherheitsverletzungen zu verhindern. Der Grund war ein Ransomware-Angriff, bei dem personenbezogene Informationen tausender Beschäftigter ausgespäht wurden. In der Folge schnellten die Benzinpreise an der gesamten Ostküste in die Höhe.
- Ein deutscher Distributor von Chemikalien wurde im April 2021 zum Ziel eines Ransomware-Angriffs. Dabei wurden die Geburtsdaten sowie Sozialversicherungs- und Führerscheinnummern von mehr als 6.000 Personen und auch medizinische Daten gestohlen.
- Einer der weltgrößten Fleischproduzenten wurde im Mai 2021 Ziel eines Ransomware-Angriffs. Nachdem das Unternehmen seine Website offline genommen und die Produktion gestoppt hatte, zahlte es ein Lösegeld in Höhe von 11 Mio. US-Dollar in Bitcoins.
Wie funktioniert Ransomware?
Ransomware-Angriffe haben den Zweck, die Kontrolle über die Daten oder Geräte einer Person oder eines Unternehmens zu erlangen, um Lösegeld zu erpressen. In den vergangenen Jahren waren Social-Engineering-Angriffe vorherrschend, doch in letzter Zeit ist menschlich gesteuerte Ransomware aufgrund des hohen Profits bei Kriminellen besonders beliebt.
Social-Engineering-Ransomware
Diese Angriffe basieren auf Phishing – einer Betrugsmasche, bei der sich ein Angreifer als legitimes Unternehmen oder seriöse Website tarnt. Das Ziel ist es, die Zielperson zum Klicken auf einen Link oder zum Öffnen einer E-Mail-Anlage zu bewegen, durch die dann Ransomware auf ihrem Gerät installiert wird. Oft werden Nachrichten mit alarmierendem Inhalt versendet, die das Opfer in Angst versetzen und zum Handeln zwingen. Cyberkriminelle könnten sich beispielsweise als Mitarbeitende einer bekannten Bank ausgeben und in einer E-Mail behaupten, dass ein Konto aufgrund verdächtiger Aktivitäten gesperrt worden sei. Der Empfänger wird darauf gedrängt, einen Link in der E-Mail anzuklicken, um die Angelegenheit zu klären. Kaum wurde auf den Link geklickt, ist die Ransomware schon installiert.
Menschlich gesteuerte Ransomware
Menschlich gesteuerte Ransomware beruht oft auf gestohlenen Kontoanmeldeinformationen. Sobald Angreifer auf diese Weise im Unternehmensnetzwerk Fuß fassen, spionieren sie über das gestohlene Konto Anmeldeinformationen von Konten mit privilegiertem Zugriff aus. Außerdem suchen sie nach Daten und unternehmenskritischen Systemen, die einen hohen finanziellen Profit versprechen. Anschließend installieren sie Ransomware auf Systemen mit vertraulichen oder unternehmenskritischen Daten. Dadurch werden z. B. vertrauliche Dateien verschlüsselt und erst wieder freigegeben, nachdem das Unternehmen ein Lösegeld gezahlt hat. Cyberkriminelle verlangen Zahlungen vorzugsweise in einer Kryptowährung, weil diese anonym abgewickelt werden.
Diese Angreifer haben es auf große Unternehmen abgesehen, die ein höheres Lösegeld bezahlen können als eine durchschnittliche Privatperson. Manchmal verlangen sie Summen in Millionenhöhe. Aufgrund der hohen Risiken, die mit einer Sicherheitsverletzung dieser Größe verbunden sind, kommen viele Unternehmen der Lösegeldforderung nach, bevor sie ihre vertraulichen Daten preisgeben oder weitere Angriffe von Cyberkriminellen riskieren. Allerdings lässt sich durch eine Zahlung nicht garantieren, dass diese Folgen ausbleiben.
Mit der Zunahme der von Menschen gesteuerten Ransomware-Angriffe treten die Drahtzieher immer organisierter auf. Tatsächlich basieren viele dieser Angriffe heute auf einem Ransomware-as-a-Service-Modell. Das bedeutet, dass eine Gruppe von Kriminellen die Ransomware selbst entwickelt und dann andere Cyberkriminelle anheuert, um das Netzwerk eines Unternehmens zu hacken und die Ransomware zu installieren. Die Gewinne werden dann nach einer vereinbarten Quote zwischen beiden Seiten aufgeteilt.
Ransomware-Angriffsarten
Es gibt zwei Hauptformen von Ransomware: Krypto-Ransomware und Locker-Ransomware.
Krypto-Ransomware
Wenn eine Einzelperson oder ein Unternehmen zum Ziel eines Krypto-Ransomware-Angriffs wird, verschlüsselt der Angreifer deren vertrauliche Daten oder Dateien. Der Zugriff wird dann bis zur Zahlung des geforderten Lösegelds blockiert. Theoretisch wird nach der Zahlung ein Entschlüsselungsschlüssel ausgehändigt, mit dem der Zugriff auf die Dateien oder Daten wieder freigeschaltet werden soll. Doch selbst bei Zahlung des Lösegelds gibt es keine Garantie, dass Cyberkriminelle den Entschlüsselungsschlüssel auch wirklich übermitteln bzw. die Kontrolle zurückgeben. Doxware ist eine Form von Krypto-Ransomware, die personenbezogene Daten des Opfers verschlüsselt und damit droht, diese öffentlich zu machen. Das Ziel besteht meist darin, Angst und Scham bei den Betroffenen hervorzurufen und sie so zur Lösegeldzahlung zu bewegen.
Locker-Ransomware
Bei einem Locker-Ransomware-Angriff wird der Zielperson Zugriff auf das eigene Gerät verwehrt, sodass sie sich nicht mehr anmelden kann. Stattdessen erscheint auf dem Bildschirm eine Lösegeldforderung mit dem Hinweis, dass der Zugriff gesperrt wurde. Das Fenster enthält außerdem Anweisungen, wie der Zugriff durch eine Lösegeldzahlung zurückerlangt werden kann. Diese Art von Ransomware beinhaltet in der Regel keine Verschlüsselung. Sobald die betroffene Person wieder Zugriff auf ihr Gerät hat, sind alle vertraulichen Dateien und Daten wieder nutzbar.
Reaktion auf einen Ransomware-Angriff
Wer von einem Ransomware-Angriff betroffen ist, kann den Angriff offiziell melden und bekämpfen.
Nicht vorschnell zahlen
Manche werden dazu tendieren, das Lösegeld zu zahlen, um das Problem aus der Welt zu schaffen. Doch Vorsicht: Es gibt keine Garantie, dass Cyberkriminelle ihr Wort halten und den Zugriff auf Ihre Daten wieder freigeben. Sicherheitsfachleute und Strafverfolgungsbehörden empfehlen den Betroffenen von Ransomware-Angriffen, das geforderte Lösegeld nicht zu zahlen. Das würde künftigen Bedrohungen Tür und Tor öffnen und die kriminelle Szene aktiv unterstützen. Wenn Sie bereits gezahlt haben, wenden Sie sich sofort an Ihre Bank. Die Zahlung kann möglicherweise noch gestoppt werden, wenn Sie eine Kreditkarte verwendet haben.
Infizierte Daten isolieren
Isolieren Sie so schnell wie möglich die kompromittierten Daten, um zu verhindern, dass sich die Ransomware auf weitere Netzwerkbereiche ausweitet.
Antischadsoftware ausführen
Viele Ransomware-Angriffe lassen sich durch die Installation einer Antischadsoftware abwehren. Wenn Sie sich für eine bewährte Antischadsoftwarelösung wie Microsoft Defender entschieden haben, achten Sie darauf, dass diese stets auf dem neuesten Stand ist. So sind Sie vor Angriffen der neuesten Generation geschützt.
Angriffe melden
Wenden Sie sich an Ihre örtlichen oder landesweiten Strafverfolgungsbehörden, um den Angriff zu melden. Betroffene in den Vereinigten Staaten kontaktieren dazu die örtlichen Außenstellen des FBI, das IC3 oder den Secret Service. Dieser Schritt wird wahrscheinlich keines Ihrer unmittelbaren Probleme lösen, ist aber dennoch wichtig, da diese Behörden verschiedene Angriffe aktiv nachverfolgen und überwachen. Wenn Sie detaillierte Informationen zum Angriff teilen, könnte dies ein nützliches Puzzleteil sein, um einen Cyberkriminellen oder eine ganze Hackergruppe aufzuspüren und strafrechtlich zu verfolgen.
Ransomware-Schutz
Die Zahl der Ransomware-Angriffe ist höher als je zuvor. Und da sehr viele personenbezogene Daten digital gespeichert werden, sind die möglichen Folgen eines solchen Angriffs dramatisch. Es gibt jedoch viele Möglichkeiten, Ihr digitales Leben so zu gestalten, dass Sie selbst darüber bestimmen und niemand sonst. Erfahren Sie, wie Sie mit proaktivem Ransomware-Schutzentspannt in die Zukunft blicken können.
Antischadsoftware installieren
Prävention ist der beste Schutz. Viele Ransomware-Angriffe können mit einem vertrauenswürdigen Antischadsoftware-Dienst wie Microsoft Defender for Endpoint, Microsoft Defender XDR oder Microsoft Defender for Cloud erkannt und blockiert werden. Wenn Sie eine Antischadsoftware verwenden, überprüft Ihr Gerät zunächst alle zu öffnenden Dateien oder Links auf ihre Sicherheit. Ist eine Datei oder Website bösartig, werden Sie von der Antischadsoftware vor dem Öffnen gewarnt. Diese Programme können auch Ransomware von einem Gerät entfernen, das bereits infiziert ist.
Regelmäßige Schulungen abhalten
Klären Sie Ihre Mitarbeitenden in regelmäßigen Schulungen darüber auf, wie sie Hinweise auf Phishing und andere Ransomware-Angriffe erkennen können. Einerseits fördern Sie dadurch sichere Arbeitsweisen und andererseits sensibilisieren Sie sie für den sicheren Einsatz privater Geräte.
In die Cloud umsteigen
Wenn Sie Ihre Daten in einen cloudbasierten Dienst wie Azure Cloud Backup Service oder Azure Block Blob Storage Backup, überführen, lassen sich Sicherungskopien bequem und sicher aufbewahren. Sollten Ihre Daten jemals durch Ransomware kompromittiert werden, sorgen diese Dienste dafür, dass die Wiederherstellung unverzüglich und umfassend erfolgt.
Zero-Trust-Modell einführen
Ein Zero-Trust-Modell überprüft alle Geräte und Benutzer auf ihr Risiko, bevor ihnen der Zugriff auf Anwendungen, Dateien, Datenbanken und andere Geräte gestattet wird. Dadurch sinkt die Wahrscheinlichkeit, dass über eine Identität oder ein Gerät in betrügerischer Absicht auf Ressourcen zugegriffen und Ransomware installiert werden kann. Beispielsweise hat sich gezeigt, dass die Implementierung der Multi-Faktor-Authentifizierung, die eine Komponente eines Zero-Trust-Modells ist, die Wirksamkeit von Identitätsangriffen um mehr als 99 Prozent mindert. Mit dem Zero Trust Maturity Assessment von Microsoft können Sie den Zero-Trust-Reifegrad Ihres Unternehmens ermitteln.
Informationen mit Fachkollegen austauschen
Gruppen für den fachlichen Austausch sind häufig nach Branchen oder geografischen Standorten organisiert und bringen ähnlich strukturierte Unternehmen dazu, gemeinsam an Cybersicherheitslösungen zu arbeiten. Die Gruppen bieten Unternehmen außerdem verschiedene Vorteile, wie z. B. Dienste für Incident Response und digitale Forensik, Nachrichten zu aktuellen Bedrohungen sowie Überwachung von öffentlichen IP-Adressen und -Domänen.
Offline-Sicherungskopien aufbewahren
Manchmal versucht Ransomware auch, Online-Sicherungskopien aufzuspüren und zu löschen. Daher empfiehlt es sich, eine Offline-Sicherungskopie vertraulicher Daten auf dem aktuellen Stand zu halten und regelmäßig zu überprüfen, ob sie im Fall eines Ransomware-Angriffs wiederherstellbar ist. Der Nachteil: Gegen einen Krypto-Ransomware-Angriff können Offline-Sicherungskopien nichts ausrichten, aber sie sind ein wirksames Instrument gegen einen Locker-Ransomware-Angriff.
Software auf dem aktuellen Stand halten
Neben regelmäßigen Updates aller Antischadsoftwarelösungen (die vorzugsweise automatisch erfolgen) sollten Sie auch alle sonstigen Systemupdates und Softwarepatches bei Verfügbarkeit herunterladen und installieren. So lassen sich Sicherheitsrisiken minimieren, über die sich Cyberkriminelle Zugang zu Ihrem Netzwerk oder Ihren Geräten verschaffen könnten.
nt-Response-Plan aufstellen
Genauso wie ein Flucht- und Notfallplan bei Gebäuden für mehr Sicherheit und Brandschutz sorgt, skizziert ein Incident-Response-Plan die praktischen Schritte, die bei einem Ransomware-Angriff für bestimmte Angriffsszenarien zu ergreifen sind. So können Sie schnellstmöglich wieder zum normalen und sicheren Betrieb zurückkehren.
Schützen Sie Ihre gesamte Umgebung mit Microsoft Security
Microsoft Sentinel
Erhalten Sie mit einer cloudnativen SIEM-Lösung (Security Information & Event Management) eine ganzheitliche Sicht auf Ihr Unternehmen.
Microsoft Defender XDR
Schützen Sie Endpunkte, Identitäten, E-Mails und Apps mithilfe von XDR (Extended Detection and Response).
Microsoft Defender for Cloud
Schützen Sie Ihre Multicloud- und Hybridumgebungen von der Entwicklung bis zur Runtime.
Microsoft Defender Threat Intelligence
Verstehen Sie die Denkweise von Bedrohungsakteuren und deren Methoden mit einer umfassenden, laufend aktualisierten Internetkarte.
Ransomware-Bedrohungen bekämpfen
Bleiben Sie Bedrohungen einen Schritt voraus, indem Sie mit Microsoft Security automatisch Angriffe abwehren und Gegenmaßnahmen ergreifen.
Microsoft-Bericht über digitale Abwehr
Machen Sie sich mit der aktuellen Bedrohungslandschaft vertraut, und informieren Sie sich über digitale Abwehrstrategien.
Anti-Ransomware-Programm entwickeln
Erfahren Sie, wie Microsoft den Optimal Ransomware Resiliency State zur Abwehr von Ransomware entwickelt hat.
Ransomware mithilfe eines Playbooks blockieren
Erläutern und visualisieren Sie, welche Rolle jeder Einzelne bei der Ransomware-Abwehr spielt.
Häufig gestellte Fragen
-
Grundsätzlich kann fast jeder, der online präsent ist, zum Ziel eines Ransomware-Angriffs werden. Sowohl persönliche Geräte als auch Unternehmensnetzwerke geraten häufig ins Visier von Cyberkriminellen.
Investitionen in proaktive Lösungen, wie z. B. Bedrohungsschutzdienste, sind jedoch eine praktikable Methode, um zu verhindern, dass Ransomware Ihr Netzwerk oder Ihre Geräte infiziert. Daher haben Einzelpersonen und Unternehmen, die bereits im Vorfeld über Antischadsoftware und andere Sicherheitsprotokolle wie ein Zero-Trust-Modell verfügen die geringste Wahrscheinlichkeit, zum Ziel eines Ransomwareangriffs zu werden.
-
Bei herkömmlichen Ransomware-Angriffen wird eine Person dazu gebracht, auf schädliche Inhalte zuzugreifen, z. B. durch das Öffnen einer infizierten E-Mail oder den Besuch einer manipulierten Website, über die dann Ransomware auf dem Gerät installiert wird.
Hinter einem menschlich gesteuerten Ransomware-Angriff steht eine Gruppe von Angreifern, die es auf die vertraulichen Daten eines Unternehmens abgesehen haben. Dazu nutzen sie in der Regel gestohlene Anmeldeinformationen.
Eines haben Social-Engineering-Ransomware und menschlich gesteuerte Ransomware gemeinsam: Die betroffenen Personen oder Unternehmen erhalten eine Lösegeldforderung, in der die gestohlenen Daten und die Höhe der zu zahlenden Summe aufgelistet sind. Die Zahlung des Lösegelds ist jedoch keine Garantie dafür, dass die Daten tatsächlich zurückgegeben bzw. künftige Sicherheitsverletzungen vermieden werden.
-
Die Auswirkungen eines Ransomware-Angriffs können dramatisch sein. Sowohl Einzelpersonen als auch Unternehmen könnten sich gezwungen sehen, hohe Lösegelder zu zahlen – auch wenn es keine Garantie für die Rückgabe ihrer Daten oder das Ausbleiben weiterer Angriffe gibt. Wenn Cyberkriminelle die vertraulichen Informationen eines Unternehmens öffentlich machen, könnten der Ruf des Unternehmens und dessen Vertrauenswürdigkeit beschädigt werden. Je nach Art der ausgespähten Informationen und der Größe des Unternehmens sind Tausende von Personen dem Risiko von Identitätsdiebstahl oder anderen Cyberverbrechen ausgesetzt.
-
Cyberkriminelle, die die Geräte ihrer Opfer mit Ransomware infizieren, haben es auf Geld abgesehen. Sie erpressen Lösegeld vorzugsweise in einer Kryptowährung, weil die Zahlungen anonym und nicht zurückverfolgbar sind. Bei einem Social-Engineering-Ransomwareangriff, der auf eine Einzelperson abzielt, können die Lösegeldsummen im Hunderter- oder Tausenderbereich liegen. Wird ein Unternehmen zum Ziel eines menschlich gesteuerten Ransomware-Angriffs, werden oft Millionensummen als Lösegeld gefordert. Bei diesen ausgefeilten Angriffen auf Unternehmen können vertrauliche Finanzdaten, die die Cyberkriminellen im Netzwerk ausspionieren, als Grundlage für die Festsetzung eines aus Erpressersicht „angemessenen“ Lösegelds dienen.
-
Wer zum Ziel eines Ransomware-Angriffs wird, sollte dies den örtlichen oder landesweiten Strafverfolgungsbehörden melden. Betroffene in den Vereinigten Staaten kontaktieren dazu die örtlichen Außenstellen des FBI, das IC3 oder den Secret Service. Sicherheitsfachleute und Strafverfolgungsbehörden empfehlen, kein Lösegeld zu bezahlen. Wer bereits gezahlt hat, sollte sich umgehend an seine Bank und die örtlichen Behörden wenden. Möglicherweise kann die Bank den Zahlvorgang stoppen, wenn per Kreditkarte gezahlt wurde.
Microsoft Security folgen