Ransomware-Angriffe gehören zu den größten Bedrohungen für Unternehmen. Doch was steckt dahinter und wie kann man diese Angriffe erkennen und sich davor schützen? Was tun, wenn man Opfer einer Ransomware-Attacke wird? Wir klären auf.
Bei dem Begriff Ransomware (Erpressungs-Software) handelt es sich um eine Art von Schadsoftware. Kriminelle sperren ihre Opfer dabei aus dem eigenen Gerät, oder Teilen davon aus. Lediglich durch die Zahlung einer Lösegeldsumme, werden die Dateien wieder freigegeben. Allerdings ist eine Zahlung keine Garantie, denn Täter können nach Erhalt des Geldes verschwinden, oder eine weitere Schadsoftware hinterlassen, um später einen erneuten Angriff zu starten. Oftmals werden Kontaktdaten von zahlenden Opfern auch im Darknet weiterverkauft, um auf die Zahlungswilligkeit dieser aufmerksam zu machen.
Wie funktioniert ein Ransomware-Angriff?
Bei Ransomware steckt in der Regel ein Virus dahinter, welcher Dateien auf den infizierten Geräten verschlüsselt. Diese Viren können unter anderem über den E-Mail-Anhang oder einen Dateidownload heruntergeladen werden.
Befindet sich der Virus auf dem Gerät, wird der Zugriff auf dieses verweigert. Der Bildschirm wird plötzlich schwarz und das Gerät reagiert weder auf Eingaben durch Maus, oder Tastatur. Anschließend wird ein Text eingeblendet, der mit der Löschung oder Weitergabe aller Daten auf dem Computer droht.
Diesem Text ist meist ein Countdown, ein Ladebalken oder ein Datum beigefügt, um die Dringlichkeit der Zahlung zu unterstreichen.
Im weiteren Schritt wird man aufgefordert Bitcoins zu kaufen und diese an einen angegebenen Account zu überweisen. Der Zugang zu einem Bitcoin Marktplatz ist in der Regel die einzige Handlungsmöglichkeit. Transaktionen dieser Art sind von Sicherheitsbehörden kaum zurückzuverfolgen, womit der Täter eine Strafverfolgung entgeht.
Prävention
Aktualisieren von Software: Betriebssysteme, Anwendungen und Sicherheitslösungen sollten immer auf dem neuesten Stand sein, um bekannte Sicherheitslücken zu schließen.
Sicherheitsbewusstsein: Schulen Sie Mitarbeiter und Benutzer über die Risiken von Phishing-E-Mails, unsicheren Links und Downloads. Es sollen beispielsweise nur Dateien aus vertrauenswürdigen Quellen geöffnet werden. Auch die Dateiendungen können ausschlaggebend sein: .exe Dateien könnten ein Programm auf dem Rechner installieren. Des Weiteren sollten keine unbekannten USB-Sticks angesteckt werden.
Zugriffskontrolle: Gewähren Sie nur die notwendigen Zugriffsrechte für Benutzer, um die Ausbreitung von Ransomware zu begrenzen.
Backup-Strategie: Führen Sie regelmäßige Backups Ihrer Daten durch und stellen Sie sicher, dass die Backups offline oder in sicheren, nicht zugänglichen Netzwerken gespeichert werden.
Erkennung
Eine schnelle Erkennung von Ransomware-Angriffen ist entscheidend, um den Schaden zu minimieren. Hier sind einige Möglichkeiten, wie Ransomware frühzeitig erkannt werden kann:
Antiviren-Software: Verwenden Sie eine aktuelle und zuverlässige Antiviren-Software, die Ransomware erkennen kann.
Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS): Implementieren Sie diese Tools, um verdächtige Aktivitäten im Netzwerk zu erkennen und zu blockieren.
Verhaltensanalyse: Nutzen Sie Tools, die das Verhalten von Programmen und Dateien überwachen, um ungewöhnliche Aktivitäten zu identifizieren, die auf eine mögliche Ransomware-Infektion hinweisen könnten.
Reaktion
Falls eine Ransomware-Infektion festgestellt wird, ist eine schnelle und gezielte Reaktion entscheidend
Isolierung: Isolieren Sie infizierte Systeme sofort vom Netzwerk, um eine weitere Ausbreitung der Ransomware zu verhindern.
Incident Response Plan: Stellen Sie sicher, dass ein gut ausgearbeiteter Incident Response Plan vorhanden ist, der klare Schritte und Zuständigkeiten für die Bewältigung von Ransomware-Angriffen definiert.
Kommunikation: Informieren Sie interne Stakeholder und gegebenenfalls externe Behörden über den Vorfall, um geeignete Maßnahmen einzuleiten.
Wiederherstellung: Wenn möglich, stellen Sie die betroffenen Systeme aus Backups wieder her. Stellen Sie sicher, dass die Wiederherstellung von sicheren und zuverlässigen Quellen durchgeführt wird.