Ratgeber

Ransomware: Was du über Lösegeld-Trojaner wissen musst

(Bild: Shutterstock)

Lesezeit: 4 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Immer häufiger schaffen es Fälle in die Medien, in denen ein Teil der IT eines Unternehmens mithilfe eines Ransomware-Angriffs lahmgelegt wird. Wie du reagieren solltest, wenn ein Lösegeldvirus deine Systeme befallen hat.

Es klingt wie in einem schlechten Film: Cyberkriminelle verschlüsseln Daten eines fremden Unternehmens und fordern ein Lösegeld, damit das Unternehmen wieder an die Daten kommt. Doch Ransomware ist inzwischen die Realität, sowohl bei Privatanwendern, die mehr oder weniger ziellos durch Malware attackiert werden – noch mehr aber bei Unternehmen, auf die es immer wieder zu gezielten Angriffen kommt.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Fast jedes dritte Unternehmen, so aktuelle Zahlen der Unternehmensberatung KPMG, soll in den vergangenen Jahren schon einmal selbst Opfer einer solchen Attacke geworden sein, sechs von zehn sollen in ihrem Umfeld zumindest schon einmal Erfahrungen mit Ransomware gemacht haben, also Angriffsversuchen ausgesetzt gewesen sein. Ein Krankenhaus in Nordrhein-Westfalen, das über Tage hinweg quasi lahmgelegt war, ein großes produzierendes Industrieunternehmen, das nur eingeschränkt tagelang seine Produktion fortführen konnte, ein großer Juwelier, der weder Mails verschicken noch Rechnungen drucken oder Dokumente aufrufen konnte … die Beispiele, wie Ransomware schnell zur teuren, wenn nicht gar existenzbedrohenden Angelegenheit werden kann, sind vielfältig.

Ransomware-Angriffe: Viele Betroffene schweigen

Doch wie viele Unternehmen es genau sind, die Opfer solcher Attacken werden, ist unklar – denn eine große Zahl an Fällen kommt gar nicht an die Öffentlichkeit, weil die Unternehmen einen Imageschaden fürchten oder Angst vor infolgedessen ausbleibenden Aufträgen haben. Auch die Behörden erfahren, so drückt es ein Experte auf diesem Gebiet aus, vieles nicht, weil man nicht erwartet, dass staatliche Stellen helfen können. Doch das Gegenteil soll der Fall sein: In den letzten Jahren haben nicht nur die IT-Security-Anbieter aufgerüstet, sondern auch die Behörden, etwa die Landeskriminalämter mit entsprechenden Cyber-Einheiten oder das Bundesamt für Sicherheit in der Informationstechnologie.

Gefährdet seien, so berichtet der Experte weiter, nicht nur die großen Unternehmen, bei denen eine stillstehende Produktion richtig weh tut, sondern zunehmend auch kleinere Verwaltungen, mittelständische Unternehmen, regionale Außenstellen der Verwaltung. Denn die, so das Kalkül dahinter, haben offenbar oft ihre Systeme weniger sicher abgeriegelt als beispielsweise jene Stellen, die auf Netzwerkfragmentierung setzen oder gar zu den nach Kritis-Vorgaben „kritischen Infrastrukturen“ zählen. Auch das IT-Sicherheitsunternehmen Malwarebytes beobachtet, dass immer seltener Privatpersonen (ungerichtet) angegriffen werden, sondern vielmehr gezielt Kommunen, Bildungsträger, Gesundheitseinrichtungen. Hier ist oftmals die IT nicht auf dem neuesten Stand, was die Sache einfacher macht.

Lösegeld in Kryptowährungen

In vielen der Fälle kommen übrigens Kryptowährungen zum Einsatz (oder werden zumindest eingefordert) – schließlich sind sie die eleganteste Möglichkeit, mit vergleichsweise wenig Spuren und geringem Aufwand an Geld zu kommen. Die Frage, die im Ernstfall den meisten Unternehmen Kopfzerbrechen bereitet, lautet, ob man zahlen soll oder nicht. Auch wenn Sicherheitsunternehmen und das BSI regelmäßig dazu raten, nicht auf die Forderungen der Ransomware-Angreifer einzugehen, zahlen sowohl Privatleute und vor allem Unternehmen offenbar nicht selten die geforderte Summe. Im Falle des Juweliers soll, so Zeitungsberichte, ein Lösegeld von mehr als einer Million Euro gezahlt worden sein. Deswegen, so BSI-Präsident Arne Schönbohm, könne es sein, dass auch für andere Unternehmen ähnlichen Kalibers die Bedrohungslage zunehme.

Gewandelt hat sich dabei offenbar auch die Preisfindung bei den Lösegeldern: Während man früher offenbar nach der Devise „Kleinvieh macht auch Mist“ drei- oder vierstellige Beträge von Einzelpersonen erpresste, sind die Summen heute höher (meist fünfstellig, manchmal auch sechsstellig) und orientieren sich an der Leistungsfähigkeit des Erpressten.

Und die zahlen offenbar in einem Großteil der Fälle. Zu groß ist die Angst, ohne die eigenen Daten handlungsunfähig zu sein und zu groß die Hoffnung, die Daten Zug um Zug wieder zu erhalten. Hinzu kommt: Neben den Lösegeldforderungen benötigt das angegriffene Unternehmen Hilfe von IT-Security-Unternehmen. Selbst wenn die Daten wieder nutzbar sind, muss ja analysiert werden, wo die Schwachstelle lag und wie ein solcher Angriff überhaupt gelingen konnte. Und diese Kosten können schnell fünfstellig werden, selbst bei mittelständischen Unternehmen. Hinzu kommen – auch das ist ein Grund, warum Unternehmen und Gesundheitszentren inzwischen oft schnell zahlen – Ausfälle in der Produktion oder bei geplanten Operationen. Laut Medieninformationen soll der Pharmakonzern Merck ebenso dreistellige Millionenbeträge verloren haben wie die Logistikfirma TNT Express.

Ransomware: Die Angriffe werden immer ausgeklügelter

Oftmals sind es bekanntermaßen Schwächen von Mitarbeitern, die einen solchen Angriff möglich machen – etwa das Öffnen von E-Mail-Attachments aus fragwürdigen Quellen. Das Schlimme daran: Die Qualität der Anhänge wird, insbesondere wenn es zielgerichtete Angriffe sind, immer besser. Beispielsweise handelt es sich teilweise um Rechnungen, die zum Unternehmen und dessen Tätigkeitsfeld passen können. In manchen Fällen handelt es sich sogar um aus dem Unternehmen erbeutete E-Mail-Kontakte, sodass die E-Mail wie eine übliche Antwort auf die Korrespondenz eines Kunden aussieht. Zahlreiche Sicherheitsunternehmen, etwa Blackberry oder Kaspersky, bieten infolgedessen Trainings für die Sensibilisierung der Mitarbeiter. Freilich wird auch das nicht immer helfen – angesichts von Angriffs-Mails, die zunehmend besser werden. Selbst vorhandene Backups werden in vielen Fällen, sofern sich die Malware dorthin fortpflanzt, ebenfalls befallen – wichtig ist daher ein entsprechend abgesichertes System, das gegebenenfalls vom Netz getrennt und in einen Quarantäne-Status versetzt wird.

Eine andere Strategie sind Versicherungen gegen Cyber-Attacken. Ob diese sich lohnen, hängt von vielen Faktoren ab: Zum einen wird ein B2B-Versicherer ein genaues Audit der Sicherheitssituation im Unternehmen einfordern, zum anderen werden die Beiträge für eine solche Versicherung nur dann nicht in schwindelerregende Höhen steigen, wenn das Unternehmen seine Hausaufgaben in Sachen präventive Sicherheit erledigt hat.

Das könnte dich auch interessieren:

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung