Ratgeber

Artikel merken

Ransomware: Was du über Lösegeld-Trojaner wissen musst

Immer häufiger schaffen es Fälle in die Medien, in denen ein Teil der IT eines Unternehmens mithilfe eines Ransomware-Angriffs lahmgelegt wird. Wie du reagieren solltest, wenn ein Lösegeldvirus deine Systeme befallen hat.

4 Min. Lesezeit

(Bild: Shutterstock)

Es klingt wie in einem schlechten Film – und es erwischt doch immer mehr Unternehmen, wie zuletzt die Media-Saturn-Gruppe: Cyberkriminelle verschlüsseln Daten eines fremden Unternehmens und fordern ein Lösegeld, damit das Unternehmen wieder an die Daten kommt. Doch Ransomware ist inzwischen die Realität, sowohl bei Privatanwendern, die mehr oder weniger ziellos durch Malware attackiert werden – noch mehr aber bei Unternehmen, bei denen es immer wieder zu gezielten Angriffen kommt. Im aktuellen Fall gelang es wohl den Angreifern, einen Teil des Filialsystems der Elektronikriesen lahmzulegen – und das könnte noch einige Tage andauern. In der aktuellen Angebotszeit, in der Mediamarkt und Saturn mit großem Marketingbudget überdurchschnittlich Umsatz machen wollen, ist das eine teure Beeinträchtigung für den Elektronikkonzern.

Fast jedes dritte Unternehmen, so aktuelle Zahlen der Unternehmensberatung KPMG, soll in den vergangenen Jahren schon einmal selbst Opfer einer solchen Attacke geworden sein, sechs von zehn sollen in ihrem Umfeld zumindest schon einmal Erfahrungen mit Ransomware gemacht haben, also Angriffsversuchen ausgesetzt gewesen sein. Ein Krankenhaus in Nordrhein-Westfalen, das über Tage hinweg quasi lahmgelegt war, ein großes produzierendes Industrieunternehmen, das nur eingeschränkt tagelang seine Produktion fortführen konnte, ein großer Juwelier, der weder Mails verschicken noch Rechnungen drucken oder Dokumente aufrufen konnte … die Beispiele, wie Ransomware schnell zur teuren, wenn nicht gar existenzbedrohenden Angelegenheit werden kann, sind vielfältig.

Ransomware-Angriffe: Viele Betroffene schweigen

Doch wie viele Unternehmen es genau sind, die Opfer solcher Attacken werden, ist unklar – denn eine große Zahl an Fällen kommt gar nicht an die Öffentlichkeit, weil die Unternehmen einen Imageschaden fürchten oder Angst vor infolgedessen ausbleibenden Aufträgen haben. Doch bei vielen Unternehmen, wie auch im Fall Mediamarkt und Saturn, lässt sich das gar nicht verheimlichen, insbesondere wenn es sich um B2C-Ketten handelt. Auch die Behörden erfahren, so drückt es ein Experte auf diesem Gebiet aus, vieles nicht, weil man nicht erwartet, dass staatliche Stellen helfen können. Doch das Gegenteil soll der Fall sein: In den letzten Jahren haben nicht nur die IT-Security-Anbieter aufgerüstet, sondern auch die Behörden, etwa die Landeskriminalämter mit entsprechenden Cyber-Einheiten oder das Bundesamt für Sicherheit in der Informationstechnologie.

Gefährdet seien, so berichtet der Experte weiter, nicht nur die großen Unternehmen, bei denen eine stillstehende Produktion richtig wehtut, sondern zunehmend auch kleinere Verwaltungen, mittelständische Unternehmen, regionale Außenstellen der Verwaltung. Denn die, so das Kalkül dahinter, haben offenbar oft ihre Systeme weniger sicher abgeriegelt als beispielsweise jene Stellen, die auf Netzwerkfragmentierung setzen oder gar zu den nach Kritis-Vorgaben „kritischen Infrastrukturen“ zählen. Auch das IT-Sicherheitsunternehmen Malwarebytes beobachtet, dass immer seltener Privatpersonen (ungerichtet) angegriffen werden, sondern vielmehr gezielt Kommunen, Bildungsträger, Gesundheitseinrichtungen. Hier ist oftmals die IT nicht auf dem neuesten Stand, was die Sache für Angreifende einfacher macht.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Lösegeld in Kryptowährungen

In vielen der Fälle kommen übrigens Kryptowährungen zum Einsatz (oder werden zumindest eingefordert) – schließlich sind sie die eleganteste Möglichkeit, mit vergleichsweise wenig Spuren und geringem Aufwand an Geld zu kommen. Die Frage, die im Ernstfall den meisten Unternehmen Kopfzerbrechen bereitet, lautet, ob man zahlen soll oder nicht. Auch wenn Sicherheitsunternehmen und das BSI regelmäßig dazu raten, nicht auf die Forderungen der Ransomware-Angreifer einzugehen, zahlen sowohl Privatleute und vor allem Unternehmen offenbar nicht selten die geforderte Summe. Im Falle des Juweliers soll, so Zeitungsberichte, ein Lösegeld von mehr als einer Million Euro gezahlt worden sein. Deswegen, so BSI-Präsident Arne Schönbohm, könne es sein, dass auch für andere Unternehmen ähnlichen Kalibers die Bedrohungslage zunehme.

Gewandelt hat sich dabei offenbar auch die Preisfindung bei den Lösegeldern: Während man früher offenbar nach der Devise „Kleinvieh macht auch Mist“ drei- oder vierstellige Beträge von Einzelpersonen erpresste, sind die Summen heute höher (meist sechsstellig) und orientieren sich an der vermuteten Leistungsfähigkeit des Erpressten. Bei Mediamarkt und Saturn soll es angeblich sogar um einen dreistelligen Millionenbetrag gehen.

Und die Unternehmen zahlen offenbar in einem Großteil der Fälle. Zu groß ist die Angst, ohne die eigenen Daten handlungsunfähig zu sein, und zu groß die Hoffnung, die Daten Zug um Zug wieder zu erhalten. Hinzu kommt: Neben den Lösegeldforderungen benötigt das angegriffene Unternehmen Hilfe von IT-Security-Unternehmen. Selbst wenn die Daten wieder nutzbar sind, muss ja analysiert werden, wo die Schwachstelle lag und wie ein solcher Angriff überhaupt gelingen konnte. Und diese Kosten können schnell fünfstellig werden, selbst bei mittelständischen Unternehmen. Hinzu kommen – auch das ist ein Grund, warum Unternehmen und Gesundheitszentren inzwischen oft schnell zahlen – Ausfälle in der Produktion oder bei geplanten Operationen. Laut Medieninformationen soll der Pharmakonzern Merck ebenso dreistellige Millionenbeträge verloren haben wie die Logistikfirma TNT Express.

Ransomware: Die Angriffe werden immer ausgeklügelter

Oftmals sind es bekanntermaßen Schwächen von Mitarbeitern, die einen solchen Angriff möglich machen – etwa das Öffnen von E-Mail-Attachments aus fragwürdigen Quellen. Das Schlimme daran: Die Qualität der Anhänge wird, insbesondere wenn es zielgerichtete Angriffe sind, immer besser. Beispielsweise handelt es sich teilweise um Rechnungen, die zum Unternehmen und dessen Tätigkeitsfeld passen können. In manchen Fällen handelt es sich sogar um aus dem Unternehmen erbeutete E-Mail-Kontakte, sodass die E-Mail wie eine übliche Antwort auf die Korrespondenz eines Kunden aussieht. Zahlreiche Sicherheitsunternehmen, etwa Blackberry oder Kaspersky, bieten infolgedessen Trainings für die Sensibilisierung der Mitarbeiter an. Freilich wird auch das nicht immer helfen – angesichts von Angriffs-Mails, die zunehmend besser werden. Selbst vorhandene Backups werden in vielen Fällen, sofern sich die Malware dorthin fortpflanzt, ebenfalls befallen – wichtig ist daher ein entsprechend abgesichertes System, das gegebenenfalls vom Netz getrennt und in einen Quarantäne-Status versetzt wird.

Eine andere Strategie sind Versicherungen gegen Cyber-Attacken. Ob diese sich lohnen, hängt von vielen Faktoren ab: Zum einen wird ein B2B-Versicherer ein genaues Audit der Sicherheitssituation im Unternehmen einfordern, zum anderen werden die Beiträge für eine solche Versicherung nur dann nicht in schwindelerregende Höhen steigen, wenn das Unternehmen seine Hausaufgaben in Sachen präventive Sicherheit erledigt hat. Dennoch: Der weltgrößte Rückversicherer Munich Re rechnet bis 2025 mit einem Wachstum dieses Marktes auf 20 Milliarden Dollar.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder