Das gilt nicht nur für Privatpersonen, die E-Mails und Fotos speichern, sondern insbesondere auch für Unternehmen. Ransomware (auch: Erpressersoftware oder Verschlüsselungstrojaner) gehört im Jahr 2020 zu ihren größten Bedrohungen.
Immer wieder kommt es dazu, dass Kriminelle über Hacks an wertvolle Daten von Unternehmen gelangen und sie damit erpressen. Die Forderungen können in die Millionen gehen, Folgekosten nicht eingerechnet. Schließlich muss die betroffene Technik anschließend wiederaufbereitet oder ganz ausgewechselt werden. Durchschnittlich vergehen 16 Tage, bis das Unternehmen seine Arbeit fortsetzen kann.
Die gute Nachricht ist, dass es auch Hilfe gibt. Im Internet kursieren Listen mit Ransomware inklusive Decryptor, die dabei helfen, die Daten wieder zu entschlüsseln. Wer weitere Unterstützung benötigt, kann sich aber auch an Unternehmen wenden, die sich auf professionelle Datenrettung und das Beheben von Ransomware-Attacken spezialisiert haben, wie die Bindig Media GmbH aus Leipzig beispielsweise.
Was ist Ransomware?
Ein Schadprogramm, das die Daten auf einem System unauflöslich kodiert, bezeichnet man als Ransomware. Das bedeutet, dass der Computer oder Inhalte darauf für seinen Besitzer gesperrt sind und er ein Lösegeld zahlen muss, um wieder vollen Zugriff zu erhalten. Die Erpresser spielen mit der Angst der Menschen und bereichern sich auf ihre Kosten.
Es gibt verschiedene Varianten von Erpressersoftware: File-Encrypter (auch: Crypto-Ransomware) und Screenlocker (auch: Locker-Ransomware). Während File-Encrypter den Bildschirm sperren, verschlüsseln Screenlocker wichtige Daten wie Kinderfotos und Text-Files.
Achtung vor Webseiten: "Drive-by-Attacken"
Webseiten mit schädlichen Inhalten sind eine weitere Sicherheitslücke für Unternehmen. Ruft der Mitarbeiter eine infizierte Webseite auf, kann ein Schadprogramm darauf den ganzen Rechner befallen. Eine mögliche Angriffsstrategie besteht zum Beispiel darin, einen sogenannten Keylogger zu auszuführen, der jede Eingabe des Nutzers erfasst. Auf diese Weise gelangen die Angreifer an wichtige Zugangsdaten, die sie dann auf dem Schwarzmarkt anbieten.
Ein Rückblick auf WannaCry
Bei WannaCry handelt es sich um eine sogenannte Crypto-Ransomware aus dem Jahr 2017. Sie zielte auf Personen ab, die das Betriebssystem Windows nutzen. Betroffene sollten für die Entschlüsselung der Dateien ein Lösegeld in Form der Cryptowährung Bitcoin zahlen.
Der WannaCry-Angriff war leider sehr erfolgreich. Das lag daran, dass so viele Menschen noch veraltete Systeme nutzten und nicht genügend Softwareupdates eingespielt hatten. Experten gehen daher davon aus, dass der Schaden geringer gewesen wäre, wenn die Betroffenen die Aktualisierung ihres Betriebssystems ernster genommen hätten.
Denn die Schwachstelle, die die Cyberkriminellen ausnutzten, war bereits seit zwei Monaten bekannt. Microsoft hatte darauf mit einem Patch reagiert. Aber viele Privatpersonen sowie Unternehmen und andere Organisationen, versäumten es, ihre Betriebssysteme zu rüsten. Immer wieder unterschätzen gerade Firmen aus dem Gesundheitsbereich die Gefahr der Erpresserviren. Auch sie dürfen den Wert der hochsensiblen Informationen aus Untersuchungen und Arztberichten nicht vergessen. Da der Wert der Daten aus dem Gesundheitssektor hoch, das Schutzniveau allerdings gering ist, sind sie besonders beliebte Angriffsziele.
Wie Unternehmen sich vor Ransomware schützen können
Spätestens seit der Erfahrung mit WannaCry dürfte klar sein: Der beste Schutz vor Ransomware besteht darin, das Betriebssystem stets aktuell zu halten. Sowohl das Betriebssystem selbst, als auch das darin verwendete Programm sollten regelmäßig aktualisiert werden.
Für Unternehmen ist dieser Prozess allerdings etwas aufwendiger. Sie benötigen zunächst einen Überblick darüber, wo sich ihre Daten befinden (z. B. Cloud, Multi-Cloud oder On-Premise). Außerdem müssen sie wissen, wie auf sie zugegriffen wird und wie lange sie verfügbar sind. Auf dieser Grundlage können sie potenzielle Schwachstellen ermitteln und mögliche Angriffsziele entdecken.
Experten empfehlen zu diesem Zweck eine hardwareunabhängige Plattform, die ein Datenmanagement ermöglicht, das zentralisiert abläuft. Ihre Aufgabe besteht darin, möglichst viele Datenressourcen und Technologien einzubinden, die die Infrastruktur schützen.
Aber auch, Angriffe aufzudecken und eine Datenwiederherstellung zu ermöglichen. Das geht am besten, indem die Firmen sensible Daten in einem Backup-System aufbewahren. Mit dieser Maßnahme können sie ausschließen, dass der Geschäftsbetrieb unter einer Cyber-Attacke leidet.
Das beste Mittel gegen Erpressung durch Ransomware: Backups
Anti-Malware-Lösungen sind die erste Strategie, um sich zu schützen. Dennoch müssen Unternehmen davon ausgehen, dass eine bestimmte Zahl von Angriffen Erfolg haben wird. Zum Beispiel Datenmanipulation, Änderungen der Zugangserlaubnisse, Dateiverschlüsselung oder die Änderungen der Verzeichnisse. Daher ist das Backup oft die letzte Strategie für Unternehmen, um sich vor Cyberattacken zu schützen. Es befähigt sie, sich wieder in einen vertrauten, sicheren Status zurückzuversetzen.
Aber auch die Kriminellen kennen diese Strategie und halten dagegen, indem sie gezielt nach gespeicherten Backups suchen und Backup-Dateien identifizieren. Auf diese Weise möchten sie verhindern, dass sich eine Firma nach einem Angriff wieder erholt. Schadprogramme, die Backup-Dateien als Angriffsziel haben, suchen zum Beispiel nach Schnittstellen (APIs), die typisch für Backup-Anwendungen sind. Gelingt es ihnen, sich Zugang zu ihnen zu verschaffen, können sie die Dateien zerstören.
Eine der goldenen Regeln, um sich vor dem Löschen von Backups zu schützen, lautet, zusätzlich zum Onsite- auch ein Offsite-Backup zu erstellen. Viele Unternehmen nutzen dafür etwa ein cloudbasiertes Storage. Es ermöglicht ihnen, auch dann ein Backup einzuspielen, wenn lokale Kopien entfernt wurden.
Cyber-Attacken identifizieren und richtig reagieren
IT-Mitarbeiter müssen in der Lage sein, Angriffe zu erkennen. Dafür müssen sie sich mit den typischen Angriffsmustern vertraut machen. Dazu gehören zum Beispiel das plötzliche Sinken der Netzwerkleistung oder die Zunahme von unerwünschten E-Mails. Im Idealfall reagieren sie mit einer Zugriffssperre, einer automatischen Ausfallsicherung der kritischen Bereiche des IT-Systems (Failover) und der Datenwiederherstellung.
E-Mails filtern: Vorsicht bei E-Mails und Links
Es ist besser, verdächtige E-Mails gleich zu löschen und sie nicht zu öffnen. Es gibt verschiedene Kriterien, die gefährliche E-Mails anzeigen: zum Beispiel Rechtschreibfehler, Geldversprechen und unbekannte Absender. Sie können auch als Rechnungen oder Bewerbungsunterlagen getarnt sein. Manchmal versteckt sich die Schadsoftware auch im Anhang.
Ganz besonders gefährlich sind E-Mails, die .exe-Dateien oder Word-, Excel- oder .pdf-Dateien mit Makros enthalten. Daher ist es ratsam, bei allen Anwendern das automatische Ausführen von Makros in der Office-Suite zu sperren. Außerdem sollten Firmen ihre Mitarbeiter regelmäßig schulen und sie auf gefährliche Anhänge oder Prozesse hinzuweisen.
Es gibt Software-Unternehmen, die sich auf die automatische Erkennung schädlicher E-Mails spezialisiert haben. Ihre Anwendungen erkennen sie, bevor sie im E-Mail-Client des Nutzers angezeigt werden und entfernen sie aus seinem Postfach. Das ist gerade bei Drive-by-Spam-E-Mails sinnvoll, denn sie führen ihren Schadcode bereits im Zuge der E-Mail-Vorschau aus, ohne dass der Nutzer die E-Mail aktiv öffnet.