Mit Ransomware, zu Deutsch Lösegeld Software, verschlüsseln Cyberkriminelle die Festplatten und Serverlaufwerke ihrer Opfer und fordern anschliessend ein Lösegeld für die Entschlüsselung. Die verwendete Malware nennt sich Locky, CryptoLocker, Synolocker, TeslaWall, KeRanger etc. und wird häufig per Email versendet oder von infizierten Webseiten heruntergeladen. Ransomware ist technisch sehr raffiniert und äusserst gefährlich. In den meisten Fällen ist es im Nachhinein nicht mehr möglich die Daten wiederherzustellen und der gesamte Inhalt der Festplatte ist verloren.
In diesem Artikel geht es darum, wie man eine Infektion mit Ransomware verhindern kann und wie man trotz Infektion Datenverluste vermeiden kann.
Ransomware gibt es schon lange. Zuletzt warnte die Melde- und Analysestelle Informationssicherung MELANI des Bundes im Dezember vor TeslaCrypt. In den letzten Monaten hat die Anzahl Infektionen aber stark zugenommen. Insbesondere Locky scheint sich in der Schweiz rasend schnell zu verbreiten.
Die meisten neuen Arten von Ransomware verwenden starke kryptografische Verschlüsselungsalgorithmen. Diese Algorithmen können nicht aufgebrochen werden.
Sind die Daten einmal verschlüsselt, gibt es ohne den passenden Schlüssel keine Möglichkeit die Daten wiederherzustellen.
Ransomware wird häufig als Email Anhang verschickt. Man bekommt ein gefälschtes Email von einem Cloudspeicherdienst, einem Lieferdienst oder einer Bank. Im Anhang befindet sich ein PDF, ein Word oder Excel Dokument. Sehr häufig in einer ZIP Datei verpackt, um sich vor schlechten Virenscannern zu verbergen.
Viele Nutzer glauben, dass nur .EXE Dateien gefährlich sind. In Wirklichkeit kommen die meisten Viren heutzutage in Form von PDF oder Office Dokumenten.
Wird die Täuschung nicht sofort erkannt und der Anhang geöffnet, wird der Virus aktiviert. Im Hintergrund beginnt die Ransomware mit der Verschlüsselung aller zugänglicher Daten. Dies betrifft auch alle Netzlaufwerke und externen Festplatten.
Erst wenn die Verschlüsselung abgeschlossen ist, wird die Erpressernachricht am Bildschirm angezeigt.
Da nach einer Infektion mit Ransomware die Daten nicht mehr rekonstruiert werden können, gilt es vorzubeugen. Wenn man alle präventiven Massnahmen berücksichtigt, kann das Infektionsrisiko sehr stark reduziert und der Schaden um ein vielfaches verringert werden.
Zuerst sollte man dafür sorgen, dass Viren nicht so einfach per Email empfangen werden können. Dies bedeutet, dass der Mail Server mit einem Anti-Virus ausgerüstet werden muss. ANDEV bietet einen entsprechenden Cloud Service an.
Mit einem starken Anti-Virus auf dem Mail Server gelangt Ransomware gar nicht erst in das Email Postfach der Benutzer.
Mittlerweile ist allgemein bekannt, dass man einen Computer mit einem Anti-Viren Programm ausstatten muss. Bei grossen Unternehmen ist dies Teil der standard Endpoint Security und ist seit Jahrzehnten nicht mehr wegzudenken. Trotzdem wird es im Bereich KMU und Homeoffice immer noch vernachlässigt.
Die Anzahl neuer Viren pro Monat nimmt laufend zu. Deshalb ist auch ein Virenscanner kein hundertprozentiger Schutz vor Viren oder Ransomware. Trotzdem ist ein aktueller Virenschutz heute unabdingbar und ein absolutes Muss.
Viren die als PDF oder Office Dokumente getarnt sind, verwenden Software Schwachstellen, damit sie ausgeführt werden. Es ist daher notwendig, dass man bekannte Schwachstellen sofort schliesst. Dies geschieht bei den meisten Herstellern (Apple, Adobe, Microsoft, Oracle, usw.) über Software Updates.
Halten Sie ihre Software aktuell und aktivieren Sie automatische Updates.
Auch Backup gehört bei den meisten Unternehmen heute zum Standard. Zu beachten ist, dass man Backups regelmässig überprüfen muss, damit im Ernstfall alle wichtigen Daten wiederhergestellt werden können. Damit das Backup vor Ransomware geschützt ist, dürfen sich die Backups aber nicht einfach auf zugänglichen Netzlaufwerken befinden. Es kommt häufig vor, dass Ransomware nicht nur die eigene Festplatte sondern auch das Backup verschlüsselt. In diesem Fall ist ihr Backup nutzlos. Verwenden Sie am besten den guten alten Bandspeicher oder moderne, sichere Cloudlösungen.
Mit täglichen (oder sogar mehrmals täglichen) Backups kann der Schaden, den Ransomware verursacht, sehr stark reduziert werden.
In den meisten Fällen werden Viren und Ransomware von den Benutzern geöffnet oder sogar aktiv heruntergeladen. Beachten Sie folgende Regeln:
Regelmässige Sensibilisierung der Mitarbeiter reduziert die Gefahr einer Ransomware Infektion und schützt allgemein vor Viren und Phishing.
Wurde die Festplatte von der Ransomware verschlüsselt und gibt es kein aktuelles Backup, ist die Lage schwierig und guter Rat teuer. Als Schweizer Unternehmen melden Sie sich in jedem Fall bei der Melde- und Analysestelle Informationssicherung MELANI.
Gemäss Information der Bundespolizei der USA (FBI) erhalten die meisten Betroffenen nach Bezahlung des Lösegelds ihre Daten zurück. Der geforderte Betrag liegt meistens zwischen CHF 200 und 1000. Abhängig vom Wert der Daten ist dies also auch eine Möglichkeit, um Schaden zu reduzieren. Es gibt aber keine 100% Garantie, dass Sie nach der Bezahlung des Lösegelds den Schlüssel tatsächlich erhalten und die Daten wiederherstellen können.
Prinzipiell raten wir Ihnen stärkstens davon ab, einer Lösegeldforderung nachzugeben. Einer der Gründe, weshalb sich Ransomware heute auf so hohem technischen Niveau befindet, ist die fortlaufende Professionalisierung der Cyberkriminellen Hacker. Mit der Bezahlung solcher Forderungen unterstützen Sie die weitere Professionalisierung und die Weiterentwicklung der Ransomware.
Der einzig effektive Schutz gegen Ransomware sind präventive Massnahmen. Mailserver Schutz, Anti-Virus, Updates, Backup und Mitarbeiterschulung sind der Schlüssel zur effektiven Abwehr von Ransomware.
Ein aktuelles und zuverlässiges Backup hilft bei der schnellen Wiederherstellung im Schadenfall.