Was ist Ransomware?

Das englische Wort „ransom“ bedeutet „Lösegeld“ und damit steckt die grundlegende Definition von Ransomware schon im Namen:

Ransomware ist eine Art von Malware, die den Zugang zu einem Computer sperrt oder Daten verschlüsselt, bis das Opfer ein Lösegeld zahlt. In vielen Fällen ist die Lösegeldforderung mit einer Frist verbunden. Wenn das Opfer nicht rechtzeitig zahlt, sind die Daten für immer verloren.

Ransomware-Angriffe sind heutzutage an der Tagesordnung und große Unternehmen sind ihnen in Nordamerika und Europa gleichermaßen zum Opfer gefallen. Es ist beliebig, welche Opfer Cyberkriminelle angreifen, denn es sind sowohl Verbraucher als auch Unternehmen aus allen Branchen betroffen.

Mehrere Regierungsbehörden, darunter auch das FBI, sowie das No-More-Ransom-Projekt raten davon ab, das Lösegeld zu zahlen, um den Ransomware-Zyklus nicht zu fördern. Zudem wird die Hälfte der Opfer, die das Lösegeld gezahlt haben, wiederholt Opfer eines Ransomware-Angriffes.

Ransomware kann bis 1989 zurückverfolgt werden. Damals schickten Angreifer per Post Disketten an Wissenschaftler, die HIV erforschten, und gaben vor, ihnen Forschungsdaten bereitzustellen. In Wirklichkeit enthielten die Disketten die erste Ransomware. Die Forscher wurden aufgefordert, einen Lösegeldbetrag per Post nach Panama zu schicken.

1996 wurde Ransomware das erste Mal Thema akademischer Debatten, damals noch unter dem Namen „kryptovirale Erpressung“ (ein Begriff von Moti Yung und Adam Young von der Columbia University). Mit dieser in der akademischen Welt geborenen Idee versuchten Yung und Young den Fortschritt und die Stärke moderner kryptographischer Tools zu verdeutlichen.

Im gleichen Jahr demonstrierten Young und Yung den ersten kryptoviralen Angriff auf der IEEE-Konferenz für Sicherheit und Datenschutz. Ihr Virus enthielt den öffentlichen Schlüssel des Angreifers und verschlüsselte damit die Dateien des Opfers. Die Malware forderte das Opfer dann auf, einen asymmetrischen Chiffretext an den Angreifer zu senden, um den Entschlüsselungscode zu entziffern und zurückzugeben – gegen ein Lösegeld.

Im Laufe der Jahre sind Angreifer kreativer geworden und verlangen nun Zahlungsmethoden, die kaum zurückverfolgt werden können. Dadurch können Angreifer anonym bleiben. Zum Beispiel verlangt die berüchtigte mobile Ransomware „Fusob“ von ihren Opfern, mit Apples iTunes-Geschenkkarten statt mit normalen Währungen wie Euro oder Dollar zu bezahlen.

MIt der zunehmenden Verbreitung von Kryptowährungen wie Bitcoin gewann Ransomware weiter an Popularität. Eine Kryptowährung ist eine digitale Währung, die Verschlüsselungstechniken verwendet, um Transaktionen zu verifizieren, zu sichern und die Schaffung neuer Einheiten zu kontrollieren. Angreifer können hier ebenfalls anonym bleiben. Neben Bitcoin fordern Angreifer oftmals auch andere populäre Kryptowährungen, wie Ethereum, Litecoin und Ripple.

Ransomware hat schon Organisationen in fast jedem Bereich getroffen. Einer der bekanntesten Angriffe war der auf das Presbyterian Memorial Hospital, der die potenziellen Schäden und Risiken von Ransomware verdeutlichte. Labore, Apotheken und Notaufnahmen waren dabei betroffen.

Cyberkriminelle, die Ransomware-Angriffe mit Social Engineering kombinieren, sind eine weitere innovative Neuerung. The Guardian schrieb über eine Situation, in der neue Ransomware-Opfer nicht nur ein Lösegeld zahlen sollten, um ihre Daten zu entschlüsseln; sie wurden auch aufgefordert, zwei weitere Benutzer den Link installieren zu lassen.

Ransomware ist eine Art von Malware, die ihre Opfer daran hindert, auf ihre Daten zuzugreifen, um Geld von ihnen zu erpressen. Die beiden am weitesten verbreiteten Arten von Ransomware sind Verschlüsselungstrojaner und Bildschirmsperren.

Verschlüsselungstrojaner verschlüsseln, wie der Name schon sagt, Daten auf einem System, sodass der Inhalt ohne den Entschlüsselungscode nutzlos wird.

Bildschirmsperren hingegen blockieren einfach den Zugriff auf das System mit einem „Sperrbildschirm“ und behaupten, dass das System verschlüsselt sei.

Abbildung 1: Beispiel für den Versuch von Ransomware, ein Opfer zur Installation zu verleiten.

Bei beiden Versionen werden Opfer meist auf einem Sperrbildschirm darüber informiert, dass Ihr Computer infiziert wurde und sie eine Kryptowährung wie Bitcoin kaufen müssen, um das Lösegeld zu zahlen.

Sobald das Lösegeld bezahlt ist, erhalten die Opfer den Entschlüsselungscode und können damit versuchen, ihre Dateien zu entschlüsseln. Die Entschlüsselung ist dabei nicht garantiert und mehrere Quellen berichten von unterschiedlichem Erfolg nach Zahlung des Lösegelds. Manchmal erhalten die Opfer den Code nie und es kommt auch vor, dass weitere Malware installiert wird, obwohl das Lösegeld bezahlt und die Daten freigegeben wurden.

Ursprünglich konzentrierten sich Ransomware-Angriffe vor allem auf private Computer. Heute werden zunehmend Unternehmen angegriffen, da diese oft mehr für die Freischaltung kritischer Systeme und die Wiederaufnahme des täglichen Betriebs zahlen als Einzelpersonen.

Ransomware-Angriffe auf Unternehmen beginnen in der Regel mit einer schädlichen E-Mail. Ein ahnungsloser Benutzer öffnet einen Anhang oder klickt auf eine schädliche oder kompromittierte URL.

Zu diesem Zeitpunkt wird ein Ransomware-Agent installiert und beginnt mit der Verschlüsselung wichtiger Dateien auf dem PC des Opfers und allen angehängten Dateifreigaben. Nach der Verschlüsselung der Daten zeigt die Ransomware eine Nachricht auf dem infizierten Gerät an, in der erklärt wird, was geschehen ist und wie die Angreifer zu bezahlen sind (auf dem Sperrbildschirm). Die Ransomware verspricht, dass die Opfer einen Code zum Entsperren ihrer Daten erhalten, wenn Sie das geforderte Geld zahlen.

Dies sind nur einige der häufigsten Arten von Ransomware. Indem sie sich an neue Cybersicherheitsstrategien anpassen, wenden sich Cyberangreifer neuen und innovativen Methoden zu, um Schwachstellen auszunutzen und in Computersysteme einzudringen.

Jedes mit dem Internet verbundene Gerät läuft Gefahr, das nächste Opfer von Ransomware zu werden. Ransomware scannt ein lokales Gerät und alle mit dem Netzwerk verbundenen Speicher, was bedeutet, dass ein anfälliges Gerät das ganze lokale Netzwerk zu einem potenziellen Opfer machen kann.

Handelt es sich bei dem lokalen Netzwerk um ein Unternehmensnetzwerk, kann die Ransomware wichtige Dokumente und Systemdateien verschlüsseln, wodurch Dienste und Produktivität beeinträchtigt werden.

Immer, wenn ein Gerät eine Verbindung zum Internet herstellt, sollte es mit den neuesten Software-Sicherheitspatches aktualisiert sein und eine Anti-Malware-Software installiert haben, die Ransomware erkennt und stoppt. Veraltete Betriebssysteme wie Windows XP, die nicht mehr gewartet werden, sind einem viel höheren Risiko ausgesetzt.

Die meisten Experten raten davon ab, das Lösegeld zu zahlen, damit Angreifern der Wind aus den Segeln genommen wird. Zahlt niemand mehr, haben Ransomware-Angreifer keinen finanziellen Vorteil.

Viele Organisationen sehen sich jedoch zur Zahlung gezwungen, etwa weil die Angreifer ihnen drohen, sie zu enttarnen und öffentlich bekannt zu geben, dass sie Opfer von Ransomware geworden sind. Manchmal nutzen Angreifer auch sensible interne Informationen, um ihre Opfer zu erpressen.

Der Druck, das Lösegeld zu zahlen, steigt außerdem, da die Angreifer ihren Opfern eine Frist setzen. In der Regel ist diese Frist gestaffelt und der Lösegeldbetrag erhöht sich nach Ablauf einer bestimmten Zeit.

Das größte Risiko bei der Zahlung des Lösegelds besteht darin, niemals die Schlüssel zum Entschlüsseln der Daten zu erhalten. In dem Fall ist das Lösegeld verloren, weil sich eine Zahlung per Kryptowährung nicht mehr rückgängig machen lässt. Dies müssen Unternehmen bei der Entscheidung unbedingt im Hinterkopf behalten.

• Bestimmen Sie, welche Systeme betroffen sind. Sie müssen diese Systeme isolieren, damit sie den Rest der Umgebung nicht infizieren können. Dieser Schritt ist Teil der Eindämmung, um Schäden an der Umgebung zu minimieren.
• Systeme vom Internet trennen und bei Bedarf herunterfahren. Ransomware verbreitet sich schnell im Netzwerk, daher müssen alle Systeme durch Deaktivieren des Netzwerkzugriffs oder Herunterfahren vom Netzwerk getrennt werden.
• Priorisieren Sie die Wiederherstellung kritischer Systeme. Dadurch wird sichergestellt, dass die wichtigsten Daten zuerst wieder in den Normalzustand versetzt werden. Typischerweise basiert die Priorität auf der Produktivität und den Auswirkungen auf den Umsatz.

• Entfernen Sie die Bedrohung aus dem Netzwerk. Angreifer könnten Hintertüren zurücklassen, daher muss die Beseitigung von einem vertrauenswürdigen Experten durchgeführt werden. Der Experte benötigt dafür Zugriff auf Logs, um eine Ursachenanalyse durchzuführen, die die Schwachstelle und alle betroffenen Systeme identifiziert.
• Lassen Sie die Umgebung von einer Fachperson auf mögliche Sicherheitsverbesserungen überprüfen. Es kommt häufig vor, dass ein Ransomware-Opfer das Ziel eines zweiten Angriffs wird. Unentdeckte Schwachstellen können dabei erneut ausgenutzt werden.

Ein Unternehmen, das Opfer von Ransomware wird, kann tausende Euros Kosten in Form von Produktivität und Datenverlust. Angreifer mit Zugang zu Unternehmensdaten können ihre Opfer zur Zahlung des Lösegelds erpressen, indem sie damit drohen, interne Informationen herauszugeben und die Datenverletzung öffentlich zu machen. Unternehmen, die nicht schnell genug zahlen, könnten zusätzliche Auswirkungen wie Reputationsschäden und Rechtsstreitigkeiten erleiden.

Da Ransomware die Produktivität zum Erliegen bringt, ist der erste Schritt die Eindämmung. Nach der Eindämmung kann die Organisation entweder aus Backups wiederherstellen oder das Lösegeld zahlen. Strafverfolgungsbehörden werden in die Ermittlungen einbezogen, aber die Ransomware-Urheber aufzuspüren erfordert Zeit, die die Wiederherstellung verzögert.

Durch eine Ursachenanalyse wird die Schwachstelle identifiziert, doch das Wichtigste ist erst einmal die Wiederherstellung der Produktivität, da sich etwaige Verzögerungen direkt negativ auf die Produktivität und den Geschäftsumsatz auswirken.

Lässt sich Ransomware ohne Zahlung des Lösegelds entfernen?

In der Regel ist der Verschlüsselungsalgorithmus so gut, dass die betroffenen Daten nicht ohne den Entschlüsselungscode entschlüsselt werden können. Deshalb lässt sich Ransomware nicht ohne weiteres entfernen. Die einzige Möglichkeit, das System ohne Zahlung des Lösegelds und ohne Entschlüsselungscode der Angreifer wiederherzustellen, sind umfassende und im Vorfeld getestete Backups.

Vor dem Angriff: Ransomware verhindern

• Schützen Sie Ihre E-Mails: Ransomware verbreitet sich hauptsächlich per Phishing-Mails oder Spam. Sichere E-Mail Gateways mit gezieltem Angriffsschutz sind entscheidend für die Erkennung und Blockierung schädlicher E-Mails, die Ransomware verbreiten. Diese Lösungen schützen vor schädlichen Anhängen, schädlichen Dokumenten und URLs in E-Mails, die an die Computer der Benutzer gesendet werden.
• Schützen Sie Ihre Mobilgeräte: Produkte zum Schutz vor mobilen Angriffen können in Verbindung mit MDM-Tools (Mobile Device Management) Anwendungen auf den Geräten der Benutzer analysieren und Benutzer und die IT-Abteilung sofort vor Anwendungen warnen, die die Umgebung gefährden könnten.
• Schützen Sie Ihr Surfen im Web: Sichere Web-Gateways scannen den Web-Datenverkehr von Benutzern, um bösartige Web-Anzeigen zu identifizieren, die sie zu Ransomware führen könnten.
• Überwachen Sie Ihre Server und Ihr Netzwerk, und sichern Sie wichtige Systeme: Monitoring-Tools können ungewöhnliche Dateizugriffsaktivitäten, Viren, Netzwerk-C&C-Traffic und CPU-Lasten erkennen – möglicherweise rechtzeitig, um die Aktivierung von Ransomware zu blockieren. Eine vollständige Image-Kopie wichtiger Systeme vorzuhalten, kann das Risiko verringern, dass ein abgestürzter oder verschlüsselter Rechner einen entscheidenden operativen Engpass verursacht.

Nach dem Angriff: Ransomware entfernen und Daten wiederherstellen

• Verständigen Sie die nationale und lokale Strafverfolgungsbehörde: Genauso wie sich jemand bei der Entführung einer Person an die Behörden wenden würde, muss im Falle eines Ransomware-Angriffs dasselbe Büro verständigt werden. Die forensische Techniker können sicherstellen, dass Systeme nicht auf andere Weise kompromittiert werden, Informationen sammeln, um Organisationen in Zukunft besser zu schützen, und versuchen, die Angreifer ausfindig zu machen.
• Informieren Sie sich über Anti-Ransomware-Ressourcen: Das „No More Ransom“-Portal und „Bleeping Computer“ haben Tipps, Vorschläge und sogar einige Entschlüsselungscodes für bestimmte Ransomware-Angriffe.
• Stellen Sie Ihre Daten wieder her: Wenn sich Unternehmen an die bewährten Verfahren halten und System-Backups aufbewahren, können sie ihre Systeme wiederherstellen und den normalen Betrieb wieder aufnehmen.

Die folgenden Informationen über die größten Ransomware-Angriffe geben Organisationen eine solide Grundlage, um die Taktiken, Schwachstellen und Merkmale von Ransomware-Angriffen zu verstehen. Zwar gibt es nach wie vor Unterschiede, was den Code, die Ziele und Funktionen angeht, doch Innovationen im Bereich Ransomware erfolgt in der Regel nur schrittweise.

Hier sind einige berühmte Beispiele für Ransomware:

• WannaCry: Hier wurde ein leistungsstarker Microsoft-Exploit genutzt, um einen weltweit agierenden Ransomware-Wurm zu schaffen, der über 250.000 Systeme infizierte, bevor ein Killswitch seine Ausbreitung stoppte. Proofpoint war an der Auffindung des Musters beteiligt, mit dem der Killswitch identifiziert wurde, sowie an der Dekonstruktion der Ransomware selbst. Erfahren Sie mehr über die Beteiligung von Proofpoint am Aufhalten von WannaCry.
• CryptoLocker: Diese Ransomware ist eine der ersten der neuen Generation. Sie forderte eine Kryptowährung (Bitcoin) für die Zahlung und verschlüsselte die Festplatte des Benutzers und die angeschlossenen Netzlaufwerke. Cryptolocker wurde über eine E-Mail mit einem Anhang verbreitet, der vorgab, eine FedEx- und UPS-Trackingbenachrichtigung zu sein. 2014 wurde für diese Ransomware ein Entschlüsselungstool veröffentlicht, aber verschiedene Berichte deuten darauf hin, dass die Angreifer bis dahin über 27 Millionen Dollar erpressen konnten.
• NotPetya: NotPetya gilt als einer der Ransomware-Angriffe mit dem größten verursachten Schaden. Er verwendete Taktiken seines Namensvetters Petya, wie z. B. das Infizieren und Verschlüsseln des Master Boot Records eines Windows-basierten Systems. NotPetya nutzte für die schnelle Verbreitung die gleiche Schwachstelle wie WannaCry, und verlangte eine Zahlung in Bitcoin, um die Änderungen rückgängig zu machen. NotPetya wurde von einigen als „Wiper“ eingestuft, da die Änderungen am Master-Boot-Record nicht rückgängig gemacht werden können und das Zielsystem nicht wiederhergestellt werden kann.
• Bad Rabbit: Diese Ransomware wird als Cousin von NotPetya betrachtet und nutzte einen ähnlichen Code und ähnliche Exploits, um sich zu verbreiten. Bad Rabbit zielte anscheinend auf Russland und die Ukraine ab und traf dort vor allem Medienunternehmen. Im Gegensatz zu NotPetya konnte Bad Rabbit entschlüsselt werden, wenn das Lösegeld bezahlt wurde. Die meisten Fälle deuten darauf hin, dass die Ransomware über ein gefälschtes Flash-Player-Update verbreitet wurde.
• REvil: REvil wurde von einer Gruppe finanziell motivierter Angreifer entwickelt. Es filtert bestimmte Daten vor der Verschlüsselung heraus, um Opfer gezielt zu erpressen und zur Zahlung zu zwingen, wenn sie sich gegen die Zahlung des Lösegelds entscheiden. Der erste Angriff ging auf eine kompromittierte IT-Verwaltungssoftware, Kaseya, zurück, die zum Patchen der Windows- und Mac-Infrastruktur verwendet wurde. Die Gruppe kompromittierte Kaseya und schleuste so die REvil-Ransomware in Unternehmenssysteme ein.
• Ryuk: Ryuk ist eine Ransomware-Anwendung, die manuell verbreitet wird, hauptsächlich durch Spear-Phishing. Die Zielpersonen werden mithilfe vorausgehender Recherchen sorgfältig ausgewählt. Dann senden Angreifer E-Mail-Nachrichten an ausgewählte Opfer und verschlüsseln dann alle auf dem infizierten System gehosteten Dateien.

Auch wenn das Volumen an Ransomware-Angriffen von Jahr zu Jahr schwankt, zählt diese Art Cyberangriff nach wie vor zu den häufigsten und kostspieligsten Angriffen auf Unternehmen. Aktuelle Statistiken über Ransomware-Angriffe sind für Unternehmen ein alarmierender Aufruf zum Handeln, der sie dazu bewegen sollte, ihre Cybersicherheitsmaßnahmen zu verstärken und das Sicherheitsbewusstsein ihrer Mitarbeiter zu schulen.

• Laut dem Bericht „The State of Ransomware 2022“ von Sophos waren im Jahr 2021 66 % der Unternehmen von Ransomware-Angriffen betroffen, ein dramatischer Anstieg von 78 % im Vergleich zum Jahr 2020.
• Im „State of the Phish“-Bericht 2023 von Proofpoint gaben 64 % der befragten Unternehmen an, im Jahr 2022 von Ransomware betroffen gewesen zu sein, und mehr als zwei Drittel dieser Gruppe meldeten gleich mehrere Vorfälle. Experten gehen jedoch davon aus, dass die tatsächliche Zahl der Vorfälle und die Höhe der damit verbundenen Schäden im vergangenen Jahr viel höher war als gemeldet.
• Mit einer Lösegeldzahlungsrate von 85 % ist die Gesundheitsbranche nach wie vor der am stärksten von Ransomware betroffene Sektor. Dem Ransomware-Bericht von BlackFog 2022 zufolge verzeichneten jedoch Bildungseinrichtungen den größten Anstieg bei Ransomware-Angriffen (28 % im Jahr 2021).
• Windows-Systeme stellten die überwiegende Mehrheit der betroffenen Systeme dar und waren laut dem VirusTotal-Dienst von Google für 95 % der Ransomware-Angriffe verantwortlich.
• Laut Cybersecurity Ventures werden Ransomware-Angriffe ihren Opfern bis 2031 voraussichtlich einen jährlichen Schaden von insgesamt über 265 Milliarden US-Dollar verschaffen.Die folgende Ransomware-Statistik veranschaulicht die wachsende Epidemie und die Milliarden, die sie den Opfern gekostet hat. Schauen Sie auch auf unser Informationsportal zum Thema Ransomware, um über die neuesten Statistiken zu Ransomware auf dem Laufenden zu bleiben.

Aktuellen Statistiken zufolge zeichnen sich neue Ransomware-Trends ab. Zu den bemerkenswertesten Trends gehören:

• Mehr globalisierte Bedrohungen
• Gezieltere und ausgefeiltere Angriffe
• Zunahme mehrstufiger Erpressungstechniken
• Höhere Frequenz von Ransomware-Angriffen
• Lösegeldpreise haben sich angesichts der verbesserten Sicherheitslage stabilisiert.

Staatliche Interventionen sind ein weiterer wichtiger Trend, der den Umgang mit Ransomware-Angriffen verändern könnte. Gartner prognostiziert, dass 30 % aller Regierungen weltweit bis 2025 Gesetze zur Zahlung von Ransomwareforderungen erlassen werden.

Auch der durchschnittliche Rabatt auf Ransomware-Zahlungen scheint zu steigen. Basierend auf den neuesten Ransomware-Trends können Opfer mit einem Rabatt von 20 bis 25 % auf Lösegeldzahlungen rechnen, einige sogar mit Rabatten von bis zu 60 %.

Da immer mehr Menschen von zu Hause arbeiten, setzen Bedrohungsakteure verstärkt auf Phishing, und das ist ein primärer Ausgangspunkt für eine Ransomware-Infektion. Phishing-E-Mails zielen auf Mitarbeiter ab; das gilt sowohl für Nutzer mit niedrigen als auch mit hohen Berechtigungen. E-Mails sind kostengünstig und einfach zu verwenden, was es Angreifern erleichtert, Ransomware zu verbreiten.

Viele Nutzer sind es gewohnt, Dokumente per E-Mail zu verschicken, sodass sie sich keine weiteren Gedanken darüber machen, eine Datei in einem E-Mail-Anhang zu öffnen. Enthält eine solche Datei ein bösartiges Makro und wird dieses ausgeführt, lädt es Ransomware auf das lokale Gerät herunter und startet dann sein Payload.

Die Leichtigkeit, mit der sich Ransomware per E-Mail verbreiten lässt, ist der Grund dafür, dass es sich um einen sehr häufigen Malware-Angriff handelt.

Die Verfügbarkeit von Malware-Kits hat ebenfalls zum Anstieg an Ransomware-Angriffen beigetragen. Diese Exploit-Kits scannen Geräte auf Software-Schwachstellen und setzen zusätzliche Malware ein, um ein Gerät weiter zu infizieren, wo bei Bedarf Malware-Samples erstellt werden. Der Trend zu Malware-as-a-Service hat die Beliebtheit dieser Kits ebenfalls gesteigert.

Nicht immer sind Angreifer auch die Autoren der jeweiligen Ransomware. Denn einige Ransomware-Autoren verkaufen ihre Software an andere oder vermieten sie zur Nutzung. Ransomware kann als Malware-as-a-Service (MaaS) geleast werden, bei der sich Kunden über ein Dashboard authentifizieren und ihre eigene Kampagne starten. Daher sind nicht alle auch Programmierer und Malware-Experten. Es kann sich auch um Einzelpersonen handeln, die die Software nur gemietet haben.

Bei raffinierten Angriffen nehmen Entwickler oft eine erfolgreiche Ransomware und schreiben ihre eigene Version davon. Diese Varianten nutzen die Codebasis einer vorhandenen Software und ändern gerade so viele Features, dass sich Payload und Angriffsmethode ändern. Ransomware-Entwickler können auf diese Weise ihre Malware so anpassen, dass sie jede beliebige Aktion ausführt und einen bevorzugten Verschlüsselungscode verwendet.

Eine Hauptursache für die Zunahme von Bedrohungen durch Ransomware ist Remote-Arbeit. Die Pandemie führte weltweit zu einer neuen Art zu arbeiten. Eine Belegschaft, die von zu Hause arbeitet, ist viel anfälliger für Bedrohungen, denn Heimanwender verfügen nicht über das Cybersicherheitslevel, das sie im Büro hätten. Vor raffinierten Angriffen sind sie deshalb nicht ausreichend geschützt.

Viele dieser Nutzer nutzen außerdem auch ihre privaten Geräte für die Arbeit. Da Ransomware das Netzwerk nach anfälligen Geräten durchsucht, können mit Malware infizierte Privatcomputer auch alle mit dem Netzwerk verbundene Unternehmenscomputer infizieren.

Ransomware lässt sich verhindern, indem Sie Backups einrichten und testen sowie Ransomware-Schutz in Sicherheitstools anwenden. Sichere E-Mail-Gateways sind die erste Verteidigungslinie, während Endpunkte eine sekundäre Verteidigung darstellen. Intrusion-Detection-Systeme (IDS) werden manchmal zur Erkennung von Ransomware eingesetzt, um vor einem Aufruf eines Ransomware-Systems an einen Kontrollserver zu warnen. Benutzerschulungen sind wichtig, aber die Benutzerschulung ist nur eine von mehreren Verteidigungsebenen zum Schutz vor Ransomware, und sie kommt erst nach der Zustellung von Ransomware per Phishing ins Spiel.

Eine Vorsichtsmaßnahme für den Fall, dass alle anderen präventiven Verteidigungsmaßnahmen gegen Ransomware versagen, ist, sich einen Vorrat an Bitcoin anzuschaffen. Dies ist jedoch eher dann relevant, wenn Kunden oder Partner des betroffenen Unternehmens unmittelbar geschädigt werden könnten. Krankenhäuser und das Gastgewerbe sind hier einem besonderen Risiko ausgesetzt, da das Leben von Patienten betroffen sein könnte oder Menschen ausgesperrt werden können.

Ransomware-Angreifer kassierten im Jahr 2019 durchschnittlich 115.123 US-Dollar pro Vorfall, doch diese Kosten sind im Jahr 2020 auf 312.493 US-Dollar angestiegen. In einem konkreten Fall entstand dem betroffenen Unternehmen ein Schaden in Höhe von 40 Millionen US-Dollar. Denn zusätzlich zum eigentlichen Lösegeld können diese Angriffe weitere hohe Kosten verursachen: Betriebsunterbrechung, Kosten für die Behebung und eine geschädigte Marke.