Was ist Ransomware?

Ransomware ist eine Art von Malware, die den Zugang zu einem Computersystem oder zu Daten so lange blockiert (in der Regel durch Verschlüsselung), bis das Opfer dem Angreifer ein Lösegeld zahlt. In vielen Fällen ist die Lösegeldforderung mit einer Frist verbunden. Wenn das Opfer nicht rechtzeitig zahlt, sind die Daten für immer verloren.

Ransomware-Angriffe sind heutzutage an der Tagesordnung und große Unternehmen sind ihnen in Nordamerika und Europa gleichermaßen zum Opfer gefallen. Es ist beliebig, welche Opfer Cyberkriminelle angreifen, denn es sind sowohl Verbraucher als auch Unternehmen aus allen Branchen betroffen.

Mehrere Regierungsbehörden, darunter auch das FBI, sowie das No-More-Ransom-Projekt raten davon ab, das Lösegeld zu zahlen, um den Ransomware-Zyklus nicht zu fördern. Zudem wird die Hälfte der Opfer, die das Lösegeld gezahlt haben, wiederholt Opfer eines Ransomware-Angriffes.

Ransomware kann bis 1989 zurückverfolgt werden, als das HIV-Virus dazu benutzt wurde, Gelder von den Empfängern der Ransomware zu erpressen. Die Zahlungen für diesen Angriff wurden per Post nach Panama geschickt, woraufhin das Opfer einen Entschlüsselungscode erhielt.

1996 wurde Ransomware unter dem von Moti Yung und Adam Young von der Columbia University eingeführten Begriff „kryptovirale Erpressung“ bekannt. Diese in der akademischen Welt geborene Idee versuchte, den Fortschritt und die Stärke moderner kryptographischer Tools verdeutlichen.

Young und Yung stellten 1996 den ersten kryptoviralen Angriff auf der IEEE-Konferenz für Sicherheit und Datenschutz vor. Ihr Virus enthielt den öffentlichen Schlüssel des Angreifers und verschlüsselte die Dateien des Opfers. Die Malware forderte das Opfer dann auf, einen asymmetrischen Chiffretext an den Angreifer zu senden, um den Entschlüsselungscode zu entziffern und zurückzugeben – gegen ein Lösegeld.

Die Angreifer sind im Laufe der Jahre kreativ geworden und verlangen Zahlungsmethoden, die kaum zurückverfolgt werden können und den Cyberkriminellen dabei helfen, anonym zu bleiben. Zum Beispiel verlangt die berüchtigte mobile Ransomware „Fusob“ von den Opfern, mit Apples iTunes-Geschenkkarten statt mit normalen Währungen wie Dollar zu bezahlen.

Ransomware-Angriffe gewannen mit der zunehmenden Verbreitung von Kryptowährungen wie Bitcoin an Popularität. Eine Kryptowährung ist eine digitale Währung, die Verschlüsselungstechniken verwendet, um Transaktionen zu verifizieren, zu sichern und die Schaffung neuer Einheiten zu kontrollieren. Neben Bitcoin fordern Angreifer oftmals auch andere populäre Kryptowährungen, wie Ethereum, Litecoin und Ripple.

Ransomware hat schon Organisationen in fast jedem Bereich getroffen. Einer der bekanntesten Angriffe war der auf das Presbyterian Memorial Hospital, der die potenziellen Schäden und Risiken von Ransomware verdeutlichte. Labore, Apotheken und Notaufnahmen wurden angegriffen.

Cyberkriminelle, die Social Engineering einsetzen, sind im Laufe der Zeit immer innovativer geworden. The Guardian schrieb über eine Situation, in der neue Ransomware-Opfer nicht nur ein Lösegeld zahlen sollten, um ihre Daten zu entschlüsseln; sie wurden auch aufgefordert, zwei weitere Benutzer den Link installieren zu lassen.

Die zunehmende Verbreitung von Ransomware hat dazu geführt, dass Ransomware-Angriffe immer komplexer wurden.

• Scareware: Diese weit verbreitete Art von Ransomware täuscht Nutzer, indem sie eine gefälschte Warnmeldung anzeigt, in der behauptet wird, auf dem Computer des Opfers sei Schadsoftware entdeckt worden. Diese Angriffe werden oft als Antivirenlösung getarnt, die eine Zahlung für die Entfernung der nicht vorhandenen Malware verlangt.
• Bildschirmsperren: Diese Programme sollen das Opfer von seinem Computer aussperren und ihn so daran hindern, auf Dateien oder Daten zuzugreifen. In der Regel wird eine Meldung angezeigt, die eine Zahlung zum Entsperren verlangt.
• Verschlüsselnde Ransomware: Diese sehr häufige Art von Ransomware wird auch „Crypto-Ransomware“ genannt und verschlüsselt die Dateien des Opfers. Gegen eine Zahlung wird die Aushändigung des Entschlüsselungsschlüssels versprochen.
• DDoS-Erpressung: Eine Distributed-Denial-of-Service-(DDoS)-Erpressung droht damit, einen DDoS-Angriff auf die Website oder das Netzwerk des Opfers zu starten, sofern keine Lösegeldzahlung geleistet wird.
• Mobile Ransomware: Wie der Name schon sagt, zielt mobile Ransomware auf mobile Geräte wie Smartphones und Tablets ab und verlangt eine Zahlung, um das Gerät zu entsperren oder die Daten zu entschlüsseln.
• Doxware: Diese hochentwickelte Art von Ransomware ist zwar seltener, hat es aber in sich, denn sie droht mit der Veröffentlichung sensibler, expliziter oder vertraulicher Informationen vom Computer des Opfers, sofern kein Lösegeld gezahlt wird.
• Ransomware-as-a-Service (RaaS): Cyberkriminelle bieten ihre Ransomware-Software anderen Hackern oder Cyberangreifern als Dienstleistung an, damit sie damit ihre Opfer angreifen können.

Dies sind nur einige der häufigsten Arten von Ransomware. Indem sie sich an neue Cybersicherheitsstrategien anpassen, wenden sich Cyberangreifer neuen und innovativen Methoden zu, um Schwachstellen auszunutzen und in Computersysteme einzudringen.

Die folgenden Informationen über die größten Ransomware-Angriffe geben Organisationen eine solide Grundlage, um die Taktiken, Exploits und Merkmale von Ransomware-Angriffen zu verstehen. Zwar gibt es nach wie vor Unterschiede, was den Code, die Ziele und Funktionen angeht, doch Innovationen im Bereich Ransomware erfolgt in der Regel nur schrittweise.

• WannaCry: Hier wurde ein leistungsstarker Microsoft-Exploit genutzt, um einen weltweit agierenden Ransomware-Wurm zu schaffen, der über 250.000 Systeme infizierte, bevor ein Killswitch seine Ausbreitung stoppte. Proofpoint war an der Auffindung des Musters beteiligt, mit dem der Killswitch identifiziert wurde, sowie an der Dekonstruktion der Ransomware selbst. Erfahren Sie mehr über die Beteiligung von Proofpoint am Aufhalten von WannaCry.
• CryptoLocker: Diese Ransomware ist eine der ersten der aktuellen Generation. Sie forderte eine Kryptowährung (Bitcoin) für die Zahlung und verschlüsselte die Festplatte des Benutzers und die angeschlossenen Netzlaufwerke. Cryptolocker wurde über eine E-Mail mit einem Anhang verbreitet, der vorgab, eine FedEx- und UPS-Trackingbenachrichtigung zu sein. 2014 wurde für diese Ransomware ein Entschlüsselungstool veröffentlicht, aber verschiedene Berichte deuten darauf hin, dass die Angreifer bis dahin mithilfe von CryptoLocker über 27 Millionen Dollar erpresst haben.
• NotPetya: NotPetya gilt als einer der schädlichsten Ransomware-Angriffe und verwendete Taktiken seines Namensvetters Petya, wie z. B. das Infizieren und Verschlüsseln des Master Boot Records eines Microsoft-Windows-basierten Systems. NotPetya nutzte für die schnelle Verbreitung die gleiche Schwachstelle wie WannaCry, und verlangte eine Zahlung in Bitcoin, um die Änderungen rückgängig zu machen. NotPetya wurde von einigen als „Wiper“ eingestuft, da die Änderungen am Master-Boot-Record nicht rückgängig gemacht werden können und das Zielsystem nicht wiederhergestellt werden kann.
• Bad Rabbit: Diese Ransomware wird als Cousin von NotPetya betrachtet und nutzte einen ähnlichen Code und ähnliche Exploits, um sich zu verbreiten. Bad Rabbit zielte anscheinend auf Russland und die Ukraine ab und traf dort vor allem Medienunternehmen. Im Gegensatz zu NotPetya konnte Bad Rabbit entschlüsselt werden, wenn das Lösegeld bezahlt wurde. Die meisten Fälle deuten darauf hin, dass die Ransomware über ein gefälschtes Flash-Player-Update verbreitet wurde.
• REvil: REvil wurde von einer Gruppe finanziell motivierter Angreifer entwickelt. Es filtert bestimmte Daten vor der Verschlüsselung heraus, um Opfer gezielt zu erpressen und zur Zahlung zu zwingen, wenn sie sich gegen die Zahlung des Lösegelds entscheiden. Der erste Angriff ging auf eine kompromittierte IT-Verwaltungssoftware, Kaseya, zurück, die zum Patchen der Windows- und Mac-Infrastruktur verwendet wurde. Die Gruppe kompromittierte Kaseya und schleuste so die REvil-Ransomware in Unternehmenssysteme ein.
• Ryuk: Ryuk ist eine Ransomware-Anwendung, die manuell verbreitet wird, hauptsächlich durch Spear-Phishing. Die Zielpersonen werden mithilfe vorausgehender Recherchen sorgfältig ausgewählt. Dann senden Angreifer E-Mail-Nachrichten an ausgewählte Opfer und verschlüsseln dann alle auf dem infizierten System gehosteten Dateien.

Auch wenn das Volumen an Ransomware-Angriffen von Jahr zu Jahr schwankt, zählt diese Art Cyberangriff nach wie vor zu den häufigsten und kostspieligsten Angriffen auf Unternehmen. Aktuelle Statistiken über Ransomware-Angriffe sind für Unternehmen ein alarmierender Aufruf zum Handeln, der sie dazu bewegen sollte, ihre Cybersicherheitsmaßnahmen zu verstärken und das Sicherheitsbewusstsein ihrer Mitarbeiter zu schulen.

• Laut dem Bericht „The State of Ransomware 2022“ von Sophos waren im Jahr 2021 66 % der Unternehmen von Ransomware-Angriffen betroffen, ein dramatischer Anstieg von 78 % im Vergleich zum Jahr 2020.
• Im „State of the Phish“-Bericht 2023 von Proofpoint gaben 64 % der befragten Unternehmen an, im Jahr 2022 von Ransomware betroffen gewesen zu sein, und mehr als zwei Drittel dieser Gruppe meldeten gleich mehrere Vorfälle. Experten gehen jedoch davon aus, dass die tatsächliche Zahl der Vorfälle und die Höhe der damit verbundenen Schäden im vergangenen Jahr viel höher war als gemeldet.
• Mit einer Lösegeldzahlungsrate von 85 % ist die Gesundheitsbranche nach wie vor der am stärksten von Ransomware betroffene Sektor. Dem Ransomware-Bericht von BlackFog 2022 zufolge verzeichneten jedoch Bildungseinrichtungen den größten Anstieg bei Ransomware-Angriffen (28 % im Jahr 2021).
  
  Windows-Systeme stellten die überwiegende Mehrheit der betroffenen Systeme dar und waren laut dem VirusTotal-Dienst von Google für 95 % der Ransomware-Angriffe verantwortlich.
• Laut Cybersecurity Ventures werden Ransomware-Angriffe ihren Opfern bis 2031 voraussichtlich einen jährlichen Schaden von insgesamt über 265 Milliarden US-Dollar verschaffen.Die folgende Ransomware-Statistik veranschaulicht die wachsende Epidemie und die Milliarden, die sie den Opfern gekostet hat. Schauen Sie auch auf unser Informationsportal zum Thema Ransomware, um über die neuesten Statistiken zu Ransomware auf dem Laufenden zu bleiben.

Aktuellen Statistiken zufolge zeichnen sich neue Ransomware-Trends ab. Zu den bemerkenswertesten Trends gehören:

• Mehr globalisierte Bedrohungen
• Gezieltere und ausgefeiltere Angriffe
• Zunahme mehrstufiger Erpressungstechniken
• Höhere Frequenz von Ransomware-Angriffen
• Lösegeldpreise haben sich angesichts der verbesserten Sicherheitslage stabilisiert.

Staatliche Interventionen sind ein weiterer wichtiger Trend, der den Umgang mit Ransomware-Angriffen verändern könnte. Gartner prognostiziert, dass 30 % aller Regierungen weltweit bis 2025 Gesetze zur Zahlung von Ransomware erlassen werden.

Auch der durchschnittliche Rabatt auf Ransomware-Zahlungen scheint zu steigen. Basierend auf den neuesten Ransomware-Trends können Opfer mit einem Rabatt von 20 bis 25 % auf Lösegeldzahlungen rechnen, einige sogar mit Rabatten von bis zu 60 %.

Ransomware ist eine Art von Malware, die ihre Opfer daran hindert, auf ihre Daten zuzugreifen, um Geld von ihnen zu erpressen. Die beiden am weitesten verbreiteten Arten von Ransomware sind Verschlüsselungsprogramme und Bildschirmsperren. Verschlüsselungsprogramme verschlüsseln, wie der Name schon sagt, Daten auf einem System, sodass der Inhalt ohne den Entschlüsselungscode nutzlos wird. Bildschirmsperren hingegen blockieren einfach den Zugriff auf das System mit einem „Sperrbildschirm“ und behaupten, dass das System verschlüsselt sei.

Abbildung 1: Beispiel für den Versuch von Ransomware, ein Opfer zur Installation zu verleiten.

Opfer werden oft auf einem Sperrbildschirm darüber informiert, dass sie eine Kryptowährung wie Bitcoin kaufen müssen, um das Lösegeld zu bezahlen (Sperrbildschirme sind sowohl bei Verschlüsselungsprogrammen als auch bei Bildschirmsperren üblich). Sobald das Lösegeld bezahlt ist, erhalten die Opfer den Entschlüsselungscode und können versuchen, ihre Dateien zu entschlüsseln. Die Entschlüsselung ist dabei nicht garantiert und mehrere Quellen berichten von unterschiedlichem Erfolg nach Zahlung des Lösegelds. Manchmal erhalten die Opfer den Code nie und es kommt auch vor, dass Malware auf dem Computersystem installiert wird, obwohl das Lösegeld bezahlt und die Daten freigegeben wurden.

Ursprünglich konzentrierten sich Ransomware-Angriffe vor allem auf persönliche Computer. Heute werden zunehmend Unternehmen angegriffen, da diese oft mehr für die Freischaltung kritischer Systeme und die Wiederaufnahme des täglichen Betriebs zahlen als Einzelpersonen.

Ransomware-Angriffe auf Unternehmen beginnen in der Regel mit einer schädlichen E-Mail. Ein ahnungsloser Benutzer öffnet einen Anhang oder klickt auf eine URL, die schädlich ist oder kompromittiert wurde.

Zu diesem Zeitpunkt wird ein Ransomware-Agent installiert und beginnt mit der Verschlüsselung wichtiger Dateien auf dem PC des Opfers und allen angehängten Dateifreigaben. Nach der Verschlüsselung der Daten zeigt die Ransomware eine Nachricht auf dem infizierten Gerät an, in der erklärt wird, was geschehen ist und wie die Angreifer zu bezahlen sind. Die Ransomware verspricht, dass die Opfer einen Code zum Entsperren ihrer Daten erhalten, wenn Sie das geforderte Geld zahlen.

Jedes mit dem Internet verbundene Gerät läuft Gefahr, das nächste Opfer von Ransomware zu werden. Ransomware scannt ein lokales Gerät und alle mit dem Netzwerk verbundenen Speicher, was bedeutet, dass ein anfälliges Gerät das ganze lokale Netzwerk zu einem potenziellen Opfer machen kann.

Handelt es sich bei dem lokalen Netzwerk um ein Unternehmensnetzwerk, könnte die Ransomware wichtige Dokumente und Systemdateien verschlüsseln, wodurch Dienste und Produktivität beeinträchtigt werden könnten.

Immer, wenn ein Gerät eine Verbindung zum Internet herstellt, sollte es mit den neuesten Software-Sicherheitspatches aktualisiert sein und eine Anti-Malware-Software installiert haben, die Ransomware erkennt und stoppt. Veraltete Betriebssysteme wie Windows XP, die nicht mehr gewartet werden, sind einem viel höheren Risiko ausgesetzt.

Ein Unternehmen, das Opfer von Ransomware wird, kann tausende Euros an Produktivität und Daten verlieren. Angreifer mit Zugang zu Unternehmensdaten können ihre Opfer zur Zahlung des Lösegelds erpressen, indem sie damit drohen, interne Informationen herauszugeben und die Datenverletzung öffentlich zu machen. Unternehmen, die nicht schnell genug zahlen, könnten zusätzliche Nebenwirkungen wie Markenschäden und Rechtsstreitigkeiten erleiden.

Da Ransomware die Produktivität stoppt, ist der erste Schritt die Eindämmung. Nach der Eindämmung kann die Organisation entweder aus Backups wiederherstellen oder das Lösegeld zahlen. Strafverfolgungsbehörden werden in die Ermittlungen einbezogen, aber die Ransomware-Urheber aufzuspüren erfordert Zeit, die die Wiederherstellung verzögert.

Durch eine Ursachenanalyse wird die Schwachstelle identifiziert, doch etwaige Verzögerungen bei der Wiederherstellung wirken sich negativ auf die Produktivität und den Geschäftsumsatz aus.

Da immer mehr Menschen von zu Hause aus arbeiten, setzen Bedrohungsakteure verstärkt auf Phishing. Phishing ist ein primärer Ausgangspunkt für eine Ransomware-Infektion. Phishing-E-Mails zielen auf Mitarbeiter ab; das gilt sowohl für Nutzer mit niedrigen als auch mit hohen Berechtigungen. E-Mail ist kostengünstig und einfach zu verwenden, was es Angreifern erleichtert, Ransomware zu verbreiten.

Dokumente werden in der Regel per E-Mail weitergegeben, sodass sich Nutzer keine Gedanken darüber machen, eine Datei in einem E-Mail-Anhang zu öffnen. Enthält eine solche Datei ein bösartiges Makro und wird dieses ausgeführt, lädt es Ransomware auf das lokale Gerät herunter und startet dann seine Payload.

Die Leichtigkeit, mit der sich Ransomware per E-Mail verbreiten lässt, ist der Grund dafür, dass es sich um einen sehr häufigen Malware-Angriff handelt.

Die Verfügbarkeit von Malware-Kits hat ebenfalls zum Anstieg an Ransomware-Angriffen beigetragen. Diese Exploit-Kits scannen Geräte auf Software-Schwachstellen und setzen zusätzliche Malware ein, um ein Gerät weiter zu infizieren, wobei bei Bedarf Malware-Samples erstellt werden. Der Trend zu Malware-as-a-Service hat die Beliebtheit dieser Kits ebenfalls gesteigert.

Bei raffinierten Angriffen schreiben Entwickler möglicherweise ihre eigene Version der jeweiligen Ransomware. Diese Varianten nutzen die Codebasis einer vorhandenen Ransomware-Software und ändern gerade so viele Features, dass sich Payload und Angriffsmethode ändern. Ransomware-Entwickler können auf diese Weise ihre Malware so anpassen, dass sie jede beliebige Aktion ausführt und einen bevorzugten Verschlüsselungscode verwendet.

Angreifer sind jedoch nicht immer auch die Autoren der Ransomware. Einige Ransomware-Autoren verkaufen ihre Software an andere oder vermieten sie zur Nutzung. Ransomware kann als Malware-as-a-Service (MaaS) geleast werden, bei der sich Kunden über ein Dashboard authentifizieren und ihre eigene Kampagne starten. Daher sind Angreifer nicht immer Programmierer und Malware-Experten. Es kann sich auch um Einzelpersonen handeln, die die Software nur gemietet haben.

Nachdem Ransomware die Dateien verschlüsselt hat, zeigt sie dem Nutzer eine Meldung an, in der sie die Verschlüsselung der Dateien und die Höhe des Lösegelds ankündigt. In der Regel wird dem Opfer eine bestimmte Zahlungsfrist gesetzt, ab der sich das Lösegeld erhöht. Angreifer drohen auch damit, Unternehmen zu enttarnen und öffentlich bekannt zu geben, dass sie Opfer von Ransomware geworden sind.

Das größte Risiko bei der Zahlung des Lösegelds besteht darin, niemals die Schlüssel zum Entschlüsseln der Daten zu erhalten. Die meisten Experten raten davon ab, das Lösegeld zu zahlen, damit Angreifern der Wind aus den Segeln genommen wird. Zahlt niemand mehr, haben Ransomware-Angreifer keinen finanziellen Vorteil.

Viele Organisationen sehen sich jedoch zur Zahlung gezwungen. Dazu kommt, dass Ransomware-Autoren normalerweise verlangen, das Lösegeld in Form einer Cryptowährung zu erhalten, was bedeutet, dass die Überweisung nicht rückgängig gemacht werden kann.

Die Payload der Ransomware wirkt sofort. Die Malware zeigt dem Nutzer eine Nachricht mit Zahlungsanweisungen und Informationen darüber an, was mit den Dateien passiert ist. Administratoren müssen dann schnell reagieren, da sich die Ransomware möglicherweise noch ausbreitet und andere Netzwerkstandorte nach kritischen Dateien durchsucht.

Sie können ein paar grundlegende Schritte unternehmen, um richtig auf Ransomware zu reagieren. Beachten Sie jedoch, dass für Ursachenanalyse, Bereinigung und Untersuchungen in der Regel das Eingreifen eines Experten erforderlich ist.

• Bestimmen Sie, welche Systeme betroffen sind. Sie müssen diese Systeme isolieren, damit sie den Rest der Umgebung nicht infizieren können. Dieser Schritt ist Teil der Eindämmung, um Schäden an der Umgebung zu minimieren.
• Systeme vom Internet trennen und bei Bedarf herunterfahren. Ransomware verbreitet sich schnell im Netzwerk, daher müssen alle Systeme durch Deaktivieren des Netzwerkzugriffs oder Herunterfahren vom Netzwerk getrennt werden.
• Priorisieren Sie die Wiederherstellung kritischer Systeme. Dadurch wird sichergestellt, dass die wichtigsten Daten zuerst wieder in den Normalzustand versetzt werden. Typischerweise basiert die Priorität auf der Produktivität und den Auswirkungen auf den Umsatz.
• Entfernen Sie die Bedrohung aus dem Netzwerk. Angreifer könnten Hintertüren zurücklassen, daher muss die Beseitigung von einem vertrauenswürdigen Experten durchgeführt werden. Der Experte benötigt dafür Zugriff auf Logs, um eine Ursachenanalyse durchzuführen, die die Schwachstelle und alle betroffenen Systeme identifiziert.
• Lassen Sie die Umgebung von einer Fachperson auf mögliche Sicherheitsverbesserungen überprüfen. Es kommt häufig vor, dass ein Ransomware-Opfer das Ziel eines zweiten Angriffs wird. Unentdeckte Schwachstellen können dabei erneut ausgenutzt werden.

Autoren ändern den Code ständig in neue Varianten, um einer Entdeckung zu entgehen. Administratoren und Anti-Malware-Entwickler müssen mit diesen neuen Methoden Schritt halten, um Bedrohungen schnell zu erkennen, bevor sie sich im Netzwerk verbreiten.

Hier sind einige dieser neuen Bedrohungen:

• DLL-Side-Loading: Diese Malware versucht, einer Erkennung zu entgehen, indem sie DLLs und andere Dienste verwendet, die wie legitime Features aussehen.
• Webserver als Ziele: Malware in einer Shared-Hosting-Umgebung kann sich auf alle auf dem Server gehosteten Websites auswirken. Ransomware wie Ryuk zielt hauptsächlich über Phishing-E-Mails auf gehostete Websites ab.
• Spear-Phishing wird dem Standard-Phishing vorgezogen. Anstatt Malware an Tausende von Zielen zu senden, suchen Angreifer gezielt nach potenziellen Opfern mit hochprivilegiertem Netzwerkzugriff.
• Mit Ransomware-as-a-Service (RaaS) können Nutzer Angriffe starten, ohne über Cybersicherheitskenntnisse zu verfügen. Die Einführung von RaaS hat zu einer Zunahme von Ransomware-Angriffen geführt.

Eine Hauptursache für die Zunahme von Bedrohungen durch Ransomware ist Remote-Arbeit. Die Pandemie führte weltweit zu einer neuen Art zu arbeiten. Eine Belegschaft, die von zu Hause arbeitet, ist viel anfälliger für Bedrohungen, denn Heimanwender verfügen nicht über das Cybersicherheitslevel, das sie im Büro hätten. Vor raffinierten Angriffen sind sie deshalb nicht ausreichend geschützt.

Viele dieser Nutzer nutzen außerdem auch ihre persönlichen Geräte für die Arbeit. Da Ransomware das Netzwerk nach anfälligen Geräten durchsucht, können mit Malware infizierte Privatcomputer auch alle mit dem Netzwerk verbundene Unternehmenscomputer infizieren.

Ransomware lässt sich verhindern, indem Sie Backups einrichten und testen sowie Ransomware-Schutz in Sicherheitstools anwenden. Sichere E-Mail-Gateways sind die erste Verteidigungslinie, während Endpunkte eine sekundäre Verteidigung darstellen. Intrusion-Detection-Systeme (IDS) werden manchmal zur Erkennung von Ransomware eingesetzt, um vor einem Aufruf eines Ransomware-Systems an einen Kontrollserver zu warnen. Benutzerschulungen sind wichtig, aber die Benutzerschulung ist nur eine von mehreren Verteidigungsebenen zum Schutz vor Ransomware, und sie kommt erst nach der Zustellung von Ransomware per Phishing ins Spiel.

Eine Vorsichtsmaßnahme für den Fall, dass alle anderen präventiven Verteidigungsmaßnahmen gegen Ransomware versagen, ist, sich einen Vorrat an Bitcoin anzuschaffen. Dies ist jedoch eher dann relevant, wenn Kunden oder Partner des betroffenen Unternehmens unmittelbar geschädigt werden könnten. Krankenhäuser und das Gastgewerbe sind hier einem besonderen Risiko ausgesetzt, da das Leben von Patienten betroffen sein könnte oder Menschen ausgesperrt werden können.

Vor dem Angriff: Ransomware verhindern

• Schützen Sie Ihre E-Mails: Ransomware verbreitet sich hauptsächlich per Phishing-Mails oder Spam. Sichere E-Mail Gateways mit gezieltem Angriffsschutz sind entscheidend für die Erkennung und Blockierung schädlicher E-Mails, die Ransomware verbreiten. Diese Lösungen schützen vor schädlichen Anhängen, schädlichen Dokumenten und URLs in E-Mails, die an die Computer der Benutzer gesendet werden.
• Schützen Sie Ihre Mobilgeräte: Produkte zum Schutz vor mobilen Angriffen können in Verbindung mit MDM-Tools (Mobile Device Management) Anwendungen auf den Geräten der Benutzer analysieren und Benutzer und die IT-Abteilung sofort vor Anwendungen warnen, die die Umgebung gefährden könnten.
• Schützen Sie Ihr Surfen im Web: Sichere Web-Gateways scannen den Web-Datenverkehr von Benutzern, um bösartige Web-Anzeigen zu identifizieren, die sie zu Ransomware führen könnten.
• Überwachen Sie Ihre Server und Ihr Netzwerk, und sichern Sie wichtige Systeme: Monitoring-Tools können ungewöhnliche Dateizugriffsaktivitäten, Viren, Netzwerk-C&C-Traffic und CPU-Lasten erkennen – möglicherweise rechtzeitig, um die Aktivierung von Ransomware zu blockieren. Eine vollständige Image-Kopie wichtiger Systeme vorzuhalten, kann das Risiko verringern, dass ein abgestürzter oder verschlüsselter Rechner einen entscheidenden operativen Engpass verursacht.

Nach dem Angriff: Ransomware entfernen und Daten wiederherstellen

• Verständigen Sie die nationale und lokale Strafverfolgungsbehörde: Genauso wie sich jemand bei der Entführung einer Person an die Behörden wenden würde, muss im Falle eines Ransomware-Angriffs dasselbe Büro verständigt werden. Deren forensische Techniker können sicherstellen, dass Systeme nicht auf andere Weise kompromittiert werden, Informationen sammeln, um Organisationen in Zukunft besser zu schützen, und versuchen, die Angreifer ausfindig zu machen.
• Informieren Sie sich über Anti-Ransomware-Ressourcen: Das „No More Ransom“-Portal und „Bleeping Computer“ haben Tipps, Vorschläge und sogar einige Entschlüsselungscodes für bestimmte Ransomware-Angriffe.
• Stellen Sie Ihre Daten wieder her: Wenn sich Unternehmen an die bewährten Verfahren halten und System-Backups aufbewahren, können sie ihre Systeme wiederherstellen und den normalen Betrieb wieder aufnehmen.