Mit Ransomware werden jährlich Millionen erpresst. Die Programme sind deswegen so erfolgreich, weil es gegen sie keinen hundertprozentigen Schutz gibt. Doch ganz hilflos sind User dank der richtigen Hilfe nicht.
Ransomware hat im Mai 2022 Kärnten lahmgelegt. Ein Erpresserprogramm verschlüsselte die Computer der Landesverwaltung. Für ein Lösegeld von fünf Millionen Dollar hätten die Verbrecher:innen hinter der Aktion die Computer wieder freigegeben. Wie die Schadsoftware auf die Rechner gekommen ist, ist noch unklar. Klar ist aber, dass die Gefahr solcher Angriffe in den vergangenen Jahren enorm zugenommen hat.
Das belegt der Ransomware Report 2022 von Sophos. Ein britisches Unternehmen aus dem Bereich der Sicherheitssoftware. Für die Studie befragte die Firma 5.600 IT-Entscheider:innen aus 31 Ländern. Zwei Drittel hatten mit Ransomware-Angriffen zu kämpfen. Bei 65 Prozent davon führten die Angriffe – wie in Kärnten – zu Datenverschlüsselungen.
Was macht eine Ransomware?
Bei Ransomware handelt es sich um Schadprogramme. Sie sperren den Computer des Opfers oder verschlüsseln Daten, die darauf gespeichert sind. Üblicherweise wird außerdem per Botschaft Geld erpresst. Ransom ist nämlich auch das englische Wort für Lösegeld. Gegen Zahlung würden die betroffenen Rechner wieder freigegeben, versprechen die Hacker:innen.
Wie hoch die Lösegeldforderungen ausfallen, ist von Branche zu Branche unterschiedlich. Die höchsten Forderungen werden üblicherweise an Industriebetriebe aus der Fertigung und Versorgung geschickt. Sophos hat hier ein durchschnittliches Lösegeld von zwei Millionen US-Dollar errechnet. Am günstigsten kommt das Gesundheitswesen davon, hier sind es nur 197.000 Dollar. Jedes fünfte Ransomware-Opfer zahlt laut der Sophos-Umfrage weniger als 1.000 Dollar.
Warum ist Ransomware so gefährlich?
Ransomware ist vor allem deswegen gefährlich, weil sensible Daten verloren gehen können. Dazu dauert es im Schnitt vier Wochen, bis das System komplett wiederhergestellt ist, rechnet Sophos weiter vor. Zum finanziellen Schaden durch die Erpressung kommen also auch noch Produktionsausfälle, Umsatzeinbußen und die Kosten für die Behebung des Schadens. Ganz zu schweigen von einem möglichen Imageverlust bei Bekanntwerden des Angriffs.
Bei Ransomware kommen die Angriffe außerdem vom inneren des IT-Systems. Denn die Hacker:innen verschicken die Schadsoftware per E-Mail-Anhang oder Datenaustauschsystem wie Dropbox. Nach dem Öffnen des Anhangs – beispielsweise eine ZIP-Datei – verbreitet sich die Erpressungssoftware. Aufgrund dieses Vorgehens werden die Programme auch Verschlüsselungstrojaner genannt.
Wie erkennt man Ransomware?
Ransomware zu erkennen, ist schwer. Wenn User:innen sich fragen, ob ihr Computer von einer Ransomware befallen ist, ist es meist schon zu spät. Es sei denn, das Virenschutzprogramm konnte rechtzeitig eingreifen. Wahrscheinlich stammt die Schadsoftware aus einem E-Mail-Anhang, einer Flash-Anwendung oder einem Skript einer unseriösen Website.
Sollte es tatsächlich eine Erpressersoftware auf den Rechner geschafft haben, erkennen User:innen das sehr schnell. Manche Programme erzwingen beispielsweise einen Neustart. Nach dem Hochfahren ist der Rechner dann gesperrt. Andere verschlüsseln die Daten auf dem Rechner, sodass der Anwender nicht mehr darauf zugreifen kann.
Doch es gibt auch Ransomware, die sich subtiler bemerkbar macht. Hinweise, dass der Rechner infiziert sein könnte, sind:
- Rechner startet sich selbst neu oder stürzt öfters ab.
- Die Startseite beim Browser hat sich geändert.
- Es erscheinen bisher unbekannte Pop-up-Fenster.
- Das System arbeitet spürbar langsamer.
- Bei einer Verbindung mit dem Internet kommt es zu selbstständigen Up- oder Downloads.
- User:innen können nicht mehr auf bestimmte Ordner oder Datenträger zugreifen.
- Programme können nicht mehr ordentlich geöffnet oder verwendet werden.
Was kann man gegen Ransomware tun?
Gegen Ransomware hilft vor allem Präventionsarbeit. Geschulte Mitarbeiter:innen erkennen schädliche Anhänge. Net Professionals beispielsweise kann die Beschäftigten so sensibilisieren, dass sie verdächtige Anhänge, Programme und Websites erkennt. So werden sie gar nicht erst geöffnet und installiert. Sollte es dennoch passieren, muss sofort die IT-Abteilung oder der entsprechende Dienstleister kontaktiert werden.
Denn erkannte Ransomware zu entfernen, ist nicht leicht. Am meisten Erfolg verspricht es, den Computer neu aufzusetzen. Damit ist allerdings nicht nur die Erpressersoftware weg, sondern auch alle Daten, die eigentlich vor den Erpressern geschützt werden sollten. Eine zweite Möglichkeit wäre es, ein Backup auf den Rechner zu spielen. Auch hier spielt die Prävention eine wichtige Rolle. Denn diese Backups müssen regelmäßig durchgeführt werden, ohne dabei eine mögliche Ransomware mit abzuspeichern. Regelmäßige Wiederherstellungstests spielen hier ebenfalls eine bedeutende Rolle.
Ebenfalls hilfreich im Kampf gegen Ransomware ist ein Monitoring des File-Servers. So ist es möglich, herauszufinden, woher im System die Ransomware kommt. Welche:r User:in also aus Versehen, die eigenen Daten verschlüsselt hat. Das kann helfen, die Erpressersoftware einzugrenzen und den Schaden zu minimieren. Wie sich solch ein Monitoring bei Ihrem IT-System umsetzen ließe, erklärt Net Professionals gerne in einer individuellen Beratung.
Was tun, wenn man Ransomware auf dem Computer hat?
User:innen, die von Ransomware betroffen sind, dürfen nicht hektisch werden. Expert:innen raten vor allem dazu, nicht die Lösegeldforderungen zu bezahlen. Die Erfahrung habe gezeigt, dass viele der Hacker gar keine Möglichkeit einbauen, das System und die Daten wieder freizugeben. Betroffene sollten grundsätzlich Anzeige bei der Polizei erstatten. Sie kann Sicherheitsexpert:innen wie das Government Computer Emergency Response Team (GovCERT Austria) einschalten.
Gegen Ransomware gibt es keinen hundertprozentigen Schutz. Aber eine individuelle Beratung, die Schulung der Mitarbeiter:innen und professionelle Backups minimieren die Gefahr eines finanziellen Schadens. Bei all diesen Dingen kann Net Professionals helfen.
