Ransomware, was kann man tun? Wie kann man sich davor schützen?

Ransomware, auch Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner genannt, sind Schadprogramme, mit deren Hilfe ein Eindringling eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirkt. Dabei werden private Daten auf einem fremden Computer verschlüsselt. Oder es wird der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein „Lösegeld“ zu fordern.

Die Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.).
(Definition Ransomware wikipedia 26.03.2017)

Was tun, wenn es passiert ist?

Sollte der Fall der Fälle eintreten, wird von den meisten Behörden und IT-Experten empfohlen, das infizierte Client-System sofort auszuschalten.
In Unternehmensnetzwerken sollte zudem noch sofort der jeweilige IT-Ansprechpartner kontaktiert werden, da auch eine Infektion von weiteren Systemen möglich ist.
Das infizierte Gerät sollte nach der Infektion nur von einem IT-Experten weiter begutachtet werden.

Warum der Aufwand? Warum nicht einfach zahlen?

Durch eine Zahlung an den Täter werden diese Machenschaften nur weiter gefördert, und eine Wiederherstellung der Daten ist selbst nach Bezahlung des Lösegeldes nicht gewährleistet.
Deswegen lautet die Empfehlung des Deutschen Bundesamts für Sicherheit in der Informationstechnik:„ Angemessen vorsorgen, im Schadensfall auf die Vorbereitungen zurückgreifen und NICHT zahlen.“

Wie kann man sich schützen?

Die meisten Infektionen entstehen durch eine direkte Benutzerinteraktion. Speziell in der E-Mail-Kommunikation sind auf die Absender-E-Mailadressen / verwendete Texte und Anhang-Typen zu achten. Rechnungen werden z.B. nie als Word-Dokument versendet sondern nur in einem Austausch-Format wie PDF. Ebenso werden auch gerne ZIP-Archive zur Maskierung von Ransomware z.B. als Bewerbungsmappe verwendet.

Leider wird die Qualität der gefälschten E-Mails immer besser und daher sind schon kleine Fehler verdächtig.

Lieber einmal mehr beim E-Mail-Absender nachzufragen, ist besser als eine Infektion durch Öffnen eines Anhangs aus Neugierde zu riskieren.

Allgemein empfiehlt sich hier eine Weiterbildung im Bereich der Verwendung der E-Mail-Kommunikation und der Bedeutung von verschiedenen Dateitypen.

Eine kurze Empfehlungsliste von einfachen Maßnahmen zum Schutz und Prävention:

  • Regelmäßige Aktualisierung des Betriebssystems und der installierten Software
  • Regelmäßige Durchführung von Sicherungen der Daten und Systeme
  • Sicherheitsoptimierung von installierten Programmen (z.B. Makro-Ausführung)
  • Verwendung von SPAM und Anti-Virus Funktionen in der E-Mail-Kommunikation
  • Minimierung der Benutzerrechte und Verwendung von eigenen Administrationsbenutzern

Dies ist nur eine kurze Liste als Denkanstoß, konkrete Maßnahmen müssen auf die jeweilige Verwendung der IT abgestimmt werden.

Weitere Möglichkeiten werden sehr ausführlich in den Themenpapieren des Deutschen Bundesamts für Sicherheit in der Informationentechnik behandelt. Sie sind speziell für die Verantwortlichen relevant.

Weiterführende Links:

– Schwerpunktseite des österreichischen Bundesministeriums für Inneres zum Thema  „Betrugsformen im Internet“
http://www.bmi.gv.at/cms/BK/betrug/start.aspx

– Empfehlungen zu Ransomware von CERT.at:
https://www.cert.at/static/downloads/specials/20160325-cert.at-report-ransomware.pdf

– Schwerpunktseite des Deutschen Bundesamts für Sicherheit in der Informationstechnik:
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html

– Informationsseite des Europol’s European Cybercrime Centre (Englisch):
https://www.nomoreransom.org/

Autor:
Valentin Eder