Ransomware – Auch Ihre Daten können entführt werden

Ransomware- auch Daten können als Geisel entführt werden

Der Tag, an dem die Kassen stillstehen: Der schlimmste Albtraum eines jeden Händlers ist für Media Markt/Saturn fast Realität geworden. Am ersten Novemberwochenende sind die Server des Unternehmens mit Ransomware infiziert worden, was bedeutet, dass alles zum sofortigen Stillstand kommt. 

Glück im Unglück: Zumindest die Kassensysteme in den Filialen können für eine begrenzte Zeit autark weiterlaufen, haben aber keinen Zugriff auf Warenbestände, Preisänderungen etc.

Weniger gut haben jedoch einige öffentliche Verwaltungen im Kampf gegen die unsichtbare Bedrohung abgeschnitten: Der kommunale IT-Dienstleister für Schwerin und beim benachbarten Landkreis Ludwigslust-Parchim musste sich kurz vorher ebenfalls einem Ransomware-Angriff ergeben. In Folge sind sämtliche Dienstleistungen der betroffenen Ämter nicht erreichbar, die Bürgerbüros können kaum noch arbeiten.

Wie funktioniert Ransomware?

Ransom bedeutet übersetzt “Lösegeld”- hinter Ransomware stecken folglich Kriminelle, die Lösegeld erpressen möchten. Geisel sind hier die wertvollen Daten, die ein Unternehmen angesammelt hat. Diese werden bei Befall mit Schadsoftware, wenn vorhandener Cyberschutz wie Virenscanner und Firewalls überwunden worden ist, verschlüsselt.

Besonders trickreich aufgebaute Schadsoftware wartet einige Zeit nach einer erfolgreichen Infektion, damit die Backups hinreichend durchseucht sind, bevor diese losschlägt. Auf diese Art ist eine zuverlässige Datensicherheit nicht mehr gegeben, da die Datensicherung(en) ebenfalls den Schädling enthalten.
Nachdem wichtige Daten verschlüsselt sind, wird dem Opfer eine Lösegeldforderung präsentiert, verbunden mit dem Versprechen, nach Zahlung in Cryptowährung die Daten wieder zu entschlüsseln.

Auf diese Art werden wertvolle Daten des Unternehmens unbrauchbar gemacht.

Auf welchen Wegen erfolgen Infektionen?

Das Haupteinfallstor für erfolgreiche Ransomware wie den zu trauriger Berühmtheit gekommenen Emotet-Trojaner ist Email. Hier werden täuschend echt aussehende Emails verschickt, die im Anhang ein Office-Dokument wie Word oder Excel haben, welches ausführbare Makros enthält. Die aus befallenen Systemen extrahierten Daten werden zur Versendung weiterer Mails genutzt, die sich als Antworten auf zuvor gesendete Mails tarnen.

Ein weiterer Weg ist das direkte Verbreiten als Computerwurm, der von System zu System springt. Diese Eigenschaft macht Ransomware gleichzeitig effizient und gefährlich, da in einem Computernetzwerk in rasanter Geschwindigkeit alle angeschlossenen Rechner infiziert werden. Hierbei werden bekannte Schwachstellen eingesetzter Software ausgenutzt.

Wie kann das Netzwerk abgesichert werden?

Das Haupteinfallstor für Ransomware sind nach wie vor Emails mit Office-Dokumenten. Die Ausführung von Makros lässt sich in MS Office abschalten. Weiteren Cyberschutz bietet hier sogenannter Mailscan, d.h. eingehende Mails werden bei einem speziellen Dienstleister eingeliefert, der diese scannt und dann weiterleitet. Viele Antivirus-Hersteller bieten dieses als zusätzlichen Service an.

Datensicherheit beginnt allerdings früher: Sind Systeme nicht mit aktuellen Sicherheitspatches versehen, werden Lücken gnadenlos ausgenutzt, speziell, wenn diese aus dem Internet erreichbar sind.

Zeitnahes Patchen aller Systeme zum Microsoft Patchday gehört somit zum Pflichtprogramm. Eine zusätzliche Absicherung besteht in sogenanntem “Offsite-Backup”, bei dem eine Datensicherung zusätzlich extern (Cloud oder als USB-Festplatte) aufbewahrt wird und somit kein Kontakt zum befallenen Netzwerk besteht.