Ransomware avanciert zum Unwort des Jahres in der Informationstechnologie.
Täglich erfahren wir von großen verursachten Schäden und einer unvorstellbaren Anzahl von Computern, die von dieser Malware befallen werden. Locky und Tesla sind nur einige der Namen, die für diese Software-Programme stehen. Aber was verbirgt sich hinter dem Begriff „Ransomware“ und warum bedrohen diese nicht nur die Daten einzelner Personen, sondern auch die ganzer Behörden und großer Unternehmen?
Was verbirgt sich hinter dem Namen „Ransomware“?
Der Begriff „Ransomware“ ist ein Kunstwort aus dem englischen Wort für Lösegeld (ransom) und der Endung „ware“, bekannt aus vielen Begriffen der Computertechnik (Software, Hardware, Malware usw.). Wie der Name schon vermuten lässt, verbirgt sich hinter Ransomware ein Software-Code, der auf einem Computer einen Schaden anrichtet, sodass hier eine erpresserische Aktion vorbereitet wird. Ransomware wird auch mit den Begriffen Krypto-Trojaner (Crypto Trojan), Erpressungstrojaner oder Verschlüsselungstrojaner bezeichnet. Hier wird überaus deutlich, dass diese Schadprogramme in Rechner oder IT-Systeme eingeschleust werden und dort den Zugriff auf persönliche Daten durch eine Verschlüsselungstechnologie verhindern oder unmöglich machen. Durch den Verursacher wird dann eine Entschlüsselungs-Routine gegen Bares angeboten, sodass letztlich die kriminelle Handlung der Erpressung seinen Lauf nimmt – oder auch nicht, denn das BSI (Bundesamt für Sicherheit in der Informationstechnologie) rät dringend von jeder Zahlung eines Lösegeldes ab!
Was passiert eigentlich, wenn ein Krypto-Trojaner zuschlägt?
Ein Krypto-Trojaner ist grundsätzlich zuerst einmal eine Schadsoftware (Malware), die über eine Schnittstelle zusammen mit Dateien, die vordergründig normal und sicher erscheinen, in das IT-System eingeschleust wird. Über einen Internet-Zugriff, den normalen E-Mail-Verkehr oder auch den Datentransfer über einen USB-Stick, mobiles Gerät oder Notebook kann beispielsweise eine befallene Word- oder Excel-Datei ins Unternehmensnetzwerk gelangen. Durch das Öffnen dieser Datei infizieren diese Trojaner das Dateisystem und „Nisten“ sich dort in aller Regel zuerst einmal ein. Krypto-Trojaner sind oft so genannte „Schläfer“, die nicht sofort ihre schädlichen Aktionen starten, sondern zeitversetzt oder durch einen interne/externe Einfluss in Aktion treten. Irgendwann spielen die Verschlüsselungstrojaner ihre ganze Gefährlichkeit aus und verschlüsseln alle persönlichen Daten auf dem betroffenen Rechner. Vorsicht ist geboten, denn es können auch alle Freigaben von Servern betroffen sein, auf die der Benutzer Zugriff hat. Als Resultat bleibt, dass persönliche Dateien nicht mehr geöffnet werden können, denn diese sind durch den Krypto-Trojaner verschlüsselt worden. Stattdessen erscheint ein mehr oder weniger freundlicher Hinweis auf dem Bildschirm, dass eben genau dieser Zugriff auf die persönlichen Daten nicht mehr besteht und gegen eine Zahlung eines Lösegeldes (beispielsweise durch bitcoins an einen nicht nachvollziehbaren Empfänger) die Entschlüsselungsroutine oder der nötige Entschlüsselungscode übermittelt wird.
Welche Möglichkeiten bestehen, um den Schaden eines Krypto-Trojaners zu beheben?
An dieser Stelle muss angemerkt werden, dass ein Schaden, den ein Verschlüsselungstrojaner angerichtet hat, wenn überhaupt nur mit einem sehr großen Aufwand rückgängig gemacht werden kann. Auch wenn einige Software-Tools versprechen, einen befallenen Rechner wieder zu säubern, ist eine komplette Wiederherstellung des Systems sehr zeitintensiv und daher meistens unrealistisch. Darüber hinaus stehen diese Tools meist erst nach mehreren Monaten zur Verfügung. Im Falle eines Schadens muss also in aller Regel der komplette Rechnern neu installiert, konfiguriert und die Daten von einem (hoffentlich) vorhandenen Backup rekonstruiert werden. Oftmals lassen sich jedoch nicht alle Daten wiederherstellen, sodass hier mit Datenverlusten gerechnet werden muss. Selbstverständlich besteht auch die Möglichkeit, das Lösegeld zu zahlen und dann zu hoffen, dass der Verursacher auch tatsächlich den Entschlüsselungscode zur Verfügung stellt. Wie bereits erwähnt, rät das BSI davon ab und empfehlt dringend, vorsorgliche Maßnahmen zum Schutz vor Ransomware einzusetzen.
Was kann ein Benutzer tun, um sich sicher zu schützen?
Auch hier gilt: Einen 100%igen Schutz vor Ransomware ist nicht möglich! Die Unachtsamkeit eines Mitarbeiters im Unternehmen reicht aus, um die gesamte IT-Struktur mit einem Krypto-Trojaner zu infizieren. Es muss also das Ziel eines jeden Systemadministrator sowie aller Benutzer sein, dass Risiko eines Befalls zu minimieren. Die nachfolgenden Punkte sollen helfen, sich bestmöglich vor Ransomware zu schützen:
- Sensibilisierung
Das Bewusstsein eines jeden Benutzers muss hinsichtlich der Bedrohung sensibilisiert werden und Vorgaben, Routinen sowie regelmäßige Erinnerungen und Informationen sollen zur Vorsicht mit dem Umgang eigener und geschäftlicher Daten mahnen. - Online- und Offline-Backup
Regelmäßige Datensicherung schützen nur dann vor Ransomware, wenn diese nicht im direkten Zugriff von Benutzern oder Administratoren stehen. Eine Datensicherungsstrategie mit auswechselbaren Medien sollte die Regel sein. Selbst dann können „Schläfer“ auf den Backup-Sets nach wie vor vorhanden sein, sodass ein Großvater – Vater – Sohn – Prinzip überdacht werden sollte. - E-Mail-Archivierung
Die allermeiste Unternehmenskommunikation wird über digitale Nachrichten abgewickelt. Moderne, leistungsstarke und sichere E-Mail Archivierungssysteme sind für die Langzeitspeicherung der Nachrichten verantwortlich, so dass hier ein Datenverlust verhindert werden kann. Als in sich geschlossenes System öffnet diese Archiv-Lösung die Emails nicht, sodass die Nachrichten grundsätzlich unverändert und im Original-Format vorhanden sind. Doch Vorsicht: Auch hier können die Krypto-Trojaner noch in den Anhängen stecken und ein Wiederherstellen von E-Mails inklusive anschließendem Öffnen kann die Schadsoftware aktiv werden lassen! Eine E-Mail Archivierung ist also nur dann hilfreich, wenn auch der Archivbestand im Nachgang gesäubert werden kann. - Hardware- und Software-Lösungen
Mittlerweile gibt es verschiedene Ansätze, einzelne Rechner oder IT-Strukturen zu schützen. Hierbei wird entweder der Schutz direkt beim Benutzer auf dem Rechner aktiv (z.B. REDDOXX ANTI RANSOM) oder eine Firewall überprüft nach verschiedenen Verfahren den eingehenden Datenstrom auf mögliche Infizierungen.