Was ist Ransomware?
Unter Ransomware versteht man vor allem schädliche Malware, die sich nach einem bestimmten Muster auf dem infizierten Rechner verhält. Das Programm verschlüsselt nämlich die Daten und macht sie dadurch unnutzbar für den ursprünglichen Anwender. In Firmennetzwerken versucht sich diese Malware über das gesamte Netzwerk auszubreiten und auf diese Weise möglichst viele technischen Geräte (Server mit eingeschlossen) zu infiltrieren und entsprechend zu verschlüsseln. In der Regel folgt daraufhin ein Erpressungsversuch. Beim Starten des Rechners erscheint dann die Meldung, dass die Daten verschlüsselt bleiben, bis ein bestimmter Betrag bezahlt wurde. Oft verlangen die Erpresser eine Zahlung via Bitcoin. Hier sind die Zahlungswege schwer nachvollziehbar und die Täter bleiben somit unsichtbar.
Wen trifft Ransomware?
Die Vorstellung eines Mannes mit schwarzer Kapuze, der heimlich still und leise eine Firma hackt, ist aus vielen Köpfen leider nicht mehr rauszubekommen. Die Realität sind anders aus. Mail-Adressen werden über das Darknet verkauft und Kriminelle setzen Bots auf diese an. Das heißt, in den seltensten Fällen wird explizit eine bestimmte Firma für einen Angriff ausgesucht, sondern die Ransomware wird mehr oder weniger zufällig auf User im Internet losgelassen. Somit kann man auch nicht mit Bestimmtheit sagen, wer davon betroffen ist. Im Firmenkontext bedeutet das, keine Firma ist sicher und auch kleine und mittelständische Unternehmen können betroffen sein. Tatsächlich sind diese oft auch nicht so gut geschützt wie die großen und entsprechend leicht zu überfallen.
Was kann man gegen Ransomware tun?
Zunächst gilt es, sie gar nicht in das eigene Netzwerk zu lassen. Eine gute Firewall und Endpoint Protection kann dabei helfen, dass die Schadsoftware die Computer, Server oder Geräte nicht erreicht. Auch die Schulung der Mitarbeitenden ist essentiell. Viele Ransomware-Attacken beginnen mit einer harmlos aussehenden E-Mail. In diesem Zusammenhang ist auch ein Zero-Trust-System sehr wichtig. Dieses sorgt dafür, dass nicht das ganze Firmennetzwerk lahm gelegt wird. An dieser Stelle möchten wir auch betonen, wie wichtig es ist, Backups gesondert zu sichern. Leider erleben wir es immer noch das Backup-Server und Systeme sich einfach mit allen anderen Geräten im gleichen Netzwerk befinden. Im Falle eines Ransomware-Angriffs kann es nun natürlich passieren, dass diese ebenfalls zum Angrifssziel und genauso verschlüsselt werden. Wir raten entsprechend dazu, die Backups zu separieren, um sie im Notfall nutzen zu können.
Sollte ich bei einem Ransomware-Angriff das Lösegeld zahlen?
Die Frage lässt sich schwierig allgemein beantworten. In der Regel raten Sicherheitsexperten eher zu einem „Nein“. Auf diese Weise macht man Ransomware erst einmal für alle Kriminellen weniger attraktiv, da es weniger lukrativ ist. Zusätzlich ist nicht automatisch gegeben, dass die Erpresser die Daten direkt wieder freigeben oder nicht einfach noch mehr verlangen. Unter Umständen greifen sie auch einfach 3 Wochen später erneut an. .
Besitzt der Hacker die Daten?
Das kommt etwas auf die verwendete Software an. Teilweise werden die Daten nur verschlüsselt. In der Regel ist es aber viel mehr so, das die Daten erst an den Erpresser geschickt und danach für den eigentlichen Anwender verschlüsselt werden. Damit zieht die Erpressung auf zwei Ebenen. Zum einen kann die betroffene Firma nicht mehr arbeiten und zum anderen kann die Geschäftsführung damit erpresst werden, Kundendaten zu veröffentlichen und auf diese Weise auch die Daten der Kunden zu verkaufen. Dass der Erpresser nach einer Zahlung diese Daten lösch, kann auch nicht sichergestellt werden. Deshalb gilt es einen solchen Angriff möglichst im Voraus zu verhindern.
Sie benötigen Hilfe bei der Implementierung einer Firewall oder eines Zero-Trust Systems? Sprechen Sie uns gern darauf an und wir helfen Ihnen weiter!