Tipps zum Schutz vor Ransomware

Erpressung per Trojaner: Die digitale Geiselnahme

Alexandra Gheorghe, E-Threat-Analystin bei Bitdefender, berichtet über eine steigende Zahl von Ransomware-Attacken und gibt Tipps, wie sich eine "digitale Geiselnahme" vermeiden lässt.

Alexandra Gheorghe, Bitdefender

Alexandra Gheorghe, E-Threat-Analystin bei Bitdefender

Frau Gheorghe, wie häufig laufen Ransomware-Angriffe inzwischen über mobile Endgeräte ab?
Alexandra Gheorghe:
Gemäß unseren eigenen Messungen besitzen mehr als 33,58 Prozent aller Berichte über Malware in Deutschland einen Bezug zu Ransomware. Android.Trojan.Slocker ist die am weitesten verbreitete Ransomware-Familie basierend auf der Anzahl der betroffenen Geräte. Sie ist für 3,78 Prozent aller Bedrohungen durch Android-Malware weltweit in der zweiten Jahreshälfte 2015 verantwortlich.

Über welche Einfallstore oder Sicherheitslücken infizieren sich mobile Nutzer in der Regel mit Erpresser-Software?
Gheorghe:
Nutzer riskieren eine Infektion mit Ransomware, wenn sie mobile Applikationen aus unbekannten Quellen herunterladen. Dies gilt sowohl für Online-Seiten als auch für App Stores von Drittanbietern, die eine Alternative für Google Play oder Apple Store sein möchten. Malware kann sich aber auch über verdächtige E-Mail-Anhänge auf Mobilgeräten verbreiten.

Welche Rolle spielt dabei das mobile Betriebssystem?
Gheorghe:
Da immer mehr Anwender Android nutzen, wenden sich Malware-Entwickler zunehmend diesem Betriebssystem zu, um Profit zu machen. Sein Marktanteil von 81 Prozent im Jahr 2015 motiviert Malware-Entwickler, dafür Bedrohungen zu entwickeln, die heimlich Daten sammeln oder Opfer finanziell erpressen. Android wird auch immer häufiger angegriffen, weil es oft mehr Prozesse erlaubt als andere mobile Betriebssysteme. So können hier Nutzer Anwendungen von nicht vertrauenswürdigen oder unautorisierten Quellen problemlos herunterladen.

Welche Zielgruppen oder Branchen sind prädestiniert für Ransomware-Attacken?
Gheorghe:
Jeder kann zum Opfer werden, ob Privatnutzer, Banken oder Organisationen im Gesundheitswesen, die hochsensible Daten besitzen.

Wie sollten Nutzer – Privatpersonen und auch Firmenverantwortliche – reagieren, wenn sie Opfer von Erpresser-Software werden?
Gheorghe:
Zuallererst sollten Opfer nicht in Panik geraten und nicht auf die Forderungen der Erpresser eingehen. Zu den Sofortmaßnahmen gehören die Trennung vom Netzwerk, das Herunterfahren des betroffenen Geräts und dessen Neustart in einem Sicherheitsmodus, um den Verschlüsselungsprozess möglichst zu stoppen. Tools von Sicherheitsanbieter zur Entfernung spezifischer Bedrohungen helfen ebenfalls. Unternehmen sollten nicht auf die Forderungen der Cyberkriminellen eingehen, da es keine Garantie dafür gibt, dass diese ihre Versprechungen erfüllen und die Daten tatsächlich wiederherstellen.

Welche Höhe betragen die Lösegelder in der Regel?
Gheorghe:
Das geforderte Lösegeld beträgt für Privatnutzer in der Regel bis zu 450 Euro. Laut Studien sind Opfer von Ransomware bereit, Summen in diesem Bereich zu zahlen, um ihre Daten wieder zu erhalten. Gemäß öffentlich zugänglichen Berichten können bei Unternehmen die Forderungen mehrere tausend Dollar erreichen. Zum Beispiel hat das Hollywood Presbyterian Medical Center 17.000 Dollar in Bitcoins bezahlt, um wieder Zugang zu Servern und Patientendaten zu erhalten. Das Nachrichtenmagazin Der Spiegel berichtete, dass die unterfränkische Gemeinde Dettelbach kürzlich 490 Euro an Ransomware-Erpresser überwiesen hat.

Was passiert, wenn das geforderte Lösegeld gezahlt wird?
Gheorghe:
Nach der Bezahlung des Lösegeldes stellen die Angreifer den Zugang zu den verschlüsselten Daten eventuell wieder her. Selbst wenn dies erfolgt, behalten sie aber möglicherwiese eine Kopie der Daten, um sie anderweitig zu verwenden.

Was, wenn nicht?
Gheorghe:
Die Verschlüsselungsalgorithmen sind normalerweise sehr komplex und fast unmöglich zu entschlüsseln. Die Verweigerung der Lösegeldzahlung kann also dazu führen, dass sich die Computer oder Systeme nicht mehr verwenden lassen, zumindest vorübergehend. Demzufolge zahlen Unternehmen häufig, um ihre Prozesse so schnell wie möglich wieder zum Laufen zu bringen – trotz der gleichzeitigen Unterstützung durch Polizei und Sicherheitsexperten.

Inwieweit sollten Strafverfolgungsbehörden eingeschaltet werden?
Gheorghe:
Die Strafverfolgungsbehörden sollten eingebunden werden, um die Täter zu identifizieren. Jedoch versteckt Ransomware üblicherweise seine Control-Server in Anonymisierungsnetzwerken wie Tor und I2P. Dies erschwert es Sicherheitsexperten und Strafverfolgern, sie abzuschalten. „Da Ransomware so gut ist“, sagt Joseph Bonavolonta, Assistant Special Agent beim Cyber and Counterintelligence Program des FBI, empfiehlt sogar das FBI häufig die Zahlung des Lösegeldes. Und selbst Polizeistationen wurden schon Opfer – trotz ihrer hohen Sicherheitsvorkehrungen – und bezahlten Bitcoins im Wert von 300 bis 500 US-Dollar, um ihre verschlüsselten Daten und Geräte wieder nutzen zu können.

Wie können sich Firmen vor Angriffen durch Erpresser-Software schützen?
Gheorghe:
Um eine solche digitale Geiselnahme zu vermeiden, sollten Unternehmen:
•    Mitarbeiter in Sachen Computernutzung schulen, damit sie Social-Engineering-Angriffe und Spear-Phishing-E-Mails erkennen können.
•    Eine moderne Sicherheitslösung für Endpunkte installieren, konfigurieren und ständig aktualisieren.
•    Richtlinien zur Einschränkung von Software einführen, welche die Ausführung von Programmen von bestimmten Orten aus verhindert.
•    Eine Firewall nutzen, die alle eingehenden Verbindungen aus dem Internet zu Services blockiert, die nicht öffentlich zugänglich sein sollten.
•    Sicherstellen, dass Programme und Anwender nur die zur Ausführung ihrer Aufgaben notwendigen Nutzungsrechte besitzen. Bei Abfrage eines Root- oder UAC-Passworts ist zu prüfen, ob das Programm, welches Zugang auf Administratorniveau wünscht, auch tatsächlich eine legitime Anwendung ist.
•    Daten sichern und die Systemwiederherstellung aktivieren, um frühere Versionen der verschlüsselten Daten nutzen zu können, sobald der Virus entfernt worden ist.

Wie aufwendig ist die Installation solcher Schutzmaßnahmen?
Gheorghe:
Die Implementierung dieser Schutzmaßnahmen ist nicht schwierig und definitiv weniger kompliziert als die Entschlüsselung der Ransomware zur Wiederherstellung der Daten.

Mit welchen Kosten ist dies verbunden?
Gheorghe:
Die Frage lautet vielmehr: „Wie viel sind die Daten wert?“ Eine korrekte Bewertung entscheidet, wie viel ein Unternehmen in fortgeschrittene Sicherheitstechnologien und Weiterbildungsprogramme investieren sollte, um die Bedrohung zu reduzieren.

Können Sie uns ein Beispiel für eine Ransomware-Attacke nennen?
Gheorghe:
Einer der berüchtigtsten Ransomware-Angriffe erfolgte bereits im Jahr 2012 und führte zum Tod eines Menschen. Die Lösegeldforderung informierte das Opfer, dass er eine Geldstrafe für das Herunterladen von pornografischen Inhalten bezahlen muss und ansonsten ins Gefängnis geht. Der bei dieser Attacke eingesetzte Trojaner Icepol ergaunerte sich knapp 160.000 Dollar in einem einzigen Jahr. Dies haben wir damals gemeinsam mit der rumänischen Polizei aufgedeckt.

Wichtiger als solche Einzelfälle ist derzeit aber die allgemein stark steigende Bedrohungslage. So hat eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) ermittelt, dass in Deutschland mehr als zehnmal so häufig Ransomware im Februar 2016 gegenüber Oktober 2015 von Virenschutzprogrammen entdeckt wurde. Weltweit stieg die Zahl innerhalb dieser vier Monate um das Sechsfache.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok