Ransomware ist eine spezielle Form von Schadsoftware (Malware), die den Zugriff auf Daten, Geräte oder ganze IT-Systeme blockiert oder diese durch Verschlüsselung unbrauchbar macht, um anschließend ein Lösegeld für die Freigabe zu fordern. Synonyme sind Erpressungstrojaner, Verschlüsselungstrojaner oder Kryptotrojaner.
Herkunft des Begriffs
Der Begriff setzt sich aus den englischen Wörtern ransom (Lösegeld) und ware (Software) zusammen. Das erste bekannte Auftreten datiert auf 1989 mit der „AIDS“-Schadsoftware, die per Diskette verschickt wurde und nach einiger Zeit Dateien verschlüsselte.
Funktionsweise von Ransomware
Ransomware gelangt meist über infizierte E-Mail-Anhänge, kompromittierte Webseiten oder gezielte Phishing-Angriffe in die IT-Systeme eines Unternehmens. Nach der Installation werden Dateien und manchmal ganze Systeme verschlüsselt, sodass sie ohne den richtigen Entschlüsselungsschlüssel nicht mehr genutzt werden können. Der Angreifer zeigt eine Nachricht an – meist mit einer Frist und Zahlungsanweisung in Kryptowährung.
Es gibt zwei Haupttypen:
- Verschlüsselungstrojaner verschlüsseln gezielt Dateien auf lokalen oder Netzwerkspeichern
- Bildschirmsperren blockieren den Zugriff auf das gesamte System, ohne die Daten tatsächlich zu verschlüsseln
Ransomware-as-a-Service (RaaS): Das neue Geschäftsmodell
RaaS ist ein Geschäftsmodell zwischen Ransomware-Betreibern und Affiliates, bei dem Affiliates bezahlen, um von Betreibern entwickelte Ransomware-Angriffe zu starten. Denken Sie an RaaS als eine Variation des Software-as-a-Service (SaaS) Geschäftsmodells.
Preismodelle:
- Monatliche Abonnements: RaaS-Kits kosten zwischen 40 Dollar pro Monat bis zu mehreren tausend Dollar
- Gewinnbeteiligung: Typischerweise 20-30% für den Entwickler
- Einmalige Lizenzgebühren
RaaS hat sich ein Geschäftsmodell etabliert, das die Bedrohung weiter verschärft. Man muss kein IT-Profi mehr sein, um ein Unternehmen anzugreifen. Für ein paar hundert Euro lassen sich fertige Ransomware-Kampagnen buchen – inklusive Anleitung, Hosting und Verschlüsselungstools.
Arten von Ransomware
- Encryptors (Verschlüsselungs-Ransomware): Diese weit verbreitete und schädliche Variante verschlüsselt Dateien und Daten innerhalb eines Systems und macht den Inhalt ohne Entschlüsselungsschlüssel unzugänglich
- Locker-Ransomware: Locker sperren Sie vollständig aus Ihrem System aus, sodass Ihre Dateien und Anwendungen unzugänglich sind. Ein Sperrbildschirm zeigt die Lösegeldforderung an, möglicherweise mit einer Countdown-Uhr
- Scareware: Scareware ist gefälschte Software, die behauptet, einen Virus oder ein anderes Problem auf Ihrem Computer entdeckt zu haben und Sie auffordert, zu zahlen, um das Problem zu lösen
Angriffsmethoden
Die häufigsten Eintrittspfade für Ransomware sind:
- Phishing-E-Mails mit infizierten Anhängen oder Links
- Schwachstellen in Software und unzureichend gepatchte Systeme
- Drive-by-Downloads beim Besuch kompromittierter Websites
- Ausnutzung von Fernzugriffen (z. B. Remote Desktop Protocol, RDP)
Typischer Angriffsverlauf:
- Phishing-E-Mail: Ein Mitarbeiter öffnet den vermeintlichen Bestellauftrag
- Erstinfektion: Die Ransomware bewegt sich durch das infizierte System, deaktiviert Firewalls und alle Antivirus-Software
- Laterale Bewegung: Die Malware breitet sich über das Netzwerk aus
- Datenverschlüsselung: Produktionsdaten, Kundendatenbank und Backups werden verschlüsselt
- Lösegeldforderung: xxx.000 Euro in Bitcoin, Drohung mit Veröffentlichung von Kundendaten
Folgen
- Betriebsausfall: Ransomware-Angriffe führen häufig zu erheblichen Ausfallzeiten. 23% der deutschen KMU berichten von 25 und mehr Ausfallstunden, bei 5% sind es sogar über 100 Stunden.
- Finanzielle Schäden: Neben den direkten Kosten für Lösegeld und Wiederherstellung fallen indirekte Kosten durch Umsatzausfälle, Imageschäden und regulatorische Folgen an.
- Datenverlust: Selbst wenn das Lösegeld gezahlt wird, ist die Entschlüsselung nicht garantiert. Viele Unternehmen verlieren dauerhaft kritische Daten.
- Existenzielles Risiko: Laut Studien müssen rund 21% der betroffenen deutschen KMU nach einem Angriff sogar die Geschäftstätigkeit einstellen.
Typische Schwachstellen
- Mangelnde Awareness der Mitarbeiter für Cyberrisiken
- Unzureichende Patch- und Update-Routinen
- Fehlende Datensicherungen oder unzureichende Backup-Konzepte
- Begrenztes IT-Budget und fehlende Investitionen in moderne Sicherheitstechnologien
Schutzmaßnahmen für KMU
Präventive Maßnahmen
- Backup-Strategie: Regelmäßige Datensicherungen – am besten täglich – schützen vor Totalverlust. Backups sollten verschlüsselt, offline und vor Ransomware-Angriffen isoliert gespeichert werden.
- Zugriffskontrolle: Mitarbeitende erhalten nur die Zugriffe, die sie für ihre Arbeit benötigen („Need-to-know“). Keine geteilten Administrator-Konten, keine universellen Passwörter für alle Plattformen.
- Software-Updates: Veraltete Software ist ein Hauptangriffspunkt. Updates für Betriebssysteme, Firewalls, Router, Drucker und ERP-Systeme müssen zeitnah durchgeführt werden.
- Mitarbeiterschulungen: Ein trainiertes Team erkennt Phishing-Versuche, meldet verdächtige Vorfälle frühzeitig und vermeidet unbewusste Fehler. Kurze, regelmäßige Online-Schulungen reichen oft aus.
- Notfallplan entwickeln: Was tun im Fall der Fälle? Wer informiert wen? Wie kommuniziert man mit Kunden? Wer übernimmt technische Sofortmaßnahmen?
- Sofortmaßnahmen bei Verdacht:
- Alle Geräte, die mit dem Netzwerk verbunden sind – sowohl vor Ort als auch außerhalb – sollten vom Netz (nicht vom Strom) getrennt werden
- Opfer von Ransomware sollten an die Bundespolizei über IC3 oder eine Secret Service-Außenstelle melden
- Forensische Analyse durch Experten
- Wiederherstellung aus sauberen Backups
Weiterführende Links/Quellen:
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Ransomware – Vorsicht vor Erpressersoftware
- Cybersecurity & Infrastructure Security Agency (CISA): Stop Ransomware Guide
- Daten 360Grad.digital – diverse Blog-Artikel zu Informationssicherheit: Blog von Daten 360Grad.digital
- Daten 360Grad.digital: CyberSecurity-Plattform
Fazit:
Seit dem Aufkommen von Kryptowährungen, die eine anonyme Zahlung ermöglichen, hat die Verbreitung von Ransomware deutlich zugenommen. Bekannte Beispiele sind WannaCry, NotPetya, Locky, Emotet und Ryuk. Die Angriffe werden zunehmend professioneller und automatisierter, oft als Dienstleistung organisiert (Ransomware-as-a-Service). Durch KI werden Volumen, Qualität und Geschwindigkeit von CyberAngriffen noch einmal massiv zunehmen.
