Logo o2 Business Compass

Ransomware: Das müssen Sie über Erpressungstrojaner wissen

16.08.2023

Ein Geschäftsmann sitzt geknickt vor einem Laptop

Im Jahr 2022 verzeichneten Unternehmen weltweit mehr als 493 Millionen Ransomware-Angriffe. Wir erläutern, was Sie tun können, wenn Cyberkriminelle Ihr Unternehmen ins Visier genommen haben – und was Sie tun sollten, damit Sie erst gar nicht zur Zielscheibe von Erpressern werden.

Was ist Ransomware?

Unter Ransomware versteht man Schadsoftware, die darauf abzielt, wichtige Dateien auf einem Computer oder in einem Netzwerk zu verschlüsseln bzw. den Zugriff darauf auf andere Weise unmöglich zu machen. Verläuft eine solche Cyberattacke erfolgreich, fordern Angreifer ein Lösegeld. Im Gegenzug sichern sie zu, die Dateien oder den Zugriff darauf wiederherzustellen. Ransomware verbreitet sich oft über

  • Betrügerische E-Mails
  • Drive-by-Downloads (siehe Infokasten)
  • Schwachstellen in IT-Systemen
clean-e-mail.png

O2 Business Clean E-Mail

Mehr als ein Standardschutz: die integrierte Gefahrenabwehr für eines der wichtigsten Kommunikationsmittel im Unternehmen.

Zu O2 Business Clean E-Mail

Cyber-Attacken mit erpresserischer Malware (Ransomware) können sowohl einzelne Dokumente als auch komplette Geräte und Systeme betreffen. Damit stellen sie eine ernsthafte Bedrohung für Ihr Geschäft dar, denn ein erfolgreicher Angriff kann zu Daten- und Reputationsverlust sowie massiven finanziellen Schäden führen. 

Daher ist es empfehlenswert, Angriffen mithilfe geeigneter Maßnahmen vorzubeugen: Die Sensibilisierung Ihrer Belegschaft gehört ebenso dazu wie der Schutz von Geräten und Daten in Ihrem Unternehmen. Mithilfe spezieller Software inklusive Antivirus-Funktion und Ransomware-Schutz können Sie sich technisch absichern.

Was ist Ransomware-as-a-Service?

Nicht nur vertrauenswürdige Anbieter wie Microsoft und Google stellen Ihre Services z. B. per Cloud-Computing zur Verfügung. Auch Entwickler von Ransomware haben das Geschäftsmodell Software-as-a-Service für sich entdeckt und bieten die Nutzung ihrer Tools und Infrastruktur gegen Entgelt anderen Kriminellen an. Diese erhalten dank Ransomware-as-a-Service (RaaS) Zugang zu einer betriebsbereiten Malware, mit der sie eigene Angriffe durchführen können. Solche RaaS-Dienste umfassen in der Regel

  • eine benutzerfreundliche Oberfläche
  • technischen Online-Support
  • Abrechnungssysteme für Lösegeldzahlungen

Das Modell Ransomware-as-a-Service hat insofern zur Verbreitung von Cybercrime beigetragen, als das es auch weniger technisch versierten Personen ermöglicht, Cyberangriffe durchzuführen. Viele dieser Attacken erfolgen inzwischen nicht mehr manuell, sondern meist halbautomatisiert.

Wie funktioniert Ransomware?

Eine typische Ransomware-Attacke verläuft in der Regel in drei Schritten, nachdem die Schadsoftware in Ihr System gelangt ist. Das kann beispielsweise über eine infizierte E-Mail geschehen.

  1. Ausspähung: Zunächst infiltrieren Erpresser Ihr System mit bösartigem Code und spähen es aus. Sie ermitteln Dateien, die sich als Ziel für eine Attacke eignen. In der Regel suchen die Cyberkriminellen dabei zudem nach Berechtigungsausweisen (z. B. Login-Daten), mithilfe derer sie Ransomware auf weiteren Geräten in Ihrem Firmennetz installieren können. Das alles geschieht meist, ohne dass Sie etwas davon mitbekommen.
  2. Aktivierung: Ist ein lohnenswertes Ziel (in der Regel wichtige geschäftliche oder persönliche Dateien) ausgemacht, wird ein sogenannter Kryptotrojaner auf dem infiltrierten System installiert. Dieser verschlüsselt die Daten mit Hilfe eines Algorithmus, der meist die sogenannte asymmetrische Verschlüsselung nutzt. In der Folge haben Sie keinen Zugriff mehr auf diese Dateien, bis Sie von den Cyberkriminellen wieder freigegeben werden.
  3. Lösegeldforderung: Im Anschluss informiert die Malware Sie über die Infektion und fordert Lösegeld. Als Zahlmethode setzen die Erpresser meist auf Kryptowährungen oder vergleichbare Methoden, mit denen sie Empfängeradressen verschleiern können. Einige Erpresser bauen dabei zusätzlich Druck auf – beispielsweise mit der Drohung, Daten, die sie ausgespäht haben, nach Ablauf eines Ultimatums öffentlich zu machen.
Darstellung der drei Stufen eines Ransomware-Angriffs

Was Ihnen unbedingt klar sein sollte: Eine Gewähr dafür, dass Sie nach Zahlung der verlangten Geldsumme tatsächlich wieder Zugriff auf Ihre Daten erhalten oder eine Veröffentlichung unterbleibt, gibt es in keinem Fall. Behörden raten deshalb in aller Regel dazu, sich nicht auf Lösegeldforderungen einzulassen.
o2 Business Security Service Edge

O2 Business Security Service Edge

Die Sicherheitslösung für Ihr komplettes Unternehmensfeld: Büros, Remote-Arbeitsplätze und die genutzten Cloud-Anwendungen.

Zu O2 Business Security Service Edge

Beispiele für bekannte Ransomware-Angriffe

Cyber-Erpresser haben in den vergangenen Jahren immer wieder diverse Typen von Schadprogrammen erfolgreich für Attacken auf Wirtschaftsunternehmen und andere Institutionen eingesetzt. Diese Angriffe wurden zum Teil auch in den Medien publik.

Fachleute, die sich mit der Entwicklung von Schutzmaßnahmen vor Cyber-Threats befassen, unterteilen Ransomware in sogenannte Familien. Diese unterscheiden sich voneinander mit Blick auf bestimmte Merkmale und Verhaltensweisen. Bekannte Ransomware-Familien sind etwa Clop, Conti, Hive und LockBit, die sich in der Art und Weise, wie sich die Software der Erkennung entzieht, unterscheiden.

  • Clop: Im Mai 2021 wird die Universität Maastricht Opfer einer Clop-Ransomware-Attacke. In der Folge muss die Hochschule ihre IT-Systeme abschalten und den Vorlesungsbetrieb zeitweise einstellen. Das Lösegeld beträgt 200.000 Euro in Bitcoin.
  • Conti: Im Juni 2021 gelingt es Hackern, deren Sitz in Russland vermutet wird, den Virenschutz des international tätigen brasilianischen Fleisch-Verarbeiters JBS zu durchbrechen und die Conti-Ransomware zu installieren. JBS-Betriebe in den USA, Kanada und Australien müssen vorübergehend schließen. Die Lösegeldforderung: 11 Millionen US-Dollar in Bitcoin.
  • Hive: Im November 2021 verschlüsseln Kriminelle die Daten auf rund 3.100 Servern von MediaMarkt und Saturn in Deutschland und den Niederlanden. Laut Medienberichten können daher in den Läden des Unternehmens zeitweise weder Bestellungen aufgegeben noch Retouren bearbeitet werden. Die Lösegeldforderung beträgt zunächst 240 Millionen US-Dollar in Bitcoin und wird später auf 50 Millionen reduziert.
  • LockBit: Im Januar 2023 attackieren Cyber-Kriminelle kritische Infrastruktur in Großbritannien, indem sie Daten des Postdienstleisters Royal Mail verschlüsseln. Infolge des Angriffs mit der LockBit-Ransomware können wochenlang keine Sendungen ins Ausland verschickt werden. Die initiale Lösegeldforderung von rund 80 Millionen US-Dollar wird später reduziert.

So schützen Sie Ihr Unternehmen vor Verschlüsselungstrojanern 

Mit Blick auf den Schutz vor Ransomware und anderen Bedrohungen sollten Sie regelmäßige Back-ups Ihrer Systeme durchführen. Installieren Sie Sicherheitsupdates und Patches zeitnah, nutzen Sie eine Firewall sowie aktuelle Antivirensoftware. Sensibilisieren Sie Betriebsangehörige für Phishing, Social Engineering und andere Einfallstore für Kryptotrojaner. Implementieren Sie eine umfassende Sicherheitsrichtlinie inklusive sorgfältiger Verwaltung der Zugriffsrechte in Ihrem Unternehmen. Prüfen Sie Ihre Maßnahmen regelmäßig und aktualisieren Sie sie diese bei Bedarf. 

datensicherheit.png

Cybersicherheit

Steigern Sie die Datensicherheit Ihres Unternehmens auf höchstes Niveau und schützen Sie sich so vor Sabotage oder Datendiebstahl.

Zu Cybersicherheit

So entfernen Sie Erpressungstrojaner 

Falls Sie trotz aller Sicherheitsmaßnahmen Opfer eines Erpressungsversuchs durch Trojaner werden, sollten Sie folgende Schritte einleiten, um den Schaden so gering wie möglich zu halten:

  • Betroffene Systeme isolieren: Trennen Sie infizierte Geräte sofort vom Netzwerk. So verhindern Sie eine weitere Ausbreitung der Schadsoftware.
  • IT-Abteilung informieren: Benachrichtigen Sie umgehend Ihre IT-Fachleute über den Angriff, damit sie den Vorfall analysieren und geeignete Maßnahmen ergreifen können. 
  • Ruhe bewahren: Zahlen Sie kein Lösegeld. Andernfalls fördern Sie kriminelle Aktivitäten –Informieren Sie stattdessen die zuständigen Behörden.
  • Virenscan durchführen und Entschlüsselungstool verwenden: Ggf. können Sie selbst einen Virenscan durchführen, infizierte Daten löschen und ein Entschlüsselungstool verwenden, um wieder Zugriff auf Ihre Daten zu erlangen. 
  • Daten sichern: Stellen Sie Ihre Daten aus vorherigen Back-ups wieder her. Stellen Sie vorher sicher, dass die Wiederherstellungsumgebung sauber ist. So vermeiden Sie erneute Infektionen.

Ransomware im Überblick 

  • Ransomware ist Schadsoftware, die Kriminelle auf den Geräten ihrer Opfer installieren. 
  • Die Installation der auch als Verschlüsselungstrojaner oder Erpressungstrojaner bekannten Malware bleibt in der Regel zunächst unbemerkt. 
  • Sobald der Trojaner aktiviert wird, verschlüsselt er Dateien bzw. macht den Zugriff auf sie auf andere Art unmöglich. 
  • Im Anschluss fordert die Software die Opfer der Attacke zur Zahlung von Lösegeld auf. 
  • Den Forderungen der Angreifer nachzukommen ist keine Gewähr dafür, dass die im Gegenzug zugesicherte Wiederherstellung der Daten auch tatsächlich erfolgt.

Häufig gestellte Fragen

Ransomware zielt darauf ab, wichtige Dateien auf einem Computer oder in einem Netzwerk zu verschlüsseln bzw. den Zugriff darauf zu sperren. Sobald ein System infiziert ist, nimmt das Schadprogramm Dateien gewissermaßen als Geisel und zeigt Opfern eine Lösegeldforderung an. In der Regel verlangen Angreifer von ihren Opfern eine Zahlung in Form von Kryptowährung. Im Gegenzug versprechen Sie dafür, die Dateien wiederherzustellen bzw. den Zugriff auf sie wieder freizugeben. Eine Garantie dafür gibt es allerdings nicht.

Die häufigsten Methoden, die Kriminelle für ihre Angriffe nutzen, sind Phishing-E-Mails, Social Engineering und sogenannte Drive-by-Downloads mithilfe von Websites, die mit Schadsoftware infiziert sind. Wenn Sie eine solche Website besuchen, können Angreifer Schwachstellen in Ihrem Webbrowser, in Plug-ins oder anderen Softwareanwendungen ausnutzen, um automatisch Ransomware auf Ihrem Gerät zu installieren. Die Installation der Schadsoftware verläuft in der Regel so, dass Sie davon nichts merken.

Es gibt eine Vielzahl von Gruppen und Individuen, die Ransomware-Angriffe ausführen – und sie können unterschiedliche Ziele, Taktiken und Techniken haben. In der Regel stecken dahinter Einzelpersonen oder kriminelle Organisationen, die finanziellen Gewinn anstreben. In einigen Fällen können auch politische oder ideologische Motive eine Rolle spielen. Die Identität der Täter hinter erpresserischen Online-Angriffen ist oft schwer zu ermitteln, da die Angreifer sich geschickt anonymisieren und ihren Standort verschleiern. Dafür nutzen sie häufig verschlüsselte Kommunikationskanäle und setzen für Lösegeldzahlungen auf Kryptowährungen wie Bitcoin. 

Malware ist ein Oberbegriff für schädliche Software mit unterschiedlichen Zielen wie etwa

Ausführung unerwünschter Aktionen auf Geräten der Opfer

Diebstahl von Daten 

Schädigung von Systemen

Als Ransomware wird hingegen eine bestimmte Art von Malware bezeichnet, die darauf spezialisiert ist, Daten ihrer Opfer zu verschlüsseln oder auf andere Weise unzugänglich zu machen. Ziel der auch als Verschlüsselungstrojaner oder Erpressungstrojaner geläufigen Ransomware ist es, Opfer zur Zahlung von Lösegeld zu bewegen.

Passend zum Thema

Eine junge Informatikerin arbeitet mit einem Laptop an einem großen Bildschirm an Cybersicherheit.

Cybersecurity: Internetsicherheit für Unternehmen

Cyberangriffe haben in Deutschland 2022 rund 203 Milliarden Euro Schaden verursacht. Mit Cybersecurity kann Ihr Unternehmen der Gefahr entgegentreten.

Artikel lesen
Ein IT-techniker mit einem Laptop überprüft die Sicherheit in einem Serverraum

Datensicherheit: Das sollten Sie wissen

Erfahren Sie, warum Datensicherheit ein Erfolgsfaktor für Ihr Unternehmen ist. Mit den richtigen Maßnahmen bleiben Sie auf der sicheren Seite.

Artikel lesen
Ein IT-Profi überprüft mit einem Tablet die IoT-Sicherheitseinstellungen an einem Server

IoT-Security: Die wichtigsten Risiken managen

IoT-Sicherheit schützt vernetzte Geräte im Internet der Dinge vor Angriffen. Alles über die Gefahren für Unternehmen und deren Abwehr lesen Sie hier.

Artikel lesen