Ransomware-Programme verschlüsseln Inhalte einzelner Rechner oder kompletter Netzwerke und geben diese erst nach Zahlung eines Lösegeldes wieder frei. Die Bedrohungslage ist so hoch wie nie zuvor. Die Folgen einer Attacke sind oft gravierend, da die Daten trotz Zahlung nicht wieder freigegeben werden. Wer Opfer eines Ransomware-Angriffs geworden ist, muss aber neben allen anderen Dingen auch noch die Meldepflichten beim zuständigen Landesamt für Datenschutz und beim BSI beachten.
1.1 Ransomware ist älter als das Internet
Die Bedrohung durch Ransomware ist nicht neu. Die erste Ransomware-Attacke erfolgte bereits 1989, damals wurde das Schadprogramm noch auf einer Diskette in einem Brief verschickt. Legte der Adressat die Diskette in ein Diskettenlaufwerk ein, startete automatisch ein Programm, das die Inhalte der Festplatte des angeschlossenen PCs verschlüsselte. Die Entschlüsselung erfolgte über eine weitere Diskette, die allerdings erst nach Zahlung eines Lösegelds an das Opfer verschickt wurde. Der Täter wurde schnell gefasst, die Zahl seiner Opfer war gering, aber das Konzept von Ransomware ("Lösegeld-Software", engl. ransom = Lösegeld), die digitale Erpressung, war in der Welt. Es wurde von anderen Programmierern aufgegriffen und verfeinert. Ab 2005 wurde Ransomware über das Internet verbreitet und vermehrte sich rasant: 2015 sollen allein in Deutschland bereits 3 Millionen Rechner von Ransomware befallen worden sein. Die Ausbreitungsgeschwindigkeit und die technische Raffinesse von Ransomware haben seitdem noch weiter zugenommen. In seinem aktuellen Bericht zur Bedrohungslage sieht das BSI Ransomware als die derzeit größte Bedrohung an (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf?__blob=publicationFile&v=5).
1.2 So funktioniert Ransomware
In Umlauf gebracht wird Ransomware auf unterschiedlichen Wegen. Sehr weit verbreitet ist die Übertragung per E-Mail-Anhang, wobei die Schadprogramme sich häufig als Rechnungen oder Gewinnmitteilungen tarnen. Aber auch auf manipulierten Webseiten werden Besuchern über Sicherheitslücken in Browsern oder Plug-Ins Schädlinge untergeschoben. Selbst auf seriösen Webseiten kann diese Gefahr lauern, wenn diese Werbebanner einblenden, die zuvor entsprechend manipuliert wurden.
Ransomware als Dienstleistung
Ransomware genießt bei Cyberkriminellen höchste Popularität und hat andere Computerschädlingsvarianten wie Banking-Trojaner längst verdrängt. In den einschlägigen Marktplätzen im Darknet werden Schadprogramme in allen Preisklassen und mit unterschiedlichem Zubehör angeboten. Auch Interessenten ohne größeres technisches Wissen können dort Ransomware erwerben und bei Bedarf auch gleich die notwendige Infrastruktur zur Steuerung und zum Aussenden per Spam-Mails mitbuchen.
Häufig werden Ransomware-Attacken über mehrere Angriffswellen ausgeführt: Über Phishing-Mails werden zunächst Nutzerdaten und Passwörter erbeutet, mit denen einige Zeit später der eigentliche Ransomware-Angriff ausgeführt wird: Zuerst werden die Backup-Dateien nach und nach verschlüsselt oder komplett gelöscht, bevor dann die Produktivdateien verschlüsselt werden. Das Umgehen der Verschlüsselung durch die Wiederherstellung der Produktivdateien ist dann nicht mehr möglich, da auch die vorhandenen Datensicherungen kompromittiert sind. In vielen Fällen werden die Produktivdaten vor der Verschlüsselung von den Erpressern kopiert, um von diesen noch anderweitig genutzt zu werden.
Hat die Schadsoftware zugeschlagen und die Dateien verschlüsselt, erscheinen Hinweise auf dem Computer-Bildschirm, mit denen die Täter auf die Verschlüsselung aufmerksam machen und das weitere Vorgehen beschreiben. Wenn das Opfer vom Angriff erfährt, ist es für Gegenmaßnahmen längst zu spät. Da sie meist weit gestreut werden, sind die Lösegeldforderungen vergleichsweise moderat. Typischerweise liegen die Beträge, die die Ganoven verlangen, im Bereich von 500 bis 1.000 EUR, allerdings sind auch Fälle bekannt, bei denen deutlich höhere Summen erpresst wurden. Da die Angreifer ihre Opfer auch gezielt auswählen können, verlangen sie von Unternehmen deutlich mehr Geld als von Privatleuten.
1.3 Zahlen oder nicht zahlen?
Oft gelingt es den Angreifern, Rechner komplett zu blockieren und durch eine Weiterverbreitung im lokalen Netzwerk Firmen komplett lahmzulegen. Die Schäden, die durch die Ausfälle entstehen, erreichen bei Konzernen und Großunternehmen schnell gigantische Größenordnungen. Besonders drastisch sind die Folgen auch für Betreiber kritischer Infrastrukturen, die essenzielle Dienstleistungen bereitstellen und sich daher keine längeren Ausfallzeiten ihrer IT leisten können. Anfällig für Ransomware-Attacken sind aber nicht nur solche großen Ziele. Auch bei kleineren Firmen, Freiberuflern oder anderen Einrichtungen kann ein Ausfall einzelner Rechner oder schlimmstenfalls des kompletten lokalen Netzwerks erhebliche Störungen verursachen und den kompletten Betrieb lahmlegen.
Angesichts der drohenden Konsequenzen sind viele Opfer sofort zu zahlen bereit. Ob man nach Zahlung des Lösegelds tatsächlich den ...