Risiko Ransomware: So schützen Sie Ihr Business
Jedes Business kann es treffen: Plötzlich ist der Zugriff auf wichtige Daten gesperrt und Sie erhalten eine Lösegeldforderung. Nur wenn Sie die bezahlen, sind Ihre Daten wieder frei. Herzlichen Glückwunsch, Sie sind Opfer einer Ransomware-Attacke geworden! Wir zeigen Ihnen, wie Sie Ihr Business vor Ransomware schützen können und wie Sie richtig handeln, wenn es Sie doch einmal erwischt hat.
Was ist Ransomware?
Ransomware (Englisch „ransom“= Lösegeld) ist eine Schadsoftware, mit der der Eindringling auf fremde Computersysteme und darauf enthaltene Daten zugreifen kann. Die Daten auf dem Zielcomputer werden verschlüsselt und im schlimmsten Fall das komplette Computersystem gesperrt. Der Eigentümer kann nicht mehr auf seine Daten zugreifen. Für die Entschlüsselung oder Freigabe der Daten verlangen die Kriminellen ein Lösegeld. Die Forderung wird dem Opfer auf dem Bildschirm angezeigt. Wird diese bezahlt, geben sie das System wieder frei oder übermitteln dem Betroffenen einen Code, mit dem er die verschlüsselten Dateien decodieren kann.
Ransomware: Zahlen und Fakten
Im Jahr 2017 erfasste eine Ransomware-Welle hunderttausende Rechner weltweit. Die Schadsoftware WannaCry richtete Schäden in Millionenhöhe an. Laut einem Bericht von Symantec ist die Anzahl der Ransomware-Angriffe erstmals seit 2013 um 20 Prozent gesunken, allerdings nahmen die Angriffe auf Unternehmen um 12 Prozent zu. Die Cyberkriminellen übernehmen offenbar weniger massenhaft private Rechner, sondern suchen sich lieber Unternehmen und Institutionen wie Behörden oder Banken als Opfer aus, da dort mehr Geld zu holen ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem jährlichen Bericht veröffentlicht, dass die Anzahl der im Umlauf befindlichen Schadprogramme von etwa 600 Millionen im Jahr 2017 auf mehr als 800 Millionen im Jahr 2018 gestiegen ist. Täglich kommen etwa 400.000 Schadprogramm-Varianten hinzu.
Wie die Lage für das Jahr 2019 aussieht, können Sie in unserem Cybercrime-Ausblick 2019 nachlesen. Welche Schäden durch Cyberkriminalität zu erwarten sind, erfahren Sie in unserem Artikel Unterschätztes Risiko: Cyberkriminalität verursacht immer höhere Schäden.
Ransomware-Attacken: Spektakuläre Fälle
Die US-Stadt Baltimore leidet seit drei Jahren unter Attacken von Cyberkriminellen. Diverse IT-Systeme der Stadt funktionieren nicht richtig. Teilweise war die Telefonnotrufleitung nicht erreichbar, Dokumente konnten nicht ausgestellt werden. Der daraus resultierende Schaden beläuft sich auf etwa 16 Millionen Euro. Die Stadt kann noch heute keine Wasserrechnungen ausstellen. Welche Daten und Systeme genau befallen und verschlüsselt wurden, ist nicht bekannt. Ein großer Teil der Kosten resultiert daraus, dass die Stadt externe IT-Sicherheitsberater eingesetzt und weitere Hardware eingekauft hat, um die IT-Infrastruktur zu sichern.
Baltimore verweigert die Lösegeldzahlung
Die Angreifer forderten 13 Bitcoins Lösegeld für die Freigabe der verschlüsselten Daten. Das entspricht (Stand 27.06.2019) einem Wert von etwa 144.000 Euro. Doch die Stadt weigert sich, das Lösegeld zu bezahlen, da sie sich nicht sicher sein könne, dass die Kriminellen die Daten nach der Zahlung wirklich freigeben oder eine Hintertür in das IT-System eingebaut haben, durch dass sie zu einem späteren Zeitpunkt erneut zuschlagen können.
Riviera Beach zahlt die Lösegeldforderung
Ein ähnlicher Fall ereignete sich ebenfalls in den USA. Die Stadt Riviera Beach in Florida wurde Opfer eines Hackers. Dieser verschlüsselte Daten auf den IT-Systemen der Stadtverwaltung. Der Verschlüsselungstrojaner gelangte offenbar durch eine E-Mail in das System, die von einem Mitarbeiter gelesen wurde.
Nach Absprache mit einem externen IT-Sicherheitsexperten stimmte der Stadtrat dafür, das geforderte Lösegeld in Höhe von etwa 530.000 Euro zu zahlen. Obwohl es keine Garantie gibt, dass der Täter nach Erhalt des Lösegeldes die Daten wieder freigibt, hoffe die Stadt mit der Zahlung das Problem zu beseitigen. Das Lösegeld werde dabei komplett von der Versicherung gedeckt, so eine Sprecherin. Weiterhin plant die Stadt eine Investition von rund 880.000 Euro in die Aufrüstung der IT-Sicherheit.
Info:
Der Täter verlangte die Zahlung des Lösegelds in Bitcoins. Bitcoin-Transaktionen können zwar nachverfolgt werden, allerdings ist es schwierig herauszufinden, wem das Bitcoin-Konto gehört. Daher ist der Geldtransfer über Bitcoins für Cyberkriminelle besonders attraktiv.
Immer mehr Unternehmen werden Opfer von Ransomware
Neben Kommunen geraten besonders Unternehmen immer mehr ins Fadenkreuz von Cyberkriminellen. Die Heise Gruppe und der Heinz Heise Verlag wurden Opfer des Trojaners Emotet. Ein Mitarbeiter öffnete eine Datei aus einer Mail, die scheinbar von einem Geschäftspartner stammte. Emotet verbreitete sich im System, befiel mehrere Rechner und richtete großen Schaden an.
In einem weiteren Fall wurden mehrere Computersysteme und Server der weltweit agierenden Laborgruppe Eurofins befallen. Um weitere Schäden zu verhindern, entschieden sich die Techniker dazu, die betroffenen Rechner vom Netz zu nehmen.
Einen weiteren spekakulären Fall können Sie hier nachlesen: Hackerangriff auf Garmin: Erpresser forderten Lösegeld in Höhe von 10 Millionen US-Dollar.
Ransomware eingefangen: So handeln Sie richtig
Diese Beispiele zeigen, dass jeder Opfer von Ransomware werden kann. Wenn es Sie erwischt hat, dann sollten Sie zunächst Ruhe bewahren und sich dann Schritt für Schritt um die Lösung des Problems kümmern. Die folgende Checkliste kann Ihnen dabei helfen:
- Analysieren Sie die Lage: Welche Daten wurden verschlüsselt, welche Systeme sind betroffen und wie umfangreich ist der Schaden?
- Sollten durch die Verschlüsselung personenbezogene Daten betroffen sein, müssen Sie dies gemäß DSGVO innerhalb von 72 Stunden an die zuständige Behörde und gegebenenfalls an die betroffenen Personen melden. Wie Sie eine Datenpanne richtig melden, erfahren Sie in unserem Artikel: Datenpanne melden: Wie, was, wann, wo?
- Versuchen Sie die betroffenen Systeme von der Schadsoftware zu befreien. Dafür sollten Sie einen IT-Sicherheitsexperten hinzuziehen. Wenn Sie selbst Ihre System bereinigen wollen, können Ihnen kostenlose Programme helfen.
- Ist das System bereinigt, können Sie versuchen, die verschlüsselten Daten zu decodieren. Im Internet finden Sie verschiedene Anbieter von kostenlosen Decodern für bekannte Ransomware:
- Kaspersky Decoder-Liste
- Bleib virenfrei Decoder-Liste
Sollte für die Schadsoftware, von der Sie betroffen sind, noch kein Decoder verfügbar sein, können Sie ein Datenbackup einspielen, um die verlorenen Daten wiederherzustellen. Haben Sie kein Backup angelegt, müssen Sie hoffen, dass Ihre Schadsoftware bald entschlüsselt wird, oder einen IT-Spezialisten für Datenrettung hinzuziehen. - Sofern Sie eine Berufshaftpflichtversicherung abgeschlossen haben, müssen Sie dieser den Vorfall unverzüglich melden, nur so kann der Versicherer schnellstmöglich reagieren und Ihnen dabei helfen, den Schaden so gering wie möglich zu halten.
Lösegeldforderung bei Ransomware: Zahlen oder nicht zahlen?
Betroffene, die mit einer Lösegeldforderung konfrontiert werden, wissen oft nicht, ob sie diese bezahlen sollen oder nicht. Eine klare Antwort gibt es auf diese Frage nicht, da es immer auf den Einzelfall ankommt. Je nachdem wie wichtig die betroffenen Daten sind (beispielsweise Gesundheitsdaten von Patienten im Krankenhaus) kann es sein, dass die betroffene Institution keine Zeit hat zu warten, bis der Verschlüsselungstrojaner beseitigt ist. Oft wird dann das Lösegeld in der Hoffnung gezahlt, dass der Spuk schnell ein Ende hat.
Doch genau hier liegt das Problem. Keiner kann garantieren, dass nach der Lösegeldzahlung die Daten wirklich wieder freigegeben werden. Die gängige Meinung unter Experten ist daher, kein Lösegeld zu bezahlen. Auch der BSI rät dazu, der Lösegeldforderung nicht nachzukommen. Stattdessen sollen Betroffene den Bildschirm inklusive Erpressungstext fotografieren und Anzeige erstatten.
Auch der moralische Aspekt spielt eine Rolle. Schließlich wollen die Cyberkriminellen mit einem Ransomware-Angriff Geld verdienen. Wenn die Lösegelder in den meisten Fällen bezahlt werden, funktioniert das Geschäftsmodell und dieses wird weiterverfolgt. Mit dem Geld werden weitere Schadprogramme finanziert und die Forderungen werden immer höher, da die Kriminellen erkennen, dass die Opfer zahlungswillig sind.
So können Sie sich vor Ransomware schützen
Damit es gar nicht erst soweit kommt, gibt es einige Tipps, um eine Infizierung mit Ransomware zu verhindern:
1. IT-Infrastruktur stärken
Investieren Sie in gute Hardware, geschultes Personal für die IT-Sicherheit und gute Antivirensoftware. Auch wenn Sie dafür ordentlich Geld in die Hand nehmen müssen, es zahlt sich am Ende aus und verhindert hohe Folgekosten.
2. Backups anlegen
Legen Sie regelmäßig Backups Ihrer Daten an. So sind Sie abgesichert, wenn Ihre Daten verschlüsselt werden. Achten Sie aber darauf, dass die Sicherungskopien von Ihrem Netzwerk getrennt sind, denn sonst besteht die Gefahr, dass sich die Ransomware auch auf die Sicherungskopie ausbreitet. Geeignet sind Speicherträger, die vom Computer getrennt werden können und erst nach der Bereinigung des Systems wieder angeschlossen werden (zum Beispiel USB-Stick oder externe Festplatte).
3. Halten Sie die Software aktuell
Achten Sie darauf, dass Sie immer die aktuellste Version Ihrer Software verwenden, egal ob Betriebssystem, Antivirensoftware oder andere Programme. Veraltete Versionen sind für Angreifer ein potenzielles Einfallstor. Die Updates und Patches sind notwendig, um auf aktuelle Schadsoftware reagieren zu können.
4. Remoteunterstützung deaktivieren
Über die Remoteunterstützung kann Ransomware nicht nur einzelne Computer, sondern ganze Netzwerke befallen. Daher sollten Sie das Remote Desktop Protocol (RDP) in den Systemeigenschaften ausschalten. Die Remoteunterstützung ist dazu gedacht, einen entfernten Zugriff von unterwegs auf einen Windows-PC zu ermöglichen.
5. Vorsicht vor gefährlichen E-Mails
Ein oft genutztes Einfallstor für Ransomware ist die E-Mail. Scheinbar vertrauenswürdige Mails enthalten Dateianhänge oder einen Link, die der Empfänger öffnen oder anklicken soll. Dadurch kann Ihr System mit Schadsoftware infiziert werden. Daher sollten Sie niemals E-Mails von unbekannten Absendern öffnen. Und auf gar keinen Fall auf Links klicken oder Dateien öffnen, wenn Sie nicht absolut sicher sind, dass der Sender vertrauenswürdig ist. Im Zweifelsfall sollten Sie den Sender telefonisch kontaktieren und sich bestätigen lassen, dass der Link oder die Datei wirklich notwendig und ungefährlich ist. Besonders vorsichtig sollten Sie sein, wenn eine Mail Dateien mit folgenden Endungen enthält:
- .exe
- .mov
- .avi
- .mpg
- .zip
- .doc
Tipp:
Bei Windows kann es sein, dass bekannte Dateiendungen automatisch ausgeblendet werden. Somit könnte es Ihnen passieren, dass Sie eine Datei erhalten, die „Urlaubsfoto.JPEG“ heißt, in Wahrheit aber als „Urlaubsfoto.JPEG.exe“ benannt ist. Somit wäre es keine Bilddatei sondern eine ausführbare Anwendung, die Schaden anrichten kann. In den Optionen des Windows Explorers können Sie den Punkt „Erweiterungen bei bekannten Dateientypen ausblenden" deaktivieren. Dann werden Ihnen die vollständigen Dateiendungen angezeigt und Sie vermeiden Verwechslungen.
Die folgende Grafik zeigt, wie Ransomware zu einer Infektion der Systeme führt.
Was ist ein Drive-by-Angriff?
Bei einem Drive-by-Angriff fängt sich der Besucher einer Webseite ohne es zu wissen eine Schadsoftware ein, die beim Aufruf der Seite automatisch heruntergeladen wird. Cyberkriminelle nutzen Sicherheitslücken von gewöhnlichen Webseiten, um dort den gefährlichen Code zu verstecken. Die Betreiber der Seite wissen oft gar nicht, dass ihre Webseite für die Verbreitung von Schadsoftware missbraucht wird. Um sich vor einem Drive-by-Angriff zu schützen, sollten Sie Ihren Browser und sämtliche Programme stets aktuell halten.
6. Mitarbeiter schulen
Gerade in Unternehmen, in denen viel E-Mail-Verkehr stattfindet und viele Mitarbeiter im Internet unterwegs sind, ist es besonders wichtig, dass diese über Cybercrime-Risiken Bescheid wissen. Daher sollten Sie Ihre Mitarbeiter diesbezüglich schulen und ihnen Handlungsempfehlungen mit auf den Weg geben, wie sie Angriffe erkennen können und wie sie in welcher Situation richtig reagieren.
Eine Zusammenfassung über die Gefahrenlage, die Prävention und den Umgang mit Ransomware, bietet Ihnen dieser Bericht des Bundesamts für Sicherheit in der Informationstechnik.
Die folgende Grafik zeigt Ihnen, welche Schutzmaßnahmen Unternehmen am häufigsten nach einer Cyberattacke umgesetzt haben:
Das beste Backup: Eine Berufshaftpflichtversicherung über exali.de
Gerade Unternehmen geraten immer mehr ins Visier der Erpresser. Auch wenn Sie alle unsere Tipps umsetzen, ein Restrisiko bleibt! Um dieses aufzufangen, gehört zu einem optimalen Risikomanagement eine gute Berufshaftpflichtversicherung. Bei exali.de gibt es dafür drei Möglichkeiten:
- Mit einer Berufshaftpflichtversicherung über exali.de ist Ihr Unternehmen oder Ihre Tätigkeit als Freelancer bestens versichert. Wenn Sie Opfer einer Cyberattacke werden, zum Beispiel von einem Verschlüsselungstrojaner, dann sind Schäden, die einem Dritten durch diesen Angriff entstehen, automatisch abgesichert. Zum Beispiel, wenn bei einem Angriff Kundendaten verlorengehen.
- Durch eine Cyberattacke entstehen auch Ihnen selbst Kosten. Mit dem optionalen Zusatzbaustein „Datenschutz- & Cyber-Eigenschaden-Deckung“ können Sie Ihre Berufshaftpflichtversicherung erweitern, sodass der Versicherer auch eigene Kosten im Zusammenhang mit einem Cyberangriff übernimmt (beispielsweise für einen IT-Forensik-Spezialisten).
- Für einen flexiblen und individuellen Schutz im Bereich der Cyber-Risiken, bietet exali.de auch eine Cyber-Versicherung als „Stand-alone-Lösung“ an. Aus verschiedenen Modulen können Sie so Ihren auf Ihr Business angepassten Schutz zusammenstellen.
Hinweis:
Im Fall einer Ransomware-Attacke mit Lösegeldforderung würde der Versicherer als letzte Möglichkeit das Lösegeld bezahlen, wenn alle Versuche, die Daten anderweitig wiederherzustellen, scheitern. Außerdem bezahlt der Versicherer eine Belohnung für Hinweise auf die Täter.
Der Versicherer ist jedoch nicht nur im Schadenfall für Sie da, er versucht immer auch Schäden zu verhindern. Mit dem kostenlosen Cyber-Präventionspaket können Sie als exali.de-Kunde beispielsweise kostenlos an einem Onlinekurs teilnehmen. Dort lernen Sie, wie Sie Phishing-Mails erkennen, sichere Passwörter generieren und erhalten ein Zertifikat für Datenschutz und Cybersicherheit.
Wenn Sie Fragen haben oder weitere Informationen zur Absicherung gegen Cyber-Risiken wünschen, dann zögern Sie nicht und rufen Sie uns gerne an. Bei exali.de gibt es keine Telefonwarteschleife und kein Callcenter. Ihr persönlicher Ansprechpartner ist gerne für Sie da!
© Jan Mörgenthaler – exali AG
Wer bin ich?
Nach meinem Bachelor in Medienkonzeption habe ich in Köln als Redaktionsassistent bei einer Produktionsfirma gearbeitet und bin nun im schönen Augsburg bei exali.de in der Online-Redaktion gelandet.
Was mag ich?
Eishockey, Motorradfahren, Freizeitparks, Gaming und leckeres Essen.
Was mag ich nicht?
Stau, Pilze und lange Warteschlangen an der Achterbahn.
