Im Februar wurde bekannt, dass zwei Krankenhäuser in Nordrhein-Westfalen von Ransomware befallen wurden. Fast zeitgleich hatte auch eine Klinik in Los Angeles mit diesem Problem zu kämpfen. Seit den ersten Fällen von Ransomware in 2012 ist die Verbreitung stetig gestiegen und mittlerweile gibt es fast wöchentlich neue Meldungen zu einer Infektion.

Funktion von Ransomware

Mit Ransomware möchten die Kriminellen den Zugriff auf den Computer bzw. die gespeicherten Daten verhindern und die Betroffenen zur Zahlung eines Lösegeldes bewegen. Erst nach der Zahlung des Lösegelds erhalten die Betroffenen wieder Zugriff auf ihre Daten. Zur Erreichung dieses Zieles wird entweder der Zugriff auf das Betriebssystem über einen Lock-Screen verhindert oder alle zugreifbaren Dateien werden von der Ransomware verschlüsselt.

Der typische Verbreitungsweg von Ransomware ist eine angehängte Datei in einer Phishing-Mail. Durch die Phishing-Mail soll der Anwender zum Öffnen des infizierten Anhanges gebracht werden und das Betriebssystem wird dann gesperrt oder die Daten werden verschlüsselt. Anschließend wird ein Key zum entsperren bzw. entschlüsseln an den Control-Server gesendet und der Benutzer erhält eine Lösegeld-Forderung.

Wenn die Ransomware einen Lock-Screen einsetzt, wird häufig nur die Verwendung des Betriebssystems verhindert, die Daten sind aber noch unverschlüsselt auf der Festplatte und können daher relativ einfach gerettet werden, z.B. durch den Einsatz einer Live-CD.

Wenn die Daten dagegen verschlüsselt werden, gestaltet sich die Datenrettung schwieriger. In den ersten Ransomwares wurden häufig noch Eigenentwicklungen zur Verschlüsslung eingesetzt, die Aufgrund von Fehlern in der Implementierung eine einfache Entschlüsselung ermöglichten. Mittlerweile setzen die Ransomware-Entwickler aber auch auf Standardalgorithmen, z.B. AES-256, zur Verschlüsselung und verwenden dazu Implementierungen aus Standard-Kryptobibliotheken.

Deswegen ist bei neueren Ransomwares die Wiederherstellung der verschlüsselten Daten häufig recht unwahrscheinlich, außer das Lösegeld wird bezahlt, um den Entschlüsselungsschlüssel zu erhalten.

Am Anfang wurde bezweifelt das die Daten nach Zahlung wirklich zurück erhalten werden. Es sind aber kaum Meldungen bekannt, bei denen nach der Lösegeldzahlung die Entschlüsselungsschlüssel nicht bereitgestellt wurden. Häufig haben die Erpresser sogar „Support-Hotlines“, bei denen sich die Betroffenen melden können.

Schutzmaßnahmen gegen Ransomware

Damit einem die Zahlung von Lösegeldern erspart bleibt, gibt es zwei sinnvolle Schutzstrategien, die im Idealfall beide verfolgt werden sollten.

Zunächst sollte die Minimierung des möglichen Schadens durch ein restriktives Berechtigungskonzept und die tägliche Sicherung der Daten erfolgen. Denn die Ransomware kann nur die Daten verschlüsseln, die sich im Zugriffsbereich des infizierten Benutzers befinden. Ein restriktives Berechtigungskonzept führt dazu, dass nur ein kleiner Datenbestand, z.B. die Daten einer einzelnen Abteilung, von der Ransomware verschlüsselt werden kann und (hoffentlich) der Großteil der Unternehmensdaten gar nicht verschlüsselt werden.

Wenn dazu auch noch tägliche Datensicherungen angelegt werden und effektiv nur der Zugriff auf die Daten des letzten Tages verhindert wird, ergibt sich ein viel geringeres Schadenspotential, als wenn der Zugriff auf die gesamten Unternehmensdaten der letzten Woche, Monat oder vielleicht sogar des letzten Jahres möglich ist. Dabei muss natürlich sichergestellt werden, dass die erstellen Datensicherungen nicht auch von der Ransomware verschlüsselt werden können.

Zum anderen sollte die Wahrscheinlichkeit für einen erfolgreichen Angriff mittels Ransomware reduziert werden. Hier ist vor allem die Sensibilisierung der Mitarbeiter für Phishing-Mails und die möglichen Gefahren durch E-Mail-Anhänge sinnvoll. Wenn Mitarbeiter eingehende E-Mails mit einem gesunden Maß an Paranoia prüfen und im Zweifel vielleicht einfach mal beim Absender nachfragen wird ein erfolgreicher Angriff über Phishing-Mails unwahrscheinlich. Da Phishing-Mails auch immer ausgereifter werden und immer wieder neue Maschen probiert werden, sollten die Sensibilisierungsmaßnahmen nicht als einmalige Angelegenheit gesehen werden, sondern auch regelmäßig durchgeführt werden.

Abschließend sollte noch ein Virenschutz auf den IT-Systemen eingerichtet werden, damit ausgeführte Ransomware-Malware doch noch erkannt werden kann, bevor diese Schaden anrichten kann. Damit dies funktionieren kann, muss die tägliche Aktualisierung der Virendefinitionen sichergestellt werden. Außerdem sollte den Mitarbeitern klar sein, dass ein Virenschutz nur vor bekannter Malware schützen kann und daher kein Schutzgarant ist

Fazit

Wenn der Zugriff auf die Daten für die Aufrechterhaltung des Betriebs sehr wichtig ist, sollte das Risiko durch Ransomware nicht unterschätzt werden und dabei ist es egal ob das betroffene Unternehmen ein Krankenhaus, ein Logistikunternehmen oder eine Behörde ist.

Allerdings handelt es sich bei den empfohlenen Schutzmaßnahmen auch nicht um besonders spezifische Maßnahmen, sondern diese sind als Best-Practice der IT-Sicherheit anzusehen.

Ein in der IT-Sicherheit gut aufgestelltes Unternehmen muss wahrscheinlich nur prüfen, ob die Häufigkeit der Datensicherungen und Mitarbeitersensibilisierungen für den Schutz ausreichend sind.