Ransomware

Was ist Ransomware?

| Autor: Herbert Wieler

Was ist Ransomware?

Ransomware ist eine besonders gefährliche Form von Schadsoftware. Sie blockiert oder verschlüsselt Daten auf Computern und Netzwerken – manchmal sogar gleich ganze Systeme – und macht sie für die Betroffenen unzugänglich. Oft drohen die Angreifer zusätzlich, sensible Informationen zu veröffentlichen.

Das perfide daran: Den Schlüssel zur Entschlüsselung oder den erneuten Zugang zum Gerät bieten die Täter nur gegen Bezahlung eines Lösegelds an. Fast immer gibt es dabei eine Frist. Wird diese nicht eingehalten, drohen die Kriminellen, die Daten endgültig zu löschen oder öffentlich preiszugeben.

Ransomware betrifft heute alle Branchen – von Banken und Behörden über Schulen und Krankenhäuser bis hin zu Kanzleien und kleinen Unternehmen. Die Schadsoftware kann lokale Festplatten befallen, sich auf angeschlossene Geräte ausbreiten, Backups sabotieren und komplette Netzwerke lahmlegen. Zwar ist es manchmal möglich, Daten ohne Lösegeld wiederherzustellen, doch das kostet in der Regel viel Zeit, Geld und Nerven. Besonders heikel wird es, wenn Angreifer beschließen, vertrauliche Daten im Internet zu veröffentlichen – dagegen hilft kein Backup.

Ransomware – ein wachsendes Problem

Die erste dokumentierte Ransomware-Attacke reicht zurück ins Jahr 1989. Damals verschickte ein Arzt Disketten, die angeblich einen Fragebogen zur Aids-Forschung enthielten. Tatsächlich versteckte sich darauf der sogenannte „AIDS-Trojaner“, der Dateien verschlüsselte und die Opfer zur Zahlung eines Lösegelds zwang.

Heute sind Angriffe um ein Vielfaches raffinierter – und kostspieliger. Ein Beispiel: Am 2. Juli 2021 nutzte die russische Gruppe REvil eine Sicherheitslücke in der Software des US-Unternehmens Kaseya, um mehr als 1.500 Organisationen gleichzeitig zu infizieren. Die Täter forderten 70 Millionen Dollar für die Entschlüsselung. Betroffen waren unter anderem eine schwedische Supermarktkette, Schulen in Neuseeland und sogar eine US-Kleinstadt.

REvil war zu diesem Zeitpunkt kein Unbekannter: Nur wenige Wochen zuvor erpresste die Gruppe den Fleischkonzern JBS um 11 Millionen Dollar. Und sie sind nicht allein. Ransomware boomt: Laut FBI wurden 2020 bereits 2.500 Angriffe gemeldet – ein Anstieg von 20 % gegenüber dem Vorjahr. Experten schätzten die weltweiten Schäden für 2021 auf rund 20 Milliarden Dollar.

Die Folgen für Betroffene sind verheerend: Wochen- oder sogar monatelange Ausfälle, enorme Kosten und oft ein irreparabler Datenverlust. 71 % der Unternehmen, die Opfer von Ransomware wurden, konnten ihre Daten nicht vollständig wiederherstellen. Selbst wer das Lösegeld zahlte, blieb häufig auf Verlusten sitzen – rund die Hälfte verlor zumindest einige Dateien, 13 % sogar fast alle.

Die wichtigsten Ransomware-Arten

Wer sich schützen will, muss die Bedrohung verstehen. Grundsätzlich gibt es zwei Hauptarten:

  • Krypto-Ransomware: verschlüsselt Dateien und macht sie unbrauchbar, bis ein Lösegeld gezahlt wird. Typisch ist eine kurze Frist von 24 bis 48 Stunden.
  • Locker-Ransomware: blockiert den Zugang zum Gerät komplett, sodass es gar nicht mehr nutzbar ist. Darüber hinaus existieren viele Varianten mit unterschiedlichen Verbreitungsmethoden.
  • Bad Rabbit tarnt sich als gefälschtes Adobe-Flash-Update.
  • Locky kommt oft als Anhang in einer scheinbar harmlosen Rechnungsmail.

Wer steckt hinter Ransomware?

Die meisten Angreifer sind Kriminelle mit einem klaren Ziel: Geld. Zwar gibt es auch politisch motivierte Attacken, doch in den meisten Fällen geht es schlicht um Profit. Attraktive Ziele sind Organisationen mit wertvollen oder sensiblen Daten – etwa Bankinformationen, Sozialversicherungsnummern, Patientenakten oder Behördenunterlagen. Besonders häufig im Visier: kritische Infrastruktur, Gesundheitseinrichtungen, Strafverfolgungsbehörden und staatliche Institutionen.

So beugen Sie Ransomware-Angriffen vor

Auch wenn Ransomware beängstigend wirkt – Unternehmen können einiges tun, um sich zu schützen:

  1. Systeme aktuell halten: Updates für Betriebssysteme und Software schließen bekannte Sicherheitslücken.
  2. Schutzsoftware nutzen: Antivirus-Programme und Whitelisting verhindern, dass Schadprogramme unbemerkt ausgeführt werden.
  3. Mitarbeiter schulen: Keine unbekannten Programme installieren, keine verdächtigen Websites besuchen, keine administrativen Rechte leichtfertig vergeben.
  4. E-Mails prüfen: Vorsicht bei Anhängen, auch wenn der Absender vertraut wirkt. Besonders bei ZIP-Dateien oder ungewöhnlich formulierten Nachrichten ist Skepsis angebracht.
  5. Bedrohungslage im Blick behalten: Aktuelle Angriffsmethoden kennen – ob Fake-Updates, Phishing-Kampagnen oder andere Tricks.
  6. Backups einrichten: Automatisierte, unveränderliche Backups sind entscheidend, um nach einem Angriff schnell wieder arbeitsfähig zu werden.

Was tun im Ernstfall?

Wenn ein Ransomware-Angriff erkannt wird, zählt jede Minute. Die wichtigsten Schritte:

  • Sofort isolieren: Das betroffene Gerät vom Netzwerk trennen, externe Laufwerke entfernen, WLAN und Bluetooth ausschalten.
  • Ausbreitung verhindern: Verdächtige Geräte im Netzwerk identifizieren und ebenfalls isolieren.
  • Schaden bewerten: Liste aller betroffenen Systeme und Dateien erstellen.
  • Infektionsquelle finden: Antivirenmeldungen prüfen, Mitarbeiter befragen, verdächtige Aktivitäten nachvollziehen.
  • Ransomware identifizieren: Über Plattformen wie No More Ransom lässt sich oft der Schädling bestimmen – manchmal sogar mit einem kostenlosen Entschlüsselungstool.
  • Behörden informieren: Das FBI und andere Strafverfolgungsbehörden raten von Lösegeldzahlungen ab. Stattdessen sollte der Angriff gemeldet werden, um Täter dingfest zu machen und Unterstützung bei der Wiederherstellung zu erhalten.

Wiederherstellung und Schutz

Einige moderne Lösungen helfen Unternehmen, auch nach schweren Angriffen schnell wieder auf die Beine zu kommen. Anbieter wie Rubrik setzen auf unveränderliche Backups, die selbst von Ransomware nicht überschrieben werden können.

  • Rubrik Radar erkennt betroffene Dateien und beschleunigt die Analyse.
  • Rubrik Sonar spürt sensible Daten wie personenbezogene Informationen (PII) im Netzwerk auf.
  • Multi-Cloud-Schutz sorgt dafür, dass Daten in hybriden Umgebungen zuverlässig gesichert sind – sowohl während der Übertragung als auch im Ruhezustand. So können Unternehmen sicherstellen, dass sie auch nach einem Angriff innerhalb kürzester Zeit wieder arbeitsfähig sind.

Fazit

Ransomware ist keine ferne Bedrohung mehr, sondern Alltag für viele Unternehmen. Wer vorbereitet ist – mit aktuellen Systemen, geschultem Personal und sicheren Backups – kann das Risiko deutlich senken und im Ernstfall schneller reagieren.