Der Begriff Ransomware bezeichnet einen Typ Schadsoftware, der beim Befall eines Computersystems versucht, die dort gespeicherten persönlichen Daten des Benutzers, also seine Bilder, Dateien, bei Firmen Geschäftsdaten usw., durch Verschlüsselung unbenutzbar zu machen und dann eine Art Lösegeld dafür zu erpressen, normalerweise zahlbar in einer Cryptowährung wie Bitcoin. Ransomware wird auch oft als Erpressungstrojaner oder Verschlüselungstrojaner bezeichnet, manchmal auch fälschlicherweise als BKA-Trojaner, weil die verbundene Erpressungsmeldung vorgibt, von einer Behörde wie dem Bundeskriminalamt zu sein. Nicht zu verwechseln mit dem sogenannten „Staatstrojaner“.
Ransomware im Vergleich zu anderer Schadsoftware
Ransomware befindet sich seit Jahren auf einem Höhenflug und dürfte mittlerweile zur häufigsten und schädlichsten Bedrohung geworden sein, der sich Computeranwender gegenübersehen. Hierfür gibt es mehrere Gründe.
Zum einen hat wirklich jeder persönliche Daten, deren Verlust schmerzhaft wäre, und wenn es nur die Fotos der Enkelkinder sind. Schadsoftware mit solch breitem Einsatzgebiet wird massenhaft verteilt, meist über E-Mail-Anhänge. Praktisch jeder Empfänger ist ein interessantes Ziel.
Demgegenüber sind Schadprogramme wie z.B. Online-Banking-Trojaner auf eine kleinere Zielgruppe beschränkt. Wenn das eigene System von einem Banking-Trojaner befallen ist, der aber für eine Bank konzipiert ist, deren Kunde man nicht ist, entsteht auch kein Schaden. Die meisten Schadsoftware-Arten haben deshalb wesentlich geringere Erfolgschancen als Ransomware. Auch die zusätzlichen Sicherheitsvorkehrungen z.B. gegen Banking-Trojaner werden besser und erschweren die erfolgreiche Manipulation des Bankverkehrs.
Ransomware hingegen benötigt nicht einmal große Sicherheitslücken im System oder administrative Rechte. Ransomware verschlüsselt die Daten, die der Benutzer selbst im Zugriff hat, es sind ja seine. Dazu sind keine besonderen Rechte nötig. Letztendlich kann der Benutzer auch selbst den Wunsch haben, seine Daten gegen unberechtigen Zugriff zu schützen, indem er sie verschlüsselt. Ransomware tut nichts anderes, nur besitzt der Benutzer den Schlüssel nicht.
Vor einigen Jahren lag ein Bitcoin mal umgerechnet bei 300 €. Zu der Zeit war eine Lösegeldforderung von einem Bitcoin normal. Durch den Höhenflug der Cryptowährungen und den Erfolg der Ransomwareattacken wurde es interessanter, Firmen und Institutionen anstelle von Privatleuten ins Visier zu nehmen, weil diese auch höhere Summen zahlen können. Laut dem Unit 42 Threat Report lagen die 2021 beobachteten Lösegeldforderungen im Durchschnitt bei 2,2 Millionen US-Dollar pro Fall und es wurden im Durchschnitt 541.010 Dollar gezahlt.
Aber selbst wenn eine solche Lösegeldforderung in Ihrem Fall völlig unrealistisch wäre und Sie nicht zahlen können oder wollen, wären die Daten dennoch weg.
Verlauf einer Ransomware-Infektion
In der Regel beginnt der Angriff eines Ransomware-Trojaners mit einem präparierten E-Mail-Anhang. Der Empfänger der E-Mail soll diesen öffnen. In den meisten bekannten Fällen handelt es sich dabei um ein Microsoft Office-Dokument, also eine Datei aus Word, Excel o.ä. Dieses Dokument enthält aktive Programme, sogenannte Makros. Die Möglichkeit, Makro-Programme in Office-Dokumente zu integrieren, ist eine grundsätzlich nützliche Funktion, wurde hier aber ohne größere Gedanken an Sicherheit implementiert und mit viel zu großen Rechten ausgestattet. Zwar warnen Microsoft Office Anwendungen mittlerweile standardmäßig davor, wenn Dateien Makros enthalten, aber diese Warnungen werden regelmäßig ignoriert und weggeklickt, weil der Durchschnittsanwender sie ohnehin nicht versteht.
Damit das passiert, erregen die meisten Angriffe über E-Mail-Anhänge Angst oder Neugier: sie geben vor, dass das beiliegende Dokument eine hohe Rechnung, eine letzte Mahnung oder eine lukrative Bestellung ist. Sie empfehlen sogar oft, die Makroschutz außer Kraft zu setzen, und erläutern, wie das geht.
Sobald das Makro läuft, lädt es den eigentlichen Schadcode der Ransomware aus dem Internet nach und befällt das System. Die Dateien werden verschlüsselt, das System selbst bleibt aber weitgehend intakt. Dann wird eine Erpressungsmeldung angezeigt, in der erläutert wird, auf welche Weise man ein Lösegeld zahlen soll, um den Schlüssel zu erhalten, mit dem die Daten wieder entschlüsselt werden können.
Natürlich gibt es keine Garantie, dass man den Schlüssel erhält, dass er funktioniert oder dass kein neuer Befall erfolgt. Die Behörden raten im allgemeinen dazu, nicht auf die Erpressung einzugehen. Aber das ist leicht gesagt, wenn eine Firma, Praxis, Kanzlei o.ä. weiter arbeiten soll.
Schäden durch Ransomware
Sicher haben Sie in den letzten Jahren mitbekommen, dass häufig große Firmen, Krankenhäuser, Behörden, ganze Stadtverwaltungen aufgrund von starken IT-Problemen und Schadsoftwarebefall für längere Zeit nicht einsatzfähig waren. Das ist in den meisten Fällen auf Ransomware zurückzuführen. Die Website Statista berichtet z.B., dass von 600 Unternehmen in den USA, die zu dem Thema befragt wurden, im Jahre 2020 68% eine Ransomware-Infektion hatten und das Lösegeld bezahlt haben, 10% infiziert waren, aber nicht gezahlt haben, und nur 22% keine Ransomware-Infektion hatten.
Der volkswirtschaftliche Schaden ist gewaltig. Der Gewinn auf Seiten der Verbrecher, welche die Ransomware verbreiten, ist immens, bei sehr geringem Aufwand und Risiko. Sie unterhalten tatsächlich in einigen Fällen Hotlines, bei denen man als Opfer anrufen und sich durch den Bezahlungsprozess geleiten lassen kann. Das muss man sich mal auf der Zunge zergehen lassen…
Wie schützt man sich also effektiv vor Ransomware?
Wie erwähnt, erfolgt die Infektion häufig auf dem Weg des infizierten Microsoft Office-Dokuments mit Makros. Das führt zu zwei Vorbedingungen: das angegriffene System ist Windows und darauf läuft Microsoft Office. Es gibt nur einige wenige andere und bei weitem weniger erfolgversprechende Angriffsvektoren. Dem gegenüber ist die Zielgruppe potentieller Opfer bei der genannten Kombination so riesig, dass es kaum lohnt, die Operation auf andere Wege auszuweiten. Eine solche Ausweitung geschieht in der Regel bei wirklich großen und zahlungskräftigen Zielen, die erst einmal in Ruhe ausgekundschaftet und dann gezielt über Sicherheitslücken in der IT-Technik oder Social Engineering angegriffen werden.
Würde man als relativ normaler Anwender also auf den Einsatz von Windows und Microsoft Office verzichten, hätte man wohl weit über 90% des Gefahrenpotentials bereits eingedämmt. Das heißt nicht, dass andere Systeme nicht angreifbar wären – aber die Zahl der Angriffe ist minimal. Allgemeine Vorsicht beim Umgang mit fremden Dokumenten und E-Mail-Anhängen aller Art ist natürlich immer sinnvoll und Sicherheitsupdates für alle Programme, aber auch eingesetzte Hardware wie z.B. NAS-Speicher, sollten umgehend eingespielt werden.
Wenn man aber in der Situation ist, sowohl Windows als auch Microsoft Office einsetzen zu müssen, gibt es eine einfache Möglichkeit, präparierten Dokumenten die Zähne zu ziehen: man öffnet sie, falls man annimmt, dass die Dokumente doch echte und sinnvolle Informationen enthalten, mit einer anderen, weitgehend kompatiblen Office-Suite, z.B. Libre Office. Diese kostenlose Open Source Office Suite kann Microsoft Office-Dokumente öffnen. Sie kann aber dessen Makros nicht ausführen, weshalb keine Ransomware nachgeladen werden kann. Das Dokument mag dann nicht ganz exakt so aussehen, wie es in MS Office aussieht, aber für eine Beurteilung der Legitimität sollte das immer ausreichen.
Eine weitere wichtige und allgemeine Vorsichtsmaßnahme besteht in regelmäßigen Datenbackups. Alle Daten sollten regelmäßig auf separaten und nicht dauerhaft verbundenen Datenträgern wie z.B. externen Festplatten oder NAS-Systemen gespeichert werden. So hat man immer noch eine Kopie der Daten, falls es doch zu einem erfolgreichen Befall kommt. Aber natürlich nur, wenn der separate Datenträger nicht gleich mit verschlüsselt ist. Deshalb ist es sinnvoll, wenn dieser nur während der Datensicherung erreichbar ist und sonst nicht mit dem System verbunden ist.
Antivirenscanner u.ä. verfügen mittlerweile oft über eine Art Erkennungssystem für unerwünschte Verschlüsselungsvorgänge, aber es wäre fahrlässig, sich darauf zu verlassen. Es ist immer besser, kein Risiko einzugehen.
Wenn das Kind bereits in den Brunnen gefallen ist, besteht trotzdem noch eine gewisse Hoffnung, auch ohne zu zahlen: regelmäßig werden Schlüssel für Ransomware bekannt, die es ermöglichen, die Daten wieder zurückzuerhalten. Es waren tatsächlich schon mal Ransomware-Verteiler so erfolgreich, dass sie großzügigerweise selbst die Schlüssel herausgerückt haben. Andere werden durch ermittelnde Behörden und IT-Spezialisten entdeckt. Es gibt mehrere Websites, auf denen man solche Entschlüsselungsmöglichkeiten findet, z.B. hier.