Foto generiert mit Microsoft Copilot
Was ist Ransomware?
Als die Hacker kamen, blieb Ernst Walter, geschäftsführender Beamter der kleinen Gemeinde Kammeltal im Landkreis Günzburg, nur noch der „Buchstabensalat“ auf seinen Bildschirmen. Im April 2021 hatten Angreifer die Server der Gemeinde verschlüsselt und versuchten, die Verwaltung zu erpressen: Daten gegen Geld.
Dieser Fall ist einer von vielen: Ransomware trifft Unternehmen und Organisationen weltweit.
Ransomware ist eine Form von Schadsoftware, die den Zugriff auf Daten oder ganze Systeme blockiert und für deren Freigabe ein Lösegeld verlangt – daher auch der Name, abgeleitet vom englischen Wort „Ransom“ für Lösegeld. Je nach Variante sperrt die Software entweder den kompletten Zugriff auf das System oder verschlüsselt gezielt wichtige Dateien. Besonders verbreitet sind Angriffe auf Windows-Rechner, grundsätzlich können jedoch alle Systeme betroffen sein.
Moderne Ransomware fordert das Lösegeld meist in Kryptowährungen wie Bitcoin, da diese Zahlungen schwerer nachverfolgbar sind. Eine Zahlung garantiert jedoch keinesfalls, dass die Daten oder Systeme wieder freigegeben werden. Manche Ransomware droht zusätzlich damit, sensible Informationen zu veröffentlichen, falls die Opfer nicht zahlen.
Wer die Mechanismen von Ransomware versteht, kann gezielt vorbeugen und im Ernstfall angemessen reagieren.
Wie läuft ein Ransomware-Angriff ab?
Ransomware-Angriffe folgen meist einem klaren Ablauf – von der ersten Informationssammlung bis zur Erpressung. Wer die Phasen kennt, kann Angriffe früher erkennen und effektiver abwehren.
Phase der Aufklärung
In dieser ersten Phase verschaffen sich die Angreifer einen Überblick über ihr potenzielles Ziel. Während sich einige Informationen bereits auf legalem Weg öffentlich einsehen lassen, können verdeckte Scans weitere wichtige Informationen für die Angreifer liefern. Kriterien für die Auswahl eines Ziels sind unter anderem der erwartete Aufwand des Angriffs, der Wert der Daten und das mögliche Lösegeld, das sich aus der Erpressung erzielen lässt.
Phase des Eindringens
Der tatsächliche Zugang kann über unterschiedliche Vektoren erfolgen. Häufig sind es Phishing-Mails oder infizierte Speichermedien, die den Faktor Mensch ausnutzen. Weitere Wege sind beispielsweise Brute-Force-Angriffe oder das Ausnutzen ungepatchter Software. Oft platzieren die Angreifer bereits zu diesem Zeitpunkt sogenannten Backdoor-Schadcode, um später wieder unbeobachtet Zugriff zu erhalten.
Phase der Seitwärtsbewegung
Nach dem ersten Zugang bewegen sich die Angreifer unauffällig durch das interne Netzwerk und suchen nach wertvollen Informationen und Dateien. Ziel ist es, den Schaden zu maximieren und möglichst kritische Ressourcen zu erreichen.
Phase der Rechteausweitung
Um Zugriff auf wertvolle Ziele zu bekommen, versuchen die Angreifer, ihre Berechtigungen auszubauen und an weitere Systemrechte zu gelangen.
Phase der Verschlüsselung
Schließlich startet die Verschlüsselung ausgewählter Dateien und Systeme. Moderne Angriffe nutzen häufig Ransomware-as-a-Service-Modelle: Schadsoftware kann „einfach gekauft“ und in vorhandene Angriffsketten integriert werden.
Phase der Erpressung
Mit verschlüsselten Daten und blockierten Prozessen fordern die Angreifer nun Lösegeld, meist in Kryptowährungen. Zahlungen bieten keine Garantie auf vollständige Wiederherstellung; zusätzlich wird durch Fristen, eskalierende Forderungen oder Veröffentlichungsdrohungen zusätzlicher Druck erzeugt.
Warum ist Schutz vor Ransomware so wichtig?
Ransomware kann enorme Schäden verursachen. Unternehmen drohen nicht nur wirtschaftliche Verluste durch gestoppte Produktion oder ausgefallene Dienstleistungen, sondern auch ein erheblicher Reputationsverlust, wenn Kundendaten betroffen sind oder Geschäftsprozesse gestört werden. Hinzu kommt der Datenverlust: Verschlüsselte oder gestohlene Informationen können für die Betroffenen unwiederbringlich verloren sein. Besonders kritisch wird es, wenn Angreifer durch zu hohe Rechte im System oder unzureichend durchdachte Backup-Konzepte Zugriff auf sämtliche Datensicherungen erhalten, wenn diese nicht offline gehalten werden.
Die geforderten Lösegeldsummen liegen laut BSI häufig im sechsstelligen Euro-Bereich; das BSI berichtet jedoch auch von achtstelligen Forderungen. Außerdem kann davon ausgegangen werden, dass Täter, die Daten erfolgreich verschlüsselt haben, auch in der Lage dazu sind, diese aus dem Netzwerk zu exfiltrieren. So besteht das Risiko, dass sensible Informationen für weitere Angriffe genutzt werden können.
Betroffen sind dabei längst nicht nur große Konzerne. Auch mittelständische Unternehmen, kleine Betriebe und öffentliche Einrichtungen wie Behörden oder Kliniken stehen zunehmend im Fokus der Angreifer. Ransomware ist damit eine ernstzunehmende Bedrohung für Organisationen jeder Größe.
10 Tipps zum Schutz vor Ransomware
1. Patches und Updates: Software immer aktuell halten
Eine der häufigsten Methoden, mit der Ransomware in IT-Systeme eindringt, ist die Ausnutzung von Sicherheitslücken in Softwareprogrammen – oft handelt es sich dabei um Schwachstellen, die bereits vom Hersteller behoben wurden. Werden diese Updates nicht eingespielt, bieten sie Angreifern ein leichtes Einfallstor.
Um sich gegen solche Angriffe zu schützen, sollten Updates und Patches unverzüglich nach ihrer Bereitstellung installiert werden. Idealerweise geschieht dies zentral über eine Softwareverteilung, sodass Betriebssysteme, Browser, Plug-ins und andere Anwendungen auf allen Clients aktuell gehalten werden. Ein striktes Patch Management reduziert die Angriffsfläche erheblich und erschwert Cyberkriminellen das Einschleusen von Schadsoftware.
2. Remote-Zugänge absichern
Angreifer versuchen häufig, Ransomware über kompromittierte Remote-Zugänge in Systeme einzuschleusen. Deshalb ist es besonders wichtig, den Zugriff von außen sorgfältig abzusichern. Remote-Verbindungen sollten in der Regel nur über VPNs erfolgen und zusätzlich durch Zwei-Faktor-Authentifizierung geschützt werden, um unbefugten Zugriff zu verhindern.
3. Ausführung von Programmen kontrollieren
Viele Ransomware-Infektionen könnten verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich unterbunden wird. Eine der effektivsten Maßnahmen hierfür ist das Application Whitelisting, bei dem nur zuvor freigegebene Programme ausgeführt werden dürfen.
Da die Verwaltung vollständiger Whitelists aufwendig sein kann, lässt sich zunächst auch ein Application Directory Whitelisting einsetzen, bei dem nur Programme aus bestimmten Verzeichnissen erlaubt sind. Mindestens sollte über Gruppenrichtlinien sichergestellt werden, dass Programme nur aus nicht vom Benutzer beschreibbaren Verzeichnissen ausgeführt werden dürfen.
4. Sorgfältiger Umgang mit Administrator-Accounts
Accounts mit privilegierten Rechten sollten ausschließlich für administrative Aufgaben genutzt werden. Aktivitäten wie E-Mails lesen oder im Internet surfen gehören nicht dazu und sollten über separate normale Nutzerkonten erledigt werden. Darüber hinaus ist es wichtig, dass administrative Konten stets durch eine Zwei-Faktor-Authentifizierung geschützt sind.
5. Netzwerk ordentlich segmentieren
Eine klare Netzsegmentierung kann die Auswirkungen eines Ransomware-Angriffs deutlich begrenzen, da sich die Schadsoftware so nur auf direkt verbundene Systeme ausbreiten kann. Für den Erfolg dieses Sicherheitskonzepts ist zudem ein sorgfältiger Umgang mit Administrator-Accounts (siehe oben) entscheidend, da unsachgemäße Nutzung die Schutzwirkung der Segmentierung erheblich reduzieren kann.
6. Backups
Backups sind die zentrale Maßnahme, um im Falle eines Ransomware-Angriffs die Verfügbarkeit der Daten sicherzustellen. Besonders wichtig ist dabei, dass die Sicherungen offline erstellt werden. Nach dem Backup sollten die Daten von den übrigen IT-Systemen getrennt aufbewahrt werden, um sie vor Angriffen und Verschlüsselung zu schützen.
Ein Backup umfasst nicht nur die reine Datensicherung, sondern auch die Planung und Vorbereitung für die Wiederherstellung. Dazu gehört, den Wiederanlauf der Systeme und die Rücksicherung der Daten im Ernstfall zu testen und sicherzustellen, dass die Abläufe reibungslos funktionieren.
7. Notfallplan erstellen und üben
Für den Worst-Case – die Systeme sind verschlüsselt und ein Erpressungsschreiben liegt vor – sollte ein Notfallplan existieren. Dieser regelt die Reaktion und die Wiederherstellung geschäftskritischer Systeme und sollte regelmäßig geübt werden.
Wichtig ist, dass geschäftskritische Systeme vorher identifiziert werden und alternative Kommunikationswege außerhalb des kompromittierten Netzwerks vorbereitet sind. Essenzielle Telefonnummern und Ansprechpartner sollten zusätzlich offline, zum Beispiel auf Papier, verfügbar sein, um im Ernstfall reagieren zu können.
8. E-Mails und Makros
E-Mails sollten möglichst im Nur-Text-Format angezeigt werden, um sich vor manipulierten Links und Schadcode in HTML-Mails zu schützen. Ist das nicht möglich, muss die Ausführung aktiver Inhalte in HTML-Mails unterbunden werden.
Mitarbeitende – insbesondere in Bereichen mit viel externer Kommunikation – sollten regelmäßig über E-Mail-Risiken geschult werden.
Für den sicheren Umgang mit MS-Office-Makros sollten gemäß BSI folgende Maßnahmen umgesetzt werden:
– Automatische Ausführung von JS/VBS bei Doppelklick verhindern
– Makros im Client, am besten per Gruppenrichtlinie, deaktivieren
– Vertrauenswürdige Makro-Orte im AD festlegen
– Nur signierte Makros nutzen
9. Schulung der Mitarbeitenden
Rund die Hälfte aller Cyberangriffe zielt auf den Menschen als Schwachstelle ab. Deshalb ist es für Unternehmen entscheidend, ihre Mitarbeitenden für Cybergefahren zu sensibilisieren. In gezielten Security-Awareness-Trainings können diese lernen, verdächtige Dateien, Links und Vorgänge frühzeitig zu erkennen und sicher damit umzugehen.
10. Einsatz von Ransomware-Schutzlösungen
Verdächtige ausführbare Dateien sollten blockiert und E-Mails-Security eingesetzt werden, um den Mailverkehr auf schädliche Nachrichten zu überwachen und Phishing-Angriffe zu verhindern.
Zur Erkennung unbekannter oder sogenannter Zero-Day-Malware, einschließlich Zero-Day-Ransomware, empfiehlt sich der Einsatz fortschrittlicher Sicherheitstechnologien wie signaturloser Verhaltensanalyse.
Worauf sollte man bei der Auswahl einer Ransomware-Schutzlösung achten?
Eine wirksame Ransomware-Schutzlösung erkennt, stoppt und beseitigt Angriffe in Echtzeit. Moderne Lösungen analysieren nicht nur bekannte Signaturen, sondern erkennen auch verdächtige Aktivitäten wie Massenverschlüsselungen oder ungewöhnliche Rechteausweitungen.
Funktionen wie Endpoint Detection & Response (EDR) oder Extended Detection & Response (XDR) sorgen dafür, dass Endgeräte, Netzwerkkomponenten und Cloud-Dienste umfassend überwacht werden. So lässt sich nachvollziehen, wie ein Angriff ins System gelangte, welche Bereiche betroffen sind und wie er sich ausbreiten könnte. Infizierte Systeme sollten automatisch vom Netzwerk isoliert werden, um weitere Schäden zu verhindern, und betroffene Dateien idealerweise auf vorherige, saubere Versionen zurückgesetzt werden können.
Aktuelle Bedrohungsinformationen helfen dabei, neue Ransomware-Varianten schneller zu erkennen und abzuwehren. Ebenso wichtig ist ein integrierter Schutz vor Phishing-Angriffen, da viele Ransomware-Attacken über manipulierte E-Mails starten. Ein Zero-Trust-Zugriffsmodell, das nach dem Prinzip „Least Privilege“ und Just-in-Time-Rechten arbeitet, minimiert den Schaden, falls Schadsoftware doch ins System gelangt.
Für Unternehmen ohne eigenes Sicherheitsteam können Managed-Detection-and-Response-Dienste (MDR) eine wertvolle Ergänzung sein. Sie überwachen rund um die Uhr, reagieren automatisch auf Vorfälle und unterstützen das interne Team dabei, Angriffe schnell einzudämmen und den Schaden zu begrenzen.
Ransomware-Schutz in der Praxis
Die WeDoIT Group bietet in Partnerschaft mit Cynet eine umfassende Ransomware-Schutzlösung an. Cynet All-in-One ist eine Plattform für erweiterte Bedrohungserkennung und -abwehr, die neben klassischen Ransomware-Angriffen auch neuartige Bedrohungen wie Zero-Day-Malware oder fortgeschrittene Trojaner erkennt, die herkömmliche signaturbasierte Sicherheitsmechanismen umgehen können.
Die Lösung verfolgt einen mehrschichtigen Ansatz: Verdächtige Dateien werden vor der Ausführung analysiert, Prozesse während der Laufzeit auf schädliches Verhalten überwacht und bei Auffälligkeiten automatisch gestoppt. Zusätzlich fließen aktuelle Bedrohungsinformationen ein, um bekannte Ransomware frühzeitig zu identifizieren.
Durch die Kombination aus Prävention, Echtzeitüberwachung und gezielter Isolierung wird die Ausbreitung von Ransomware deutlich erschwert und das Risiko von Datenverlusten reduziert.
FAQ zum Thema Schutz vor Ransomware
Soll man Lösegeld zahlen?
Nein. Es wird grundsätzlich davon abgeraten, Lösegeld zu zahlen. Eine Zahlung garantiert nicht die Wiederherstellung der Daten und finanziert zudem kriminelle Aktivitäten. Stattdessen sollten Unternehmen auf Backups, Wiederherstellungsmechanismen und schnelle Sicherheitsmaßnahmen setzen.
Was ist der Unterschied zwischen Malware und Ransomware?
Vereinfacht gesagt ist jede Ransomware Malware, aber nicht jede Malware ist Ransomware. Ransomware bezeichnet Schadprogramme, die den Zugriff auf Daten oder ganze Systeme blockieren und für deren Freigabe ein Lösegeld verlangen. Dabei kann das Programm entweder das gesamte System sperren oder gezielt bestimmte Dateien verschlüsseln, sodass der Nutzer nicht mehr darauf zugreifen kann.
Wie kann man Ransomware vorbeugen?
Vorbeugung umfasst mehrere Ebenen: Regelmäßige Backups, aktuelle Software-Updates, E-Mail und Phishing-Schutz sowie das Prinzip der geringsten Rechte (Least Privilege) helfen, die Angriffsfläche zu reduzieren. Sicherheitslösungen wie Cynet All-in-One ergänzen dies durch Erkennung und Abwehr in Echtzeit.
Welche Rolle spielt die Schulung von Mitarbeitenden im Ransomware-Schutz?
Mitarbeitende sind oft das schwächste Glied im Sicherheitsprozess. Regelmäßige Security-Awareness-Trainings helfen, Phishing-E-Mails, verdächtige Links und andere Angriffsmethoden frühzeitig zu erkennen und somit Infektionen zu verhindern.
Was sollte ein Unternehmen tun, wenn es von Ransomware betroffen ist?
Sofortige Isolierung der betroffenen Systeme, Informieren der IT-Sicherheitsverantwortlichen und Start der Wiederherstellung aus Backups sind die ersten Schritte. Außerdem sollte der Vorfall dokumentiert und, falls notwendig, Behörden oder CERTs informiert werden. Ein integriertes Incident-Response-Programm kann den Schaden begrenzen.