Für die einen ein Milliardenverlust, für die anderen ein Milliardengeschäft: Die als Ransomware bezeichnete Erpressersoftware ist eine der größten Sicherheitsbedrohungen für Unternehmen, Behörden und Regierungen. Jüngste Entwicklungen wie Cloud-Migration und Homeoffice haben die Gefahr in den letzten Jahren noch verstärkt. Dabei gibt es wirksame Schutzmaßnahmen, mit denen Unternehmen die katastrophalen Schäden von Ransomware vermeiden können.

In diesem Artikel erfahren Sie alles wichtige rund um Ransomware und erhalten am Ende sechs praktische Tipps, um Ihr Unternehmen zu schützen.

Totenkopf, umgeben von Computercodes auf einem Bildschirm, der Ransomware darstellen soll.
Ransomware © James Thew / Adobe Stock

Was ist Ransomware eigentlich?

Ransomware ist eine Untergruppe von Malware und bezeichnet eine Form digitaler Erpressung. Konkret handelt es sich um Schadprogramme, mit denen Cyberkriminelle Daten oder IT-Systeme verschlüsseln und ein Lösegeld (engl. ransom) fordern. Es gibt zwei Arten:

  • Locker-Ransomware blockiert grundlegende Computerfunktionen, während mit der Maske der Lösegeldforderung weiterhin interagiert werden kann. Im Fokus steht das Aussperren der Erpressten.
  • Crypto-Ransomware zielt auf die Verschlüsselung kritischer Daten ab, während die Computerfunktionen unberührt bleiben. Die Angreifer*Innen drohen mit Zerstörung oder Veröffentlichung der Daten, bis das Lösegeld gezahlt ist.

In beiden Fällen ist der normale Betrieb gestört oder stillgelegt. Das Lösegeld wird meist in Kryptowährung verlangt, da die Kriminellen sich davon eine erhöhte Anonymität erhoffen.

Ransomware als Geschäftsmodell und Kriegsinstrument

Früher ging es bei Cyberkriminellen primär um die Konkurrenz, heute zeichnet sich ein Trend zur Zusammenarbeit ab. Äquivalent zu “Software as a Service” (SaaS) haben Cyberbanden wie z.B. REvil “Ransomware as a Service” (RaaS) etabliert – und Ransomware damit zum Geschäftsmodell gemacht. Das typische Vorgehen: Die Provider selbst führen keine Angriffe durch, sondern verkaufen ihre Software inklusive Anleitung an Partner (Affiliates). Haben die Affiliates erst einmal das Sicherheitssystem ihres Opfers ausgespäht, können sie aus einem breiten Angebot die passende Schadsoftware wählen. Bei einem erfolgreichen Angriff erhalten die Provider einen Anteil des Lösegelds.

Grundsätzlich werden die Strukturen und vor allem die Arbeitsteilung der Szene zunehmend professioneller. Zum Beispiel laufen die Opfer von RaaS unter Kundennummern. Affiliates werden sorgfältig ausgewählt und auf Herz und Nieren geprüft. Womöglich arbeiten RaaS Provider auch mit Unternehmen im Bereich der Data Recovery zusammen, wie Catalin Cosoi (Bitdefender) in einem Interview mit LANline vermutet. Es zeichnet sich ab, dass Ransomware als Geschäftsmodell in Zukunft weiterhin Fahrt aufnimmt und zur “Cyberkriegsführung” eingesetzt wird.

Die gefährlichsten Schadsoftwares der Welt

Ransomware hat viele Gesichter. Massive Schäden verursachen fast alle: Laut einer 2021 veröffentlichten Bitkom-Studie entstand der deutschen Wirtschaft 2020/2021 durch Datendiebstahl, Spionage und Sabotage ein jährlicher Gesamtschaden von 223 Milliarden Euro. Damit hat sich der Schaden im Vergleich zu den Jahren 2018/2019 mehr als verdoppelt. Verantwortlich für den Anstieg sind vor allem Erpressungen und deren Folgeschäden im Rahmen von Ransomware-Angriffen. Dahinter stecken ausgetüftelte Programme und langfristige Strategien, die die meisten Unternehmen unvorbereitet treffen.

Zu der gefährlichsten Schadsoftware der Welt gehören unter anderem:

  • Conti: Die RaaS Conti gilt als Weiterentwicklung von Ryuk. Laut US-Behörden wurde Conti im September 2021 bereits für mehr als 400 Cyberangriffe weltweit eingesetzt. Allein im ersten Halbjahr 2021 haben Erpresserbanden mithilfe von Conti Lösegeld in Höhe von rund 12 Millionen US-Dollar erpresst. Die mitgelieferte Step-by-Step-Anleitung ermöglicht selbst Laien, Conti erfolgreich einzusetzen.
  • LockBit: Auch bei LockBit handelt es sich um RaaS, genauer um Locker-Ransomware. LockBit prüft automatisch auf besonders attraktive Ziele. Für Aufruhr sorgte sie zuletzt im Zusammenhang mit einem Angriff auf Accenture, bei dem tausende Dokumente veröffentlicht wurden.
  • PYSA: Als eine der neuesten Entdeckungen verschlüsselt PYSA (auch Mespinoza genannt) alle häufig verwendeten Dateitypen und hängt ihnen .pysa an. Laut NCC Group sind die von PYSA befallenen Organisationen im November 2021 um 50 % gestiegen – im Regierungssektor sogar um 400 %.
  • Spook: Bei Spook-Angriffen veröffentlichen die Betreiber*Innen typischerweise die Daten aller Opfer – ob sie zahlen oder nicht. Im Fokus stehen Unternehmen der Fertigungsindustrie.
  • Haron: Nach der Infizierung wird die Endung der verschlüsselten Datei in den Namen des Opfers geändert. Sie verwenden eine Lösegeldforderung und betreiben eine eigene Leak-Plattform.
  • Emotet: Die Ransomware wurde vom BSI und BKA 2021 als gefährlichster Erpressertrojaner seiner Art deklariert. Emotet verbreitet sich vorrangig über .doc-Dateianhänge in persönlichen E-Mails, die scheinbar von bekannten Absender*Innen stammen. Werden die infizierten Dateien in Microsoft Word geöffnet und sind zudem Makros aktiviert, lädt Emotet weitere Malware nach.

Was sind die häufigsten Angriffspunkte?

Neben lokalen Regierungsorganisationen sind Unternehmen in den Bereichen IT, Maschinenbau, Logistik und Finanzdienstleistungen weiterhin ein beliebtes Angriffsziel. Die Folgen sind verheerend: Nur 62 Prozent der in 2020 betroffenen Finanzunternehmen weltweit konnten verschlüsselte Daten wiederherstellen. In der DACH-Region waren es sogar nur 47 Prozent, wie die Studie The State of Ransomware in Financial Services 2021 ergab.

Was macht Ransomware so gefährlich? Die Angriffe beginnen häufig mit der Manipulation von Menschen (Social Engineering). Die Trojaner werden über harmlos wirkende Kommunikation ins System geschleust. In Zeiten von Mobile Working haben sie besonders leichtes Spiel.

Die folgenden Angriffswege sind besonders beliebt:

  • Spam und Phishing durch E-Mails mit infizierten Anhängen, die beim Öffnen weitere Schadsoftware nachladen (Business E-Mail Compromise, BEC)
  • Exploit-Kits, die Schwachstellen in Programmen, Browsern oder im Flash Player ausnutzen und per Drive-by-Infektion angreifen
  • ungeschützte Fernzugänge zum Unternehmensnetzwerk wie Remote Desktop Protocol (RDP)
  • Schwachstellen in Servern und VPN-Verbindungen aufgrund von schwachen Passwörtern oder fehlender Multi-Faktor-Authentifizierung
  • Insider, die Zugangsdaten zu bereits kompromittierten Systemen im Darknet oder an Affiliates verkaufen

6 praktische Tipps zum Schutz Ihres Unternehmens vor Ransomware

1. Personal sensibilisieren

Damit Social Engineering in Ihrem Unternehmen keine Chance hat, müssen alle Mitarbeiter*Innen mit der gesamten IT-Infrastruktur inklusive Daten sicher und verantwortungsvoll umgehen können. Trainings vertiefen das Verständnis für Cyberbedrohungen und schaffen eine Sicherheitskultur, die das Unternehmen vor Ransomware und anderen Angriffen schützt.

2. Multi-Faktor-Authentifizierung (MFA)

Traditionelle Passwörter sind häufig zu schwach und schnell zu knacken. Eine MFA verhindert die gemeinsame und mehrfache Verwendung derselben Passwörter und ist für Unternehmen unverzichtbar. Das gilt vor allem, wenn kritische Daten und Geschäftsprozesse auf dem Spiel stehen. Für noch mehr Schutz sorgt ein zusätzliches Single Sign-on (SSO).

3. Zero Trust

Nach der Devise „Vertraue niemandem, verifiziere jeden“ kontrolliert das Zero-Trust-Prinzip bei jedem Zugriff auf eine Netzwerkressource die Zugangsdaten der Benutzer*Innen und Geräte. Per se sollten die Berechtigungen aller Benutzerkonten auf das notwendige Minimum reduziert werden. Dasselbe gilt für den Zugriff auf kritische Daten.

4. Sicherheitsmaßnahmen für E-Mail und Endgeräte

Eine sichere E-Mail-Kommunikation ist das A und O. Scannen Sie Nachrichten auf Auffälligkeiten und lassen Sie schädliche Anhänge und Links sofort herausfiltern. Wie oben beschrieben, sollten alle Mitarbeiter*Innen auf den Umgang mit verdächtigen Mails und Dateianhängen geschult sein. Im Idealfall sind Makros bei Microsoft Word für das gesamte Netzwerk standardmäßig deaktiviert. Firewalls und Sicherheitstools müssen jederzeit up-to-date sein.

5. KI-gestützte verhaltensbasierte Lösungen

Setzen Sie auf Software, die auf Basis künstlicher Intelligenz (KI) das Nutzer- und Entitätsverhalten analysiert. Wichtige Entitäten sind etwa Netzwerke, Systeme, Geräte oder Endpunkte. Die Tools können auffälliges Verhalten erkennen und rechtzeitig stoppen – automatisiert und im Hintergrund. Empfehlenswert ist ein solides Anti-Ransomware-Konzept, das die neuesten Technologien mit menschlichem Know-how kombiniert.

6. Reaktionsplan und Backup-Plan

Eine frühzeitige Vorbereitung ist das A und O: Erarbeiten Sie mit Ihrem Team einen Reaktionsplan inklusive Backup-Plan für den Worst Case. So können alle Beteiligten bei einem Vorfall direkt die richtigen Maßnahmen ergreifen. Bestenfalls vermeiden Sie damit die Zahlung eines hohen Lösegelds und – noch viel wichtiger – schützen Ihr Unternehmen vor nachhaltigen Schäden.

Unternehmen brauchen eine Strategie gegen Ransomware

Ransomware zählt zu den größten Cybergefahren – und trotzdem gelingt es Unternehmen immer noch nicht, sich davor zu schützen. Neben dem richtigen Know-how brauchen Unternehmen ein ganzheitliches Sicherheitskonzept, das die neuesten Bedrohungen erkennt und zuverlässig blockt. Ein guter Tool-Stack und professionelle Beratung sind ein wichtiger Schritt in diese Richtung – bevor im Worst Case Millionen auf dem Spiel stehen.