Cyber Security in KMU: Was ist Ransomware?

thought-catalog-I0TDRP0fj6Y-unsplash-1-1

Kaum ein Tag vergeht, an dem die Presse nicht über einen Ransomware-Angriff auf ein Unternehmen oder eine öffentliche Einrichtung berichtet. Cyberkriminelle nehmen mehr und mehr KMU ins Visier, da sie annehmen, dass die Gefährlichkeit eines solchen Angriffs nicht in das Bewusstsein der Führungskräfte vorgedrungen ist. Das Cyber-Risiko für ein KMU, Opfer einer Ransomware-Attacke zu werden, ist beträchtlich. Für das KMU kann das fatale Folgen haben. Doch was bedeutet der Begriff Ransomware? Wie funktioniert ein Angriff? Welche Auswirkungen kann eine Attacke haben und wie schützen sich KMU vor diesem Cyber-Risiko?

Was ist Ransomware und welche Typen gibt es?

Ransomware ist der Name für eine bestimmte Art von Schadsoftware. Der Name leitet sich aus dem englischen Begriff für Lösegeld «Ransom» ab. Es handelt sich um bösartige Software (Malware) mit erpresserischer Absicht. Die Software blockiert IT-Systeme oder verhindert den Zugriff auf Daten. Um die Systeme wieder nutzbar zu machen, fordern die Erpresser das jeweilige KMU auf, ein Lösegeld zu zahlen.

Grundsätzlich lässt sich diese Art von Schadsoftware in zwei Typen unterscheiden. Während der eine Typ versucht, die Nutzung durch eine Blockade des Systems zu verhindern, verschlüsselt der zweite Typ die Daten auf den Rechnern und macht dadurch die Verwendung unmöglich. Der zweite Typ wird auch als Kryptotrojaner oder Verschlüsselungstrojaner bezeichnet. Vor allem Kryptotrojaner mit Fantasienamen wie WannaCry, CryptoLocker oder Locky und verschiedene Varianten davon treiben in letzter Zeit ihr Unwesen und stellen eine ernsthafte Bedrohung für die Cyber Security eines Unternehmens dar. Die Malware befällt Systeme mit unterschiedlichsten Betriebssystemen und breitet sich über Netzwerke selbständig aus.

Wie gelangt die Erpressungssoftware auf die Rechner oder in das Netzwerk eins KMU?

Die Infizierung eines Rechners läuft ähnlich ab wie bei anderen Malware-Arten. Häufige Infizierungswege sind per E-Mail erhaltene Dateianhänge. Werden diese infizierten Anhänge geöffnet, beginnt die Malware zu arbeiten und lädt andere Schadsoftware nach. Gleichzeitig beginnen die Verschlüsselungstrojaner die Daten auf den Rechnern zu verschlüsseln. Doch nicht nur Dateianhänge stellen ein Cyber-Risiko für einen Ransomware-Befall dar. Die bösartige Software gelangt auch über das Aufrufen einer infizierten Webseite, den Download einer manipulierten Software oder das Verwenden eines präparierten externen Datenträgers auf einen Computer.

Hat sich die bösartige Software in einem System eingenistet, sind viele Ransomware-Programme in der Lage, sich unter Ausnutzung weiterer Sicherheitslücken über das Netzwerk selbständig zu verbreiten. Sie arbeiten sich als Computerwürmer von System zu System voran. Im schlimmsten Fall sorgt ein einziger infizierter Rechner für den Befall der kompletten Firmen-IT samt Server.

 

Wie ist der Ablauf eines typischen Ransomware-Angriffs per Verschlüsselungstrojaner?

Ist ein Rechner von einem Verschlüsselungstrojaner befallen, bleibt das für den Anwender zunächst verborgen. Die Schadsoftware beginnt unbemerkt im Hintergrund zu arbeiten. Sie versucht andere Systeme zu infizieren und beginnt Daten zu verschlüsseln. Von der Verschlüsselung betroffen sind nicht nur die lokal auf den Festplatten gespeicherten Dateien. Auch alle weiteren Dateien, die die Schadsoftware erreicht, beispielsweise auf Netzlaufwerken oder in Cloud-Speichern werden verschlüsselt.

Ist eine bestimmte Menge an Systemen infiziert und Daten verschlüsselt, gibt sich die Ransomware zu erkennen. Es erscheint eine Bildschirmnachricht, auf der die Cyberkriminellen ein Lösegeld für das Entschlüsseln der Daten fordern. Einige Angreifer drohen zudem damit, sensible Daten zu veröffentlichen oder der Konkurrenz zukommen zu lassen. Als Zahlungsmittel für das Lösegeld kommen üblicherweise Kryptowährungen wie Bitcoin zum Einsatz. Diese erlauben es dem Angreifer, vollständig anonym zu bleiben. Ob die Erpresser nach Zahlung eines Lösegelds tatsächlich den notwendigen Schlüssel für das Entschlüsseln der Daten liefern, ist allerdings nie sicher.

Welche Auswirkungen kann eine Ransomware-Attacke auf ein KMU haben?

Die Folgen einer erfolgreichen Ransomware-Attacke auf ein KMU können fatal sein. Alle Systeme nach dem Bemerken eines Ransomware-Befalls abgeschaltet werden müssen, um die Verbreitung und das Verschlüsseln weiterer Daten zu verhindern. Während dieser Zeit ist die IT des KMU zunächst komplett lahmgelegt. Anschliessend muss das Unternehmen zusammen mit Security-Spezialisten klären, wie viele und welche Daten die Cyberkriminellen durch die Verschlüsselung unbrauchbar gemacht haben. Hat der Verschlüsselungstrojaner lange unbemerkt wirken können und sind keine Sicherungen der Daten vorhanden, sind im schlimmsten Fall alle wichtigen Daten des Unternehmens betroffen. In solchen Fällen kann es Wochen oder Monate dauern, bis wieder ein normaler Betrieb möglich ist. Unter Umständen ist eine Wiederaufnahme des Betriebs nicht mehr möglich und der Fortbestand der gesamten Firma ist gefährdet. Bei einer solchen Ausgangslage bleibt keine andere Möglichkeit, als das Lösegeld zu zahlen und zu hoffen, dass der Angreifer die notwendigen Informationen zur Wiederherstellung der Daten liefert.

Wie kann sich ein KMU vor Ransomware-Angriffen schützen?

Grundsätzlich hat ein KMU zum Schutz vor einem Ransomware-Angriff die gleichen Massnahmen zu ergreifen wie vor anderen Malware-Attacken: 

  • Nutzung einer aktuellen Anti-Viren-Software
  • Nutzung moderner Firewall-Systeme
  • Schliessen der bekannten Sicherheitslücken der Betriebssysteme und Anwendungen durch Einspielen der neuesten Patches, sofort nach deren Erscheinen
  • Sensibilisierung und Schulung der Mitarbeiter
  • Verantwortungsvoller Umgang mit E-Mails
  • Sperren bestimmter Dateitypen in E-Mail-Anhängen
  • Regelmässige Sicherung aller wichtiger Daten
  • Verhinderung des Zugriffs auf Backup-Daten durch Verwahrung an einem sicheren «Offline-Ort», getrennt von den IT-Systemen

Fazit

IT-Verantwortlichen und Führungskräften eines KMU sollten das Cyber-Risiko und die Folgen eines Ransomware-Angriffs bewusst sein. Für den Schutz vor solchen Angriffen sind präventive Massnahmen erforderlich. Unterstützung erhält ein KMU von einem erfahrenen Anbieter von Managed IT Services. Die Security-Experten eines solchen spezialisierten IT-Dienstleisters stehen dem KMU bei allen Fragen rund um die Cyber Security und zur Vermeidung von Cyber-Attacken zur Seite.

Passwort Hacking: Hacking-Methoden und Gegenmassnahmen für KMU

Titelbild: Shutterstock

Themen: Cyber Security
Autor: Philipp Hollerer | 23.10.2019 | 12:15
Philipp Hollerer
Besuchen Sie mich auf Social Media:
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook

Jetzt IT-Blog für KMU als E-Mail abonnieren.