Informationsportal
IT-Sicherheit / Ransomware

Was ist Ransomware?

24. November 2023 | Von

René Hifinger

René Hifinger
René Hifinger
René Hifinger beschäftigt sich bereits seit einigen Jahren mit den Themen IT-Sicherheit, Datenschutz und neue Technologien. Erste Erfahrungen sammelte er in verschiedenen Sicherheitsforen und auf diversen IT-Portalen. Er hat zahlreiche Fachartikel zu unterschiedlichen IT-Sicherheitsthemen veröffentlicht - u. a. für die österreichische Fachzeitung Computerwelt, für das Magazin Informatik-Aktuell und für das Magazin DIGITALE WELT. Weitere Fachartikel und Veröffentlichungen von René Hifinger finden Sie hier.

Abseits von Security-Themen verfügt René Hifinger über fundiertes Fachwissen im Bereich Softwareentwicklung. Er beherrscht die Programmiersprachen C, C ++, HTML, JavaScript, PHP und Python.

René Hifinger berät Unternehmen weltweit in den Bereichen IT-Sicherheit und Softwareentwicklung. Er bringt über 15 Jahre Erfahrung mit und hat für verschiedene Unternehmen gearbeitet. Er ist Mitbegründer der Initiative bleib-Virenfrei.

Twitter Homepage Medium

Ransomware ist eine Schadsoftware (Malware), die in Computersysteme oder Netzwerke eindringt und Daten verschlüsselt oder den Zugang zu den betroffenen Systemen einschränkt. Die Angreifer fordern anschließend von den Opfern ein Lösegeld (engl. ransom), um die verschlüsselten Daten wiederherzustellen oder den Zugriff auf die Systeme wieder freizugeben.

Das Wichtigste in Kürze

Hier eine Zusammenfassung der wichtigsten Punkte:
  • Ransomware ist eine Erpressungssoftware, die Daten auf Computern oder in Netzwerken verschlüsselt oder blockiert. Die Angreifer verlangen ein Lösegeld (engl. „ransom“), um die Daten wieder freizugeben oder zu entsperren.
  • Es gibt verschiedene Arten von Ransomware ↓, z. B. solche, die Dateien verschlüsseln (Crypto-Ransomware), den Zugang zum System blockieren (Locker-Ransomware) oder mit der Veröffentlichung sensibler Daten drohen (Doxware).
  • Bekannte Beispiele ↓ für schädliche Ransomware sind WannaCry, NotPetya, Bad Rabbit und Ryuk. Diese haben in der Vergangenheit großen Schaden angerichtet, unter anderem bei Krankenhäusern, Verkehrsbetrieben oder Unternehmen.
  • Ransomware wird meist über E-Mail-Anhänge, manipulierte Webseiten oder Sicherheitslücken in Software verbreitet (Verbreitungswege ↓). Nach der Infektion verschlüsselt oder blockiert die Schadsoftware Daten und zeigt eine Lösegeldforderung an.
  • Wer Opfer einer Ransomware-Attacke geworden ist, sollte unter anderem sofort IT-Experten informieren, Backups zur Wiederherstellung der Daten verwenden und kein Lösegeld bezahlen.
  • Um sich zu schützen ↓, ist es wichtig, Software-Updates auf dem neuesten Stand zu halten, Antivirenprogramme zu verwenden, Daten zu sichern und Mitarbeiter für die Gefahren von Ransomware zu sensibilisieren.

Ransomware-Arten

Es gibt viele verschiedene Arten von Ransomware, die sich in ihrer Funktionsweise, Verbreitung und den verwendeten Techniken unterscheiden. Nachfolgend sind einige der bekanntesten Ransomware-Arten aufgeführt:

Crypto-Ransomware

Diese Ransomware-Art verschlüsselt die Dateien des Opfers und macht sie unzugänglich. Für den Entschlüsselungsschlüssel verlangen die Angreifer ein Lösegeld. Bekannte Beispiele sind WannaCry, Petya, NotPetya und Locky.

Locker Ransomware

Anstatt Dateien zu verschlüsseln, blockiert diese Ransomware den Zugriff auf das Computersystem oder andere Geräte des Opfers. Der Angreifer verlangt dann ein Lösegeld, um den Zugriff wieder freizugeben. Beispiele hierfür sind der BKA Trojaner, WinLock und Reveton.

Scareware

Scareware gibt sich als legitime Sicherheitssoftware aus und behauptet, das System des Opfers sei mit Viren oder anderen Bedrohungen infiziert. Die Angreifer fordern das Opfer auf, für eine gefälschte Sicherheitslösung zu bezahlen, um das angebliche Problem zu beheben. Ein Beispiel für Scareware ist FakeAV.

Doxware (auch Leakware genannt)

Doxware droht damit, sensible Daten oder Informationen des Opfers öffentlich zu machen oder an Dritte weiterzugeben, wenn das Lösegeld nicht bezahlt wird. Die Angreifer nutzen die Angst vor Rufschädigung oder rechtlichen Konsequenzen, um das Opfer zur Zahlung zu zwingen. Beispiele für Doxware sind DarkSide und Maze.

RaaS (Ransomware-as-a-Service)

Hierbei handelt es sich um ein Geschäftsmodell, bei dem Cyberkriminelle Ransomware-Tools und -Infrastrukturen entwickeln und diese an andere Kriminelle zur Durchführung von Angriffen vermieten oder verkaufen. Dadurch können auch technisch weniger versierte Kriminelle Ransomware-Angriffe durchführen, während die Entwickler der RaaS-Plattform an den Einnahmen beteiligt werden. Ein Beispiel für RaaS ist GandCrab.

Bekannte Ransomware-Beispiele

Hier einige bekannte Beispiele für Ransomware-Angriffe, die in den letzten Jahren weltweit für Schlagzeilen sorgten:

WannaCry

Im Mai 2017 verbreitete sich WannaCry rasant und infizierte hunderttausende Computer in über 150 Ländern. Die Ransomware nutzte eine Sicherheitslücke in Windows-Systemen aus und forderte Lösegeld in Bitcoin. WannaCry hatte erhebliche Auswirkungen auf Unternehmen und Organisationen, darunter Krankenhäuser und Telekommunikationsunternehmen.

WannaCry
Screenshot: WannaCry

NotPetya

Im Juni 2017 tauchte NotPetya auf, eine Ransomware, die der Petya-Malware ähnelte, aber weitaus zerstörerischer war. NotPetya nutzte dieselbe Windows-Sicherheitslücke wie WannaCry und richtete vor allem in der Ukraine, wo der Angriff mutmaßlich begann, erheblichen Schaden an.

Bad Rabbit

Im Oktober 2017 breitete sich Bad Rabbit in Osteuropa aus und infizierte insbesondere Medien- und Transportunternehmen. Diese Ransomware verbreitete sich über infizierte Websites und nutzte gefälschte Flash-Player-Updates, um sich Zugang zu den Systemen der Opfer zu verschaffen.

Bad Rabbit
Screenshot: Bad Rabbit

Locky

Locky tauchte erstmals 2016 auf und verbreitete sich über infizierte E-Mail-Anhänge, die als Rechnungen oder andere wichtige Dokumente getarnt waren. Nach der Infektion verschlüsselte Locky die Dateien der Opfer und forderte Lösegeld in Bitcoin.

Locky
Screenshot: Locky

Ryuk

Ryuk ist eine Ransomware, die seit 2018 aktiv ist und gezielt große Organisationen und Unternehmen angreift. Vor allem solche, die vermutlich in der Lage sind, ein hohes Lösegeld zu zahlen. Ryuk hat bereits Lösegelder in Millionenhöhe von seinen Opfern erpresst.

Maze

Maze ist eine Ransomware, die seit 2019 aktiv ist und sowohl Verschlüsselung als auch Doxing (Drohung, sensible Daten des Opfers zu veröffentlichen) einsetzt, um Lösegeldzahlungen zu erzwingen. Unternehmen und Organisationen aus verschiedenen Branchen sind von Maze-Angriffen betroffen.

Wie wird Ransomware verbreitet?

Ransomware wird auf verschiedene Weise verbreitet, und Cyberkriminelle entwickeln ständig neue Techniken, um ihre Angriffe noch effektiver zu gestalten. Nachfolgend sind einige Verbreitungswege aufgeführt:

  • Phishing-E-Mails: Eine der häufigsten Verbreitungsmethoden sind Phishing-E-Mails, die infizierte Anhänge oder Links zu bösartigen Websites enthalten. Die E-Mails sind oft so gestaltet, dass sie vertrauenswürdig erscheinen und die Empfänger dazu verleiten, den Anhang zu öffnen oder auf den Link zu klicken.
  • Exploit Kits: Exploit Kits sind automatisierte Tools, die Sicherheitslücken in Software und Betriebssystemen ausnutzen, um Malware auf Computern zu installieren. Cyberkriminelle platzieren Exploit-Kits auf kompromittierten Websites oder nutzen gefälschte Anzeigen, um ihre Opfer auf schädliche Websites zu locken.
  • Drive-by-Downloads: Bei Drive-by-Downloads wird Ransomware automatisch auf dem Computer eines Opfers installiert, wenn dieses eine kompromittierte oder bösartige Website besucht. Dies kann ohne Wissen oder Zustimmung des Nutzers geschehen.
  • Social Engineering: Cyberkriminelle nutzen Social-Engineering-Techniken, um ihre Opfer dazu zu bringen, Ransomware selbst herunterzuladen oder zu installieren. Dies kann über soziale Medien, Instant Messaging-Dienste oder Chat-Anwendungen geschehen.
  • Remote Desktop Protokoll (RDP): Das Remote Desktop Protocol ist ein beliebtes Ziel von Cyberkriminellen. Angreifer nutzen RDP, um Ransomware direkt auf dem Computer oder im Netzwerk des Opfers zu installieren.
  • Externe Speichergeräte: Ransomware kann sich über infizierte USB-Sticks oder andere externe Speichergeräte verbreiten, wenn diese an einen Computer angeschlossen werden. Die Ransomware wird dann automatisch oder durch Ausführen einer infizierten Datei auf dem System des Opfers installiert.

Ablauf eines Ransomware-Angriffs

Ein Ransomware-Angriff kann auf unterschiedliche Weise erfolgen, aber im Allgemeinen folgen die meisten Angriffe einem ähnlichen Muster. Nachfolgend ein Beispiel für den typischen Ablauf eines Ransomware-Angriffs:

  1. Infektionsvektor: Der Angreifer wählt eine Verbreitungsmethode wie Phishing-E-Mails, Exploit-Kits, Malvertising oder Social Engineering. Die Methode zielt darauf ab, das Opfer dazu zu bringen, auf eine infizierte Datei oder einen bösartigen Link zu klicken.
  2. Infektion: Wenn das Opfer auf den infizierten Anhang oder Link klickt, wird die Ransomware auf das System des Opfers heruntergeladen und ausgeführt. In einigen Fällen kann die Ransomware auch automatisch installiert werden, z. B. durch Drive-by-Downloads oder Sicherheitslücken in der Software.
  3. Ausführung: Nach der Installation beginnt die Ransomware mit der Ausführung ihrer schädlichen Aktionen. Dazu gehören das Verschlüsseln von Dateien, das Sperren des Systems oder das Sammeln von Informationen für Doxware-Angriffe.
  4. Lösegeldforderung: Sobald die Ransomware ihre Aktionen abgeschlossen hat, informiert sie das Opfer über den Angriff, indem sie eine Lösegeldforderung anzeigt. Diese Nachricht enthält in der Regel Informationen darüber, wie das Opfer das Lösegeld zahlen soll (in der Regel in Kryptowährungen wie Bitcoin), und kann einen Countdown oder eine Frist für die Zahlung enthalten.
  5. Kommunikation: Das Opfer kann sich entscheiden, mit den Angreifern zu kommunizieren, um Fragen zu klären oder über die Höhe des Lösegelds zu verhandeln. Dies geschieht in der Regel über anonyme Kommunikationskanäle wie E-Mail, Tor oder Instant Messaging.
  6. Lösegeldzahlung: Entscheidet sich das Opfer für die Zahlung des Lösegelds, erfolgt die Überweisung in der Regel in Form von Kryptowährungen an eine vom Angreifer angegebene Wallet-Adresse.
  7. Entschlüsselung oder Freischaltung: Nach der Lösegeldzahlung kann der Angreifer den Entschlüsselungsschlüssel oder die Freischaltung des Systems bereitstellen, damit das Opfer wieder Zugriff auf seine Dateien oder sein System erhält. Es gibt jedoch keine Garantie dafür, dass die Angreifer ihre Versprechen einhalten.

Was tun, wenn man von Ransomware angegriffen wird?

Wenn Sie (als Privatanwender oder Unternehmen) Opfer eines Ransomware-Angriffs geworden sind, sollten Sie die folgenden Schritte befolgen, um Ihre Daten und Systeme zu schützen und mögliche Schäden zu minimieren:

  • Trennen Sie das betroffene Gerät vom Netzwerk: Trennen Sie das infizierte Gerät sofort vom Netzwerk und vom Internet, um die Ausbreitung der Ransomware auf andere Geräte zu verhindern.
  • Informieren Sie Ihren IT-Support: Kontaktieren Sie Ihre IT-Abteilung oder einen IT-Experten und informieren Sie sie über den Angriff. Sie können Ihnen helfen, das Problem zu analysieren und eine Lösung zu finden.
  • Analysieren Sie die Ransomware: Identifizieren Sie die Art der Ransomware, die Ihr System infiziert hat, damit Sie geeignete Gegenmaßnahmen ergreifen können.
  • Melden Sie den Vorfall: Informieren Sie die zuständigen Behörden über den Angriff, zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland. Diese können möglicherweise bei der Bekämpfung und Verfolgung der Angreifer helfen.
  • Stellen Sie die Daten wieder her: Prüfen Sie, ob es für die betroffene Ransomware einen Decryptor gibt. Einige Ransomware-Varianten können inzwischen auch ohne Zahlung des Lösegelds entschlüsselt werden. Wenn möglich, stellen Sie Ihre Daten mit Hilfe eines Backups wieder her.
  • Vermeiden Sie die Zahlung des Lösegelds: Die Zahlung des Lösegelds ist generell nicht zu empfehlen, da es keine Garantie dafür gibt, dass die Angreifer die Daten entschlüsseln oder die Ransomware entfernen. Außerdem werden die Cyberkriminellen durch die Zahlung von Lösegeld ermutigt, weitere Angriffe dieser Art durchzuführen.
  • Schadensbegrenzung: Informieren Sie betroffene Kunden oder Partner, wenn ihre Daten kompromittiert wurden. Ergreifen Sie außerdem Maßnahmen, um mögliche negative Auswirkungen auf Ihr Unternehmen zu minimieren.
  • Künftige Angriffe verhindern: Überprüfen Sie Ihre Sicherheitspraktiken und -richtlinien und schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter regelmäßig, um sicherzustellen, dass sie auf dem neuesten Stand sind und wissen, wie sie Ransomware-Angriffe verhindern können. Halten Sie Ihre Software und Betriebssysteme auf dem neuesten Stand und sichern Sie Ihre Daten regelmäßig.
  • Cyber-Versicherung: Überlegen Sie, ob eine Cyber-Versicherung für Ihr Unternehmen sinnvoll ist, um sich gegen mögliche finanzielle Verluste infolge eines Ransomware-Angriffs abzusichern.

Maßnahmen zum Schutz vor Ransomware

Um sich wirksam gegen Ransomware-Angriffe zu schützen, sollte eine Kombination aus technischen und organisatorischen Maßnahmen ergriffen werden. Hier einige Empfehlungen für Privatnutzer und Unternehmen:

  • Software und Betriebssysteme aktualisieren: Halten Sie Ihre Software, Betriebssysteme und Firmware auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen.
  • Verwenden Sie eine Antiviren-Software: Installieren Sie eine vertrauenswürdige Antiviren-Software und stellen Sie sicher, dass diese regelmäßig aktualisiert wird.
  • Firewall und Netzwerksicherheit: Aktivieren Sie eine Firewall und stellen Sie sicher, dass alle Netzwerkgeräte und -verbindungen ordnungsgemäß gesichert sind.
  • E-Mail-Sicherheit: Sensibilisieren Sie Ihre Mitarbeiter für Phishing-Angriffe und setzen Sie E-Mail-Filter ein, um Spam und potenziell schädliche Anhänge zu blockieren.
  • Zugriffskontrolle und Benutzerrechte: Vergeben Sie Benutzerrechte nur an Personen, die sie benötigen, und beschränken Sie die Verwendung von Administratorkonten.
  • Regelmäßige Backups: Erstellen Sie regelmäßig Backups Ihrer Daten und stellen Sie sicher, dass diese sicher und getrennt von Ihren Produktivsystemen gespeichert werden. Testen Sie die Backups regelmäßig, um sicherzustellen, dass sie im Falle eines Angriffs erfolgreich wiederhergestellt werden können.
  • Schulung und Sensibilisierung: Schärfen Sie das Bewusstsein für Cybersicherheit und Ransomware-Angriffe, indem Sie Ihre Mitarbeiter regelmäßig schulen und ihnen beibringen, verdächtige E-Mails, Anhänge und Links zu erkennen.
  • Implementieren Sie Sicherheitsrichtlinien und -prozesse: Implementieren Sie klare Sicherheitsrichtlinien und -prozesse für Ihre Organisation, um einen sicheren Umgang mit sensiblen Informationen und Systemen zu gewährleisten.
  • Überwachung: Überwachen Sie Ihre Systeme und Netzwerke auf verdächtige Aktivitäten und implementieren Sie einen Incident Response Plan, um schnell und effektiv auf Sicherheitsvorfälle reagieren zu können.
  • Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA für wichtige Systeme und Anwendungen, um den Zugriff auf Ihre Ressourcen besser kontrollieren zu können.

Lesen Sie auch: Schutzmaßnahmen zur Erhöhung der IT-Sicherheit