Jedes Unternehmen kann Opfer einer Ransomware-Attacke werden. Cyberkriminelle nutzen jede Gelegenheit, um Schwachstellen zu exploitieren. Sie sind ständig bemüht, die Technologie hinter Schadsoftware zu verbessern, wodurch auch Unternehmen mit erstklassigen IT-Sicherheitsmaßnahmen einem gewissen Risiko ausgesetzt sind. Doch was soll man tun, wenn es tatsächlich zu einem Ransomware-Angriff kommt?
Ransomware als enorme Bedrohung für IT-Infrastrukturen?
Ransomware-Angriffe sind eine der gefährlichsten Bedrohungen in der Welt der Cybersicherheit. Einer umfassenden Security-Studie zufolge, die von dem renommierten Cyber-Security-Unternehmen Sophos durchgeführt wurde, waren 37 Prozent der Unternehmen im Jahr 2021 Opfer ausgeklügelter Ransomware-Angriffe. Dabei haben die betroffenen Unternehmen im Durchschnitt fast 150.000 Euro Lösegeld bezahlt, um Zugriff auf ihre IT-Systeme wiederzuerlangen. Es gibt verschiedene Arten von Ransomware, aber alle haben das gleiche Ziel: den Zugriff auf Daten zu verhindern, bis das Opfer ein Lösegeld bezahlt hat.
In letzter Zeit gehen Cyberkriminelle besonders dreist vor, wobei sie die Daten nicht einfach nur mit performanten Kryptographieverfahren verschlüsseln. Stattdessen stehlen sie die Daten und drohen damit, vertrauliche Informationen an Dritte zu verkaufen oder sie im Internet zu veröffentlichen. Ein bekannter Ransomware-Vorfall hat sich im Jahr 2021 ereignet, als Hacker den Quellcode des PC-Games "Cyberpunk 2077" erbeuteten und von dem Entwickler CD Project Red ein Lösegeld in Millionenhöhe forderten.
Wie funktionieren Angriffe mit Ransomware?
Hackerangriffe mit Ransomware sind in der Regel sehr ausgeklügelt und können über verschiedene Kanäle realisiert werden, wie zum Beispiel:
- infizierte Websites
- Messenger-Dienste
- über Software-Downloads
Cyberkriminelle nutzen dabei oft Schwachstellen im Betriebssystem oder in Anwendungen aus, um die Ransomware auf dem Zielcomputer einzuschleusen. Nach der erfolgreichen Installation auf dem Zielsystem beginnt die Schafsoftware sofort damit, gesamte Laufwerke mit wichtigen Daten zu verschlüsseln. Der Zugriff auf diese Daten wird unterbunden und das Opfer ist nicht mehr in der Lage, auf seine Daten zuzugreifen.
Moderne Ransomware basiert in der Regel auf einer asymmetrischen Verschlüsselung. Bei dieser Art der Verschlüsselung kommen ein privater und ein öffentlicher Schlüssel zum Einsatz. Mit dem öffentlichen Schlüssel werden die Daten des Opfers verschlüsselt, während der private Schlüssel für die Entschlüsselung der Laufwerke benötigt wird. Ohne den privaten Schlüssel ist es nicht möglich, die Festplatte zu reparieren und die verschlüsselten Daten wiederherzustellen.
Wie sollte man bei einem Angriff mit einer Ransomware vorgehen?
Eine rasche und kompetente Reaktion auf Angriffe von Ransomware ist von größter Bedeutung. Um eine Ausbreitung der Schadsoftware zu verhindern, müssen betroffene IT-Systeme unverzüglich vom Netzwerk abgekoppelt und von anderen IT-Systemen abgeschottet werden. Parallel dazu sollten IT-Sicherheitsverantwortliche in Kenntnis gesetzt werden, um angemessene Gegenmaßnahmen einzuleiten und den Schaden möglichst gering zu halten.
Es ist besonders wichtig, die Integrität der Datensicherung zu überprüfen, um im Falle einer Ransomware-Infektion schnell auf funktionierende Backups zurückgreifen zu können. Wenn die Datensicherungen nicht von der Schadsoftware betroffen sind, können sie für die Wiederherstellung der betroffenen Daten verwendet werden.
Eine wichtige Entscheidung, die getroffen werden muss, ist, ob das Lösegeld bezahlt werden soll oder nicht. Es ist wichtig zu beachten, dass es keine Garantie dafür gibt, dass die Entschlüsselung der Daten erfolgt und man die Festplatte reparieren kann, selbst wenn das Lösegeld bezahlt wird. Es wird auch oft davon abgeraten, Lösegeld zu zahlen, da dies nur dazu beitragen kann, dass Ransomware weiterhin eine lohnende Aktivität für Kriminelle bleibt.
