Ransomware

Ransomware ist eine Form von Malware, die Daten auf einem Computer oder in einem Netzwerk verschlüsselt oder den Zugriff auf Systeme blockiert, um anschließend ein Lösegeld (englisch: ransom) zu erpressen. Erst nach Zahlung – meist in Kryptowährungen wie Bitcoin – versprechen die Angreifer, die Daten wieder freizugeben. Ransomware zählt laut BSI zu den größten Cyberbedrohungen für Unternehmen und Behörden.

Stell dir Ransomware wie einen digitalen Erpresser vor: Er bricht in dein Haus ein, tauscht alle Schlösser aus und verlangt Geld, damit du wieder in deine eigenen Räume kommst. Anders als bei einem Einbruch werden bei Ransomware keine physischen Gegenstände gestohlen – stattdessen werden deine Daten als Geisel genommen. Die Auswirkungen treten sofort ein: Geschäftsprozesse stehen still, Mitarbeiter können nicht arbeiten, und im schlimmsten Fall sind Jahre an Arbeit und Daten verloren.

Bei Supply-Chain-Angriffen kompromittieren Angreifer Software-Lieferanten, um über deren Updates Tausende Kunden zu infizieren. Der Kaseya-Angriff 2021 traf über eine einzige Schwachstelle in der IT-Management-Software Tausende von Unternehmen weltweit. Diese Angriffe sind besonders gefährlich, weil die Malware über vertrauenswürdige Kanäle verbreitet wird.

Schutzmaßnahmen gegen Ransomware

Einen hundertprozentigen Schutz gibt es nicht, aber mit den richtigen Maßnahmen kannst du das Risiko drastisch senken und im Ernstfall schnell wiederherstellen.

Backups nach dem 3-2-1-Prinzip

Die wichtigste Maßnahme sind regelmäßige, sichere Backups. Das 3-2-1-Prinzip empfiehlt:

• 3 Kopien deiner Daten
• auf 2 verschiedenen Medientypen
• davon 1 Kopie offline oder an einem anderen Standort

Kritisch dabei: Backups müssen vom Produktivnetzwerk getrennt sein. Viele Ransomware-Varianten suchen gezielt nach Backup-Systemen und verschlüsseln diese mit. Ein unveränderlicher (immutable) Backup-Speicher, auf den nach dem Schreiben nicht mehr zugegriffen werden kann, bietet zusätzlichen Schutz.

Patch-Management

Halte alle Systeme aktuell. Die Ausnutzung bekannter Schwachstellen ist einer der Hauptinfektionswege. Ein strukturiertes Patch-Management mit zeitnaher Installation von Sicherheitsupdates schließt diese Einfallstore. WannaCry hätte mit einem einzigen Windows-Update verhindert werden können – der Patch war zwei Monate vor dem Ausbruch verfügbar.

Mitarbeiterschulung

Der Mensch bleibt oft das schwächste Glied. Regelmäßige Schulungen zu Phishing-Erkennung, sicherem Umgang mit E-Mails und verdächtigen Dateien sind unerlässlich. Simulierte Phishing-Übungen helfen, das Bewusstsein zu schärfen und Schwachstellen im menschlichen Faktor zu identifizieren.

Technische Schutzmaßnahmen

Ergänzend solltest du folgende technische Maßnahmen implementieren:

• Multi-Faktor-Authentifizierung (MFA): Besonders für Remote-Zugänge, Admin-Accounts und E-Mail
• Netzwerksegmentierung: Trennung kritischer Systeme, um laterale Bewegung zu erschweren
• Principle of Least Privilege: Benutzer und Prozesse erhalten nur minimal notwendige Rechte
• Endpoint Detection and Response (EDR): Moderne Sicherheitssoftware erkennt auch unbekannte Ransomware anhand ihres Verhaltens
• E-Mail-Filterung: Blockierung verdächtiger Anhänge und Links
• Deaktivierung von Makros: In Office-Dokumenten standardmäßig deaktivieren

Was tun bei einem Ransomware-Angriff?

Wenn es doch passiert, ist schnelles und überlegtes Handeln entscheidend:

1. Isolieren: Betroffene Systeme sofort vom Netzwerk trennen (Netzwerkkabel ziehen, WLAN deaktivieren), um weitere Ausbreitung zu verhindern
2. Nicht herunterfahren: Manche forensische Spuren befinden sich nur im RAM und gehen beim Herunterfahren verloren
3. Dokumentieren: Screenshots der Lösegeldforderung machen, Zeitpunkte notieren
4. Incident Response Team informieren: Interne IT-Sicherheit, ggf. externe Experten hinzuziehen
5. Behörden einschalten: Anzeige bei der Polizei erstatten, BSI informieren
6. Nicht vorschnell zahlen: Zahlung garantiert keine Entschlüsselung und finanziert weitere Angriffe
7. Entschlüsselungstools prüfen: Das No More Ransom-Projekt bietet kostenlose Entschlüsselungstools für viele bekannte Ransomware-Familien
8. Wiederherstellung aus Backups: Nach vollständiger Bereinigung Systeme neu aufsetzen und Daten wiederherstellen

Ransomware im Gesundheitswesen

Krankenhäuser und Gesundheitseinrichtungen sind besonders attraktive Ziele für Ransomware-Angreifer. Sie verfügen über sensible Patientendaten, und jede Minute Ausfallzeit kann Menschenleben kosten – der Druck zu zahlen ist daher enorm. Seit 2015 ist die Zahl der Angriffe auf den Gesundheitssektor um 300% gestiegen. Studien zeigen erschreckende Auswirkungen: Nach Ransomware-Angriffen auf Krankenhäuser steigen die Herzstillstand-Fälle in umliegenden Kliniken um 81%, weil Patienten umgeleitet werden müssen.

Rechtliche Aspekte

Mit der NIS-2-Richtlinie, die in Deutschland ab Dezember 2025 gilt, verschärfen sich die Anforderungen an die Cybersicherheit für Unternehmen deutlich. Etwa 29.500 Organisationen fallen unter die neue Regulierung und müssen Risikomanagementmaßnahmen implementieren sowie Sicherheitsvorfälle melden. Die Frage, ob Lösegeldzahlungen versichert werden sollten, bleibt umstritten – ein generelles Verbot wurde jedoch nicht eingeführt. Unternehmen sollten sich der rechtlichen Risiken bewusst sein: Die DSGVO fordert bei Datenschutzverletzungen eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden.

Ransomware in der IT-Ausbildung

Als angehender Fachinformatiker für Systemintegration wirst du Backup-Konzepte umsetzen, Sicherheitsrichtlinien konfigurieren und im Ernstfall bei der Wiederherstellung helfen. In der Anwendungsentwicklung ist sicheres Programmieren wichtig, um Sicherheitslücken zu vermeiden, die als Einfallstor dienen könnten. Das Thema Ransomware ist auch prüfungsrelevant – sowohl die Funktionsweise als auch Schutzmaßnahmen werden in der AP1 abgefragt.

Quellen und weiterführende Links

• BSI - Ransomware-Angriffe - Offizielle Informationen des Bundesamts für Sicherheit in der Informationstechnik
• No More Ransom - Kostenlose Entschlüsselungstools und Präventionstipps
• G DATA - Was ist Ransomware? - Verständliche Einführung
• Kaspersky - Ransomware-Typen - Übersicht bekannter Ransomware-Familien
• OWASP - Ransomware Prevention - Technische Schutzmaßnahmen

Remote Desktop Protocol (RDP)

Unsicher konfigurierte RDP-Zugänge sind ein beliebtes Ziel. Angreifer scannen das Internet nach offenen RDP-Ports (TCP 3389) und führen Brute-Force-Angriffe auf schwache Passwörter durch. Sobald sie Zugang haben, können sie sich im Netzwerk bewegen und Ransomware manuell installieren. Besonders seit der Corona-Pandemie und der Zunahme von Homeoffice ist dieser Angriffsvektor stark gestiegen.

Sicherheitslücken und Zero-Day-Exploits

Ungepatchte Software ist eine offene Tür für Ransomware. WannaCry nutzte die EternalBlue-Schwachstelle in Windows SMB, für die Microsoft bereits Monate zuvor einen Patch veröffentlicht hatte. Trotzdem waren Millionen Systeme noch anfällig. 2023/2024 nutzten Ransomware-Gruppen verstärkt Zero-Day-Exploits – Schwachstellen, für die noch keine Patches existieren. Eine einzelne Ransomware-Gruppe kompromittierte über 8.000 Unternehmen durch Ausnutzung weniger Zero-Days.

Supply-Chain-Angriffe