Was ist Ransomware?

Ransomware gilt aktuell als größte Cyber-Bedrohung für Unternehmen. Durch Verschlüsselung sperren die Schadprogramme den Zugriff auf wichtige Daten und Systeme, um von den betroffenen Organisationen teils horrende Lösegeldsummen zu erpressen.

Was genau ist Ransomware und was macht sie so gefährlich? Was passiert bei einem Ransomware-Angriff? Was können Unternehmen tun, um sich vor Erpressersoftware zu schützen? Wir geben einen Überblick.

Ransomware ist derzeit die am weitesten verbreitete Art von Malware. Die Funktionsweise der Schadsoftware besteht darin, durch Verschlüsselung den Zugriff auf bestimmte Daten oder ein komplettes System zu sperren.

Für die Freigabe der Systeme wird dann ein Lösegeld gefordert. Daher der Name Ransomware, der sich aus den englischen Begriffen “ransom” (Lösegeld) und “software” zusammensetzt. Häufig wird Ransomware auch als Erpressungssoftware oder Erpressungstrojaner bezeichnet.

Ransomware-Angriff: Sonderform Double Extortion

Ein Ransomware-Angriff ist ein Cyber-Angriff, der die Erpressung der Betroffenen zum Ziel hat. Das primäre Druckmittel, um die gestellte Lösegeldforderung durchzusetzen, ist die Verschlüsselung der Daten. Um ihren Forderungen mehr Nachdruck zu verleihen und die Chance auf eine Lösegeldzahlung zu erhöhen, setzen Hacker zunehmend auf Double-Extortion-Angriffe.

Bei einem Double-Extortion-Angriff (Englisch für “doppelte Erpressung”) fertigen die Angreifer vor der Verschlüsselung zusätzlich eine Kopie der Datensätze an und drohen damit, die Daten zu veröffentlichen, sollte das Lösegeld nicht bezahlt werden.

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) feststellt, ist Ransomware aktuell die größte Cyber-Bedrohung für Unternehmen. Dem Branchenverband Bitkom zufolge belief sich der durch Erpressung mit gestohlenen oder verschlüsselten Daten entstandene Gesamtschaden für Unternehmen im Jahr 2023 auf 16,1 Milliarden Euro (Quelle: Wirtschaftsschutz 2023).

Wie aktuelle Schadenbeispiele zeigen, werden nicht nur große, finanzstarke Konzerne Opfer von Ransomware, sondern zunehmend auch kleine und mittelständische Unternehmen. Zwar lassen sich von KMUs nur vergleichsweise geringe Geldsummen erpressen, aufgrund der oftmals geringeren Sicherheitsvorkehrungen ist es für Kriminelle aber in der Regel leichter, sich Zugriff auf die Systeme zu verschaffen.

Was Ransomware so gefährlich macht, ist, dass sie einen direkten Schaden verursacht und weitreichende Konsequenzen für die Betroffenen haben kann. Die Folgen eines Ransomware-Angriffs können von Datenverlusten bis hin zu Betriebsunterbrechungen reichen, die zu Umsatzeinbußen führen und im schlimmsten Fall auch die Existenz eines Unternehmens zerstören können.

Unternehmen können verschiedene Maßnahmen ergreifen, um sich vor Ransomware-Angriffen zu schützen. Hier sind ein paar Tipps und Best Practices, die dabei helfen können.

• Sensibilisierung der Mitarbeitenden, um sie zu mehr Vorsicht beim Öffnen von E-Mails, Anhängen, Websites und Downloads zu bewegen
• Unverzügliches Einspielen von Updates und Patches zur Behebung von erkannten Schwachstellen und Sicherheitslücken
• Fernzugriff auf interne System und Datenbanken nur über VPN-Verbindung
• Ausführung unerwünschter Software über Application Whitelisting verhindern (Liste von Anwendungen anlegen, die vom Benutzer eine Berechtigung zur Ausführung erhalten haben)
• Verwendung eines Antivirenprogramms und einer Firewall
• Erweiterte Schutzmaßnahmen für Zugänge mit Administratorenrechten ergreifen
• Netzwerksegmentierung nutzen, um im Fall einer Infektion mit Ransomware deren Ausbreitung einzudämmen
• Regelmäßige Backups durchführen, um die Daten im Fall eines Angriffs wiederherstellen zu können
• Notfallpläne und Sicherheitskonzepte erstellen und regelmäßig anpassen und überarbeiten

Aktuell sind mehrere Ransomware-Gruppen aktiv, von denen eine akute Gefahr ausgeht. Hier ist eine Übersicht bekannter Gruppierungen und Ransomware-Varianten.

• LockBit: LockBit war im Jahr 2022 die weltweit am häufigsten eingesetzte Ransomware-Variante und war auch im Jahr 2023 sehr weit verbreitet. Hinter der Schadsoftware verbirgt sich eine russischsprachige Hackergruppe, die auf Ransomware-as-a-Service spezialisiert ist.
• BlackCat: BlackCat, auch bekannt unter dem Namen ALPHV, ist eine Ransomware der gleichnamigen Hackergruppe. Die Ransomware-Art wurde Ende 2021 erstmals entdeckt und zeichnet sich durch besonders raffinierte Angriffstechniken, darunter die Fähigkeit zur Double Extortion, aus.
• Akira: Akira Ransomware gehört mittlerweile zu den am schnellsten wachsenden Ransomware-Familien. Erstmals aufgetaucht ist die Ransomware-Variante im März 2023. Das primäre Ziel sind Unternehmen aus den USA und Kanada.

Eine Übersicht der aktiven Crime-Gruppen in Deutschland ist auf der Website des BSI zu finden.

Ransomware ist für Unternehmen eine ernstzunehmende Bedrohung. Hier sind einige Beispiele aus der Praxis, die illustrieren, welche Schäden und Konsequenzen ein Ransomware-Angriff verursachen kann.

• Anfang 2024 wurde ein kleiner Handwerksbetrieb im Allgäu aufgrund einer Sicherheitslücke in einer nicht aktualisierten Software zum Opfer eines Ransomware-Angriffs. Die Hacker verschlüsselten alle auf dem Computer des Geschäftsführer gespeicherten Daten und forderten für die Freigabe der Daten ein Lösegeld. In der Folge kam es über drei Wochen hinweg zu Einschränkungen im Betrieb, bis IT-Spezialisten die Daten wieder entschlüsseln konnten. Der finanzielle Gesamtschaden belief sich auf 30.000 Euro.
• Durch unbedachtes Öffnen eines E-Mail-Anhangs infizierte die Sekretärin einer hessischen Anwaltskanzlei Anfang 2024 ihren Computer mit einer Schadsoftware, die sich binnen weniger Tage auf alle weiteren Geräte der Kanzlei ausbreitete und darauf befindliche Dateien verschlüsselte. Da das Unternehmen auf Rat der Polizei hin entschied, die sechsstellige Lösegeldsumme nicht zu zahlen, konnten die Mitarbeitenden eine Woche lang nicht auf die Systeme der Kanzlei zugreifen, bis IT-Spezialisten das Problem behoben hatten. Der Gesamtschaden lag bei 112.000 Euro. Darin nicht berücksichtigt ist der Reputationsschaden der Kanzlei, die 290 Mandanten über den Vorfall informieren musste.

Was ist Ransomware einfach erklärt?

Ransomware ist eine Art von Schadsoftware. Der englische Begriff “ransom” bedeutet übersetzt Lösegeld und beschreibt den Hauptzweck, für den Ransomware konzipiert ist: das Verschlüsseln von Daten, für deren Freigabe ein Lösegeld gefordert wird. Als Ransomware entwickelte Schadprogramme können sowohl einzelne Geräte als auch ganze Netzwerke und Systeme infizieren und verschlüsseln.

Was ist ein Ransomware-Angriff?

Ein Ransomware-Angriff ist ein Cyber-Angriff, der darauf abzielt, ein Gerät oder ein Netzwerk mit Schadsoftware zu infizieren, um die dort gespeicherten Daten zu verschlüsseln und die Betroffenen zur Zahlung eines Lösegelds zu erpressen. Häufig wird als zusätzliches Druckmittel mit der Veröffentlichung der Daten gedroht.

Wie macht sich Ransomware bemerkbar?

Ist die Ransomware einmal installiert, arbeiten die Hacker meist unentdeckt im Hintergrund daran, weitergehende Zugriffe auf das System zu erhalten und die Schadsoftware möglichst über das ganze Netzwerk zu verbreiten, um den Schaden zu maximieren. Wirklich bemerkbar wird Ransomware häufig erst dann, wenn die Verschlüsselung erfolgt ist und die Lösegeldforderung vorliegt. Benutzer sehen dann im Normalfall nur noch einen blockierten Bildschirm oder einen digitalen Erpresserbrief, der sich nicht mehr schließen lässt.

Was ist das Haupteinfallstor für Ransomware?

Zu den häufigsten Einfallstoren für Ransomware gehören Sicherheitslücken und identifizierte, aber noch ungepatchte Schwachstellen in Programmen und Anwendungen sowie das unachtsame Öffnen von Spam-Mails mit schädlichen Anhängen oder verlinkter Schadsoftware. Auch schlecht geschützte oder ungeschützte Fernzugänge zu Systemen und Netzwerken werden häufig von Cyber-Kriminellen für Ransomware-Angriffe ausgenutzt.

Welche Folgen hat ein Ransomware-Angriff auf ein Unternehmen?

Ein Ransomware-Angriff kann neben finanziellen Eigenschäden auch zu Reputationsschäden und Fremdschäden führen, für die das Unternehmen aufkommen muss. Die häufigsten Schäden durch Ransomware sind Umsatzeinbußen durch Betriebseinschränkungen oder -ausfälle, Kosten für IT-Forensik und Wiederherstellung und wirtschaftliche Nachteile infolge von Kundenabwanderung und Schadensersatzansprüchen nach einem Ransomware-Vorfall. Im schlimmsten Fall kann ein Ransomware-Angriff auch die Existenz eines Unternehmens zerstören. 

Was ist der wichtigste Schutz gegen Angriffe mit Ransomware?

Maßnahmen zur Stärkung der eigenen Cyber-Sicherheit sind für Unternehmen im Hinblick auf potenzielle Ransomware-Angriffe besonders wichtig. Zu den wichtigsten Schutzmaßnahmen gegen Erpressungssoftware gehören regelmäßige Updates und Patches, Mitarbeiterschulungen, der Einsatz einer Firewall und eines Antivirenprogramms sowie gut durchdachte Notfallpläne und Sicherheitskonzepte.