(DS)  Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle wurden im Jahr 2021 Opfer von sogenannter Ransomware. Diese besondere Art des Angriffs auf sensible Unternehmensdaten sorgt bereits seit einigen Jahren in der internationalen Presse für Schlagzeilen und ist mittlerweile auch bei deutschen Unternehmen angekommen. So waren laut einer aktuellen Studie des Cybersecurity-Anbieters Sophos über zwei Drittel der befragten deutschen Unternehmen im Jahr 2021 von Ransomware betroffen. Der Schaden, der bei einer solchen Attacke entstehen kann, ist immens: Die Kosten für die Datenwiederherstellung betrugen durchschnittlich über 1,6 Millionen Euro und es dauerte im Schnitt einen Monat, bis der Schaden und die Geschäftsunterbrechung behoben waren.

Was ist Ransomware?

Bei einem Ransomware-Angriff (ransom: Englisch für Lösegeld) wird eine spezielle Schadsoftware auf ein System geschleust, z. B. über speziell präparierte E-Mail-Anhänge oder Sicherheitslücken in genutzter Software und Diensten. Nach der Infektion verschlüsselt die Ransomware die Dateien auf dem befallenen System, sodass diese für den Nutzer nicht mehr zugänglich sind. Es wird dann ein Lösegeld vom Nutzer verlangt, damit die betroffenen Daten wieder entschlüsselt werden. In Deutschland lag die durchschnittliche Höhe des verlangten Lösegeldes, das betroffene Unternehmen zahlen sollten, bei ca. 250.000 Euro.
Angreifer haben statt der Verschlüsselung eines einzelnen Systems häufig das Ziel, das gesamte Netzwerk eines Unternehmens mit Ransomware zu infizieren. So versuchen die Angreifer eine möglichst große Menge an Unternehmensdaten zu verschlüsseln, um die Wahrscheinlichkeit zu erhöhen, dass die Lösegeldforderung tatsächlich gezahlt wird.

Was sind die Folgen einer Ransomware-Infektion?

Je nach Schweregrad kann Ransomware erheblichen Schaden im Unternehmen anrichten. Grundsätzlich kann man davon ausgehen, dass sich einmal von Ransomware verschlüsselte Daten nicht ohne den genutzten Schlüssel wiederherstellen lassen.
Wird bereits früh erkannt, dass ein Gerät mit Ransomware infiziert wurde, kann der Verschlüsselungsvorgang durch Entfernen der Ransomware möglicherweise noch gestoppt werden, bevor alle Dateien auf dem System unzugänglich gemacht wurden.
Wenn ausgeschlossen werden kann, dass ausgehend von dem betroffenen System weitere Clients oder Server mit der Ransomware infiziert wurden, ist der Datenverlust lediglich auf die Dateien des einzelnen Systems beschränkt. Je nach Situation kann hier schon großer Schaden angerichtet werden, wenn es sich um sensible oder wichtige Daten handelt, für die kein Backup vorhanden ist.
Für den Fall, dass Teile oder das gesamte Unternehmensnetzwerk von Ransomware betroffen sind, kann ein enormer Schaden entstehen, da in diesem Fall der Zugriff auf die unternehmensinterne IT-Infrastruktur und Daten vorerst nicht möglich ist. Im schlimmsten Fall sind alle betroffenen Daten verloren, wenn keine aktuelle Sicherung der Daten vorliegt. Angreifer sind in den letzten Jahren dazu übergegangen, gezielt nach Backups auf den Systemen zu suchen und diese zu zerstören.
Auch wenn aktuelle Backups vorhanden sind, auf die ein Angreifer nicht zugreifen konnte, ist je nach Größe der Infrastruktur die Wiederherstellung der Daten aus dem Backup sehr zeit- und kostenintensiv.

Wie sollte auf eine Infektion mit Ransomware reagiert werden?

Viele Unternehmen zahlen nach einer Ransomware-Infektion das geforderte Lösungsgeld. 2021 waren das 42% der befragten Unternehmen in Deutschland. Trotzdem ist dringend davon abzuraten, entsprechenden Forderungen der Angreifer nachzukommen. Denn obwohl die Daten meistens tatsächlich nach der Zahlung entschlüsselt werden, kann man nicht ausschließen, dass der Angreifer weitere Hintertüren auf den betroffenen Systemen hinterlassen hat. Durch diese ist eine Reaktivierung der Ransomware zu einem späteren Zeitpunkt möglich. Zudem motiviert jede erfolgreiche Zahlung den Angreifer, die Schadsoftware weiterzuentwickeln und die Verbreitung zu fördern.
Gegen Datenverlust durch Ransomware ist Prävention die beste Verteidigung. Es sollten also regelmäßig aktuelle Backups der relevanten Unternehmensdaten angefertigt werden, damit im Falle einer Infektion schnell die Daten wiederhergestellt werden können. Dabei ist darauf zu achten, dass die Daten in einem Offline-Backup gesichert werden, also Datenträger, die vom übrigen Netzwerk physisch getrennt sind. Nur so kann sichergestellt werden, dass die Backups auch nach einem Angriff erhalten bleiben.
Sobald ein Ransomware-Angriff erkannt wurde, sollten die betroffenen Systeme umgehend von den restlichen Geräten im Netzwerk getrennt werden, um weitere Infektionen zu verhindern. Die betroffenen Systeme lassen sich mithilfe der Einsicht in Logdaten und weiteren Metadaten identifizieren. Es sollte früh entschieden werden, ob forensische Untersuchungen durchgeführt werden sollten, um die Ursache der Infektion und eventuell den Urheber des Angriffs zu identifizieren. Denn nach der Neuinstallation der Systeme ist eine Rekonstruktion des Vorfalls nur noch schwer durchführbar.

Wie kann ich mich gegen einen Ransomware-Angriff schützen?

Insbesondere der Einsatz präventiver Maßnahmen ist sinnvoll, um sich gegen Ransomware zu schützen. Um Infektionen zu erschweren, sollten Systeme in der IT-Infrastruktur stets auf aktuellem Softwarestand gehalten werden. Sicherheitsupdates müssen umgehend eingespielt werden, um das Ausnutzen aktueller Schwachstellen direkt zu unterbinden. Grundsätzlich sollten die verwendeten Systeme so konfiguriert sein, dass Schäden im Ernstfall minimiert werden können (z. B. durch die Segmentierung von Netzwerken und einer sicheren Nutzerverwaltung).
Weiterhin sollten E-Mails durch professionelle Softwarelösungen auf potenziell gefährliche Anhänge geprüft und ggf. geblockt werden. Hier ist auch die Schulung der Mitarbeiter essenziell, sodass diese für die wesentlichen Infektionswege für Schadsoftware sensibilisiert werden.
Im Falle einer Infektion ist ein zuvor gewissenhaft betriebenes Datensicherungskonzept ein guter Schutz gegen Datenverlust, da so die verschlüsselten Daten schnell wiederhergestellt werden können. Zusätzlich ist der Abschluss einer sogenannten Cyber-Versicherung sinnvoll, die Kosten für entstandene Schäden minimieren und bei der Zuhilfenahme von externen Dienstleistern unterstützen kann. Dafür sind häufig Testate nötig, die dem Versicherer bescheinigen, dass man sich als Unternehmen hinreichend um die Sicherheit der eigenen IT-Infrastruktur gesorgt hat.