Digital

Ransomware – ein Milliardengeschäft

Locky, Goldeneye oder TeslaCrypt. Dies sind nur drei Begriffe, die auch im Jahr 2017 wieder vielen IT-Abteilungsleitern die Schweißperlen auf die Stirn treiben können.

Avatar
von Regiomanager 01.03.2017
Das Großraumbüro: Arbeiten wie die Hühner auf der Stange (© zhu difeng – stock.adobe.com)

2016 war wieder für viele Hacker ein lukratives Geschäftsjahr. Nicht ganz unschuldig daran ist die Ransomware. Experten schätzen den dadurch jährlich verursachten finanziellen Schaden auf mehrere Milliarden Euro. Doch wie geht eine Ransomware überhaupt vor? Wie können Sie Ihr Unternehmen gegen unbekannte Ransomware schützen?

Vorgehensweise von Locky & Co.

Was viele Unternehmer gar nicht wissen: Hinter fast jeder Ransomware steckt erst mal ein Makrovirus. Es wird eine in Office-Programmen legitime Funktion missbraucht, um den eingesetzten Virenscanner zu umgehen. Ein Makro wird bei einer Office-Datei im Normalfall dazu gebraucht, um Befehle wie „Dokument schließen“ oder „Dokument speichern“ ausführen zu können. Befehlsfolgen wie diese werden als Makro gesichert und bei Ausführung der entsprechenden Funktion automatisch ausgeführt. Ein Makro bietet allerdings weitreichende, programmierbare Funktionen – etwa den im Hintergrund ausgeführten Download einer ausgewählten Datei. Im „besten“ Fall ist ein Makro sogar in der Lage, einsehbare System- und Netzwerkinformationen an Dritte zu übermitteln. Werden diese Funktionen ausgenutzt, um eine für die analysierte Umgebung „passende“ Ransomware herunterzuladen, spricht man von einem Makrovirus. Der Endbenutzer bekommt von diesen Prozessen, welche natürlich versteckt im Hintergrund des Computers laufen, nichts mit. Er wird erst darauf aufmerksam, wenn die Verschlüsselung des Systems bereits durchgeführt wurde – leider ist es dann zu spät. Je nach Einstellungen der jeweiligen Benutzer- und Zugriffsrechte können ganze Netzwerke bis hin zu Serverlandschaften der Ransomware zum Opfer fallen. Ab dem Zeitpunkt, ab dem der Schadcode zu wüten beginnt, ist man nicht mehr Herr über seine Dateien und Daten. Täglich verwendete Dokumente und für den Betrieb essenzielle Programme können plötzlich nicht mehr verwendet werden. Warum? Alle Dateien, auf die die Ransomware zugreifen konnte, wurden in ihrem Dateiformat verändert, unbrauchbar gemacht, und können nur durch einen passenden Schlüssel in ihren Ursprungszustand zurückversetzt werden. Den Schlüssel bekommen Sie selbstverständlich nicht kostenfrei – hierzu wird eine Zahlung in Form der anonymen Internetwährung „Bitcoin“ gefordert. Man wird also zu einer Lösegeldzahlung aufgefordert oder, um es klar auszudrücken, erpresst. Geld gegen Daten – ein einfaches, aber funktionierendes Prinzip. Eine Infizierung findet sehr häufig über eine mit Anhang versendete E-Mail statt. Mittlerweile sind diese E-Mails, die jedes Unternehmen unabhängig von seiner Größe erreichen können, so gut adressiert und verfasst, dass es für einen nicht geschulten Anwender unmöglich ist, sie als schädlich zu erkennen.

Schutz vor Ransomware

Ein klassischer Virenscanner reicht nicht aus, um diese äußerst gut durchdachte Bedrohung abzuwehren. Das Problem: Er sucht nach bereits bekannten Hinweisen und Spuren, um die Schadsoftware als solche zu erkennen. Dabei werden digitale Signaturen mit einer Datenbank, in der bekannte Schadsoftware-Signaturen hinterlegt sind, verglichen. Eine aktuelle Ransomware ändert allerdings laufend ihre digitale Signatur und ist somit für einen gewissen Zeitraum nicht in der Datenbank aufzufinden – folglich wird sie nicht als Schadcode erkannt. Den besten Schutz bietet eine Lösung, welche das Verhalten von Dateien und Programmen in Echtzeit überwacht. Das bedeutet, dass ein untypisches Verhalten (wie z.B. ein dubioses Download-Makro innerhalb einer Office-Datei) als auffällig bewertet und sofort gestoppt wird. Es gibt Lösungen, die ein gewöhnliches Nutzerverhalten – also das Öffnen einer Datei bzw. E-Mail – in einer virtuellen, gesicherten Umgebung emulieren. Die Technik geht teilweise so weit in die Tiefe, dass reale Mausbewegungen eines Benutzers simuliert werden, um den Ausbruch der Ransomware zu bezwecken. Da dies in einer virtuellen Umgebung und nicht in dem echten Firmennetzwerk durchgeführt wird, kann die Ransomware erkannt und entfernt werden, bevor sie beim eigentlich adressierten Endbenutzer ankommt und die Möglichkeit hat, einen erheblichen Schaden zu verursachen. Fazit: Steigende Zahlen weisen auf die aktuelle Bedrohung hin und dehalb lautet unsere Empfehlung: Lieber etwas mehr investieren statt eine Infizierung zu riskieren!

Teilen:

Newsletter abonnieren

Newsletter abonnieren und Brancheninfos erhalten

Datenschutz*