Bundesamt für Sicherheit in der Informationstechnik

Ransomware

Der Begriff Ransomware steht für eine Spezies von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den Systemzugriff, sodass sich beispielsweise Programme auf einem PC nicht mehr aufrufen lassen, oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden, – zum Beispiel Computer, die unter dem Desktop-Betriebssystem MacOS X laufen oder auch mobile Android-Geräte. Derzeit zielen die meisten Täter jedoch auf Windows-Systeme ab.

Neu ist das Phänomen dieser Form der digitalen Erpressung nicht. Die ersten Ransomware-Varianten traten bereits vor der Jahrtausendwende auf. Seit 2006 wurden dann auch Ransomware-Angriffe auf Windows-Systeme beobachtet. Dabei komprimierte das Schadprogramm zum Beispiel sämtliche PC-Daten in ein passwortgeschütztes ZIP-Archiv und forderte Geld für das Passwort. Vier Jahre später folgte die berüchtigte Ransomware-Familie Reveton: Bei diesem Schadprogramm erschien auf dem Desktop ein Warnhinweis, beispielsweise mit der Behauptung, der Rechner sei im Zuge polizeilicher oder zollrechtlicher Ermittlungen gesperrt und werde erst nach Zahlung eines "Bußgeldes" wieder freigegeben. Um ihre Opfer über die wahre Urheberschaft der Systemsperrung zu täuschen, nutzten die Täter diverse Logos und Namen verschiedener staatlicher Stellen. Umgangssprachlich war deshalb wahlweise von BKA-, BSI- oder GVU-Trojanern die Rede.

Unter dem Namen CryptoLocker trat 2013 erstmals eine Ransomware mit Verschlüsselungsfunktion großflächig in Erscheinung: Das Schadprogramm chiffrierte Nutzerdaten eines bestimmten Typs mit kryptografischen Verfahren – und zwar nicht nur auf lokalen Festplatten, sondern auch auf angebundenen Netzlaufwerken.

Bei heutigen Ransomware-Angriffen wird das Lösegeld meist in virtueller Währung wie Bitcoin verlangt – wobei die Zahlung allerdings keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme bietet. Das BSI empfiehlt stattdessen, dass Betroffene unverzüglich Anzeige bei der Polizei erstatten. Auch der allgemeine Ratschlag, regelmäßig Sicherheitskopien anzulegen, ist eine wirksame Ransomware-Prävention. Denn im Falle eines Angriffs lassen sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren.

Für das Jahr 2016 weist die Statistik des Bundeskriminalamts deutschlandweit 972 Fälle von digitaler Erpressung aus – was einem Anstieg von 94 Prozent und damit nahezu einer Verdoppelung gegenüber dem Vorjahr entspricht.

WannaCry: Weltweit mehrere hunderttausend Windows-Systeme betroffen

Eine der größten bislang beobachteten Ransomware-Wellen beherrschte im Mai 2017 die Schlagzeilen: Innerhalb von nur drei Tagen verschlüsselte das Schadprogramm WannaCry in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. Insgesamt befiel das Programm vermutlich mehrere Millionen Computer. Auf vielen davon konnte es jedoch dank der schnellen Aktivierung einer bestimmten Funktion durch Analysten keinen Schaden anrichten. Anders als die häufige Bezeichnung Erpressungstrojaner vermuten ließ, handelte es sich bei WannaCry allerdings um einen Wurm, der sich selbstständig ohne Zutun der Nutzer auf Windows-Rechnern verbreitete. Der Infektionsmechanismus von WannaCry nutzte eine Sicherheitslücke im Windows-Betriebssystem aus, für die Microsoft bereits acht Wochen vor dem Ausbruch der Epidemie ein Software-Patch bereitgestellt hatte. Das heißt: Ein zeitnahes Aufspielen dieses Sicherheitsupdates hätte in vielen Fällen die WannaCry-Infektion und alle dadurch ausgelösten Schäden verhindern können.

Zusatzinformationen