Bundesamt für Sicherheit in der Informationstechnik

Ransomware: Erpresserische Schadprogramme

09. Februar 2016 | Ein Computer-Nutzer möchte eine Datei auf seinem Rechner öffnen – doch stattdessen erscheint eine Nachricht per Bildschirmanzeige. In dieser wird er aufgefordert eine bestimmte Lösegeldsumme zu bezahlen, mit dem Hinweis, dass bei Nichtbezahlen die Dateien verschlüsselt bleiben. Die Bezahlung des Lösegelds soll dann über digitale Zahlungsdienste oder eine anonyme Überweisung ins Ausland geschehen.

Zu einem solchen Szenario kann es kommen, wenn Schadsoftware auf einem Gerät ist, die zur sogenannten Ransomware zählt. Darunter versteht man Schadprogramme, die den Zugang zum Computer und mobilen Geräten verhindern oder auf diesen gespeicherte Daten verschlüsseln. Unternehmen und Privatanwender sind gleichermaßen betroffen: Sind bei Privatanwendern wichtige Dokumente, E-Mails oder Urlaubsbilder gefährdet, können bei Unternehmen Geschäfts- oder Personaldaten sowie ganze Netzlaufwerke verschlüsselt und damit unbrauchbar werden. Hohe materielle Verluste sind die Folge.

Eingeschleust wird Ransomware oft durch E-Mail-Anhänge. Werden diese infizierten Anhänge geöffnet, startet im Hintergrund die Installation der Schadsoftware. Bei einigen Varianten von Ransomware versenden befallene Rechner automatisch E-Mails an das gesamte Adressbuch. E-Mails mit schadhafter Software kommen also nicht nur von unbekannten Absendern. Nutzer sollten vor dem Öffnen eines Anhangs überlegen, ob ein Bekannter tatsächlich eine solche E-Mail verschicken würde. Häufig wird die Schadsoftware auch über gefälschte Rechnungen von Dienstleistern verbreitet. In beiden Fällen sollten Nutzer im Zweifelsfall persönlich nachfragen. Generell sollten auf keinen Fall Nachrichten von unbekannten Absendern geöffnet werden. Ein weiterer Weg, wie Ransomware auf Geräte gelangt, sind kompromittierte Webseiten: Nur durch das Aufrufen einer Webseite im Browser wird automatisch und unbemerkt die schädliche Software installiert. Dabei werden meist bekannte Sicherheitslücken gezielt ausgenutzt. Dies bezeichnet man als Drive-by-exploits. Auch hier ist bei zweifelhaften Links Vorsicht zu empfehlen.

Ist der Rechner bereits befallen, rät das BSI davon ab, auf die Lösegeldforderungen einzugehen, denn die Dateien oder Programme werden in vielen Fällen trotz Bezahlung nicht entschlüsselt. Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten. Anschließend hilft meist nur ein komplettes Neuaufsetzen und Aufspielen eines Daten-Backups.

Um bei einem Befall den Schaden möglichst gering zu halten, sollten Nutzer die auf dem Desktop-Rechner, dem Netzlaufwerk oder dem Mobilgerät gespeicherten Daten regelmäßig manuell oder mit Hilfe einer Backup-Software auf einer nicht dauerhaft angeschlossenen, externen Festplatte sichern. Zudem sollten grundlegende Schutzmaßnahmen wie die Installation sämtlicher verfügbarer Sicherheitsupdates bei Betriebssystemen und verwendeten Programmen durchgeführt werden. Dann können Angreifer nicht über bekannte Sicherheitslücken Ransomware auf den Rechner aufspielen.