Meldepflichten bei Ransomware-Attacken beachten

Ransomware-Programme verschlüsseln Inhalte einzelner Rechner oder kompletter Netzwerke und geben diese erst nach Zahlung eines Lösegelds wieder frei. Die Bedrohungslage ist so hoch wie nie zuvor. Die Folgen einer Attacke sind oft gravierend, da die Daten trotz Zahlung nicht wieder freigegeben werden. Wer Opfer eines Ransomware-Angriffs geworden ist, muss aber neben allen anderen Dingen auch noch die Meldepflichten beim zuständigen Landesamt für Datenschutz und beim BSI beachten.

Ransomware ist älter als das Internet

Die Bedrohung durch Ransomware ist nicht neu. Die erste Ransomware-Attacke erfolgte bereits 1989, damals wurde das Schadprogramm noch auf einer Diskette in einem Brief verschickt. Legte der Adressat die Diskette in ein Diskettenlaufwerk ein, startete automatisch ein Programm, das die Inhalte der Festplatte des angeschlossenen PCs verschlüsselte. Die Entschlüsselung erfolgte über eine weitere Diskette, die allerdings erst nach Zahlung eines Lösegelds an das Opfer verschickt wurde. Der Täter wurde schnell gefasst, die Zahl seiner Opfer war gering, aber das Konzept von Ransomware („Lösegeld-Software“, engl. ransom = Lösegeld), die digitale Erpressung, war in der Welt. Es wurde von anderen Programmierern aufgegriffen und verfeinert. Ab 2005 wurde Ransomware über das Internet verbreitet und vermehrte sich rasant: 2015 sollen allein in Deutschland bereits 3 Millionen Rechner von Ransomware befallen worden sein. Die Ausbreitungsgeschwindigkeit und die technische Raffinesse von Ransomware haben seitdem noch weiter zugenommen. In seinem aktuellen Bericht zur Bedrohungslage sieht das BSI Ransomware als die derzeit größte Bedrohung an.

So funktioniert Ransomware

In Umlauf gebracht wird Ransomware auf unterschiedlichen Wegen. Sehr weit verbreitet ist die Übertragung per E-Mail-Anhang, wobei die Schadprogramme sich häufig als Rechnungen oder Gewinnmitteilungen tarnen. Aber auch auf manipulierten Webseiten werden Besuchern über Sicherheitslücken in Browsern oder Plug-ins Schädlinge untergeschoben. Selbst auf seriösen Webseiten kann diese Gefahr lauern, wenn diese Werbebanner einblenden, die zuvor entsprechend manipuliert wurden.

Häufig werden Ransomware-Attacken über mehrere Angriffswellen ausgeführt: Über Phishing-Mails werden zunächst Nutzerdaten und Passwörter erbeutet, mit denen einige Zeit später der eigentliche Ransomware-Angriff ausgeführt wird: Zuerst werden die Backup-Dateien nach und nach verschlüsselt oder komplett gelöscht, bevor dann die Produktivdateien verschlüsselt werden. Das Umgehen der Verschlüsselung durch die Wiederherstellung der Produktivdateien ist dann nicht mehr möglich, da auch die vorhandenen Datensicherungen kompromittiert sind. In vielen Fällen werden die Produktivdaten vor der Verschlüsselung von den Erpressern kopiert, um von diesen noch anderweitig genutzt zu werden.

Hat die Schadsoftware zugeschlagen und die Dateien verschlüsselt, erscheinen Hinweise auf dem Computer-Bildschirm, mit denen die Täter auf die Verschlüsselung aufmerksam machen und das weitere Vorgehen beschreiben. Wenn das Opfer vom Angriff erfährt, ist es für Gegenmaßnahmen längst zu spät. Da sie meist weit gestreut werden, sind die Lösegeldforderungen vergleichsweise moderat. Typischerweise liegen die Beträge, die die Ganoven verlangen, im Bereich von 500 bis 1.000 EUR, allerdings sind auch Fälle bekannt, bei denen deutlich höhere Summen erpresst wurden. Da die Angreifer ihre Opfer auch gezielt auswählen können, verlangen sie von Unternehmen deutlich mehr Geld als von Privatleuten.

Zahlen oder nicht zahlen?

Oft gelingt es den Angreifern, Rechner komplett zu blockieren und durch eine Weiterverbreitung im lokalen Netzwerk Firmen komplett lahmzulegen. Die Schäden, die durch die Ausfälle entstehen, erreichen bei Konzernen und Großunternehmen schnell gigantische Größenordnungen. Besonders drastisch sind die Folgen auch für Betreiber kritischer Infrastrukturen, die essenzielle Dienstleistungen bereitstellen und sich daher keine längeren Ausfallzeiten ihrer IT leisten können. Anfällig für Ransomware-Attacken sind aber nicht nur solche großen Ziele. Auch bei kleineren Firmen, Freiberuflern oder anderen Einrichtungen kann ein Ausfall einzelner Rechner oder schlimmstenfalls des kompletten lokalen Netzwerks erhebliche Störungen verursachen und den kompletten Betrieb lahmlegen.

Angesichts der drohenden Konsequenzen sind viele Opfer sofort zu zahlen bereit. Ob man nach Zahlung des Lösegelds tatsächlich den Schlüssel zur Wiederherstellung der Dateien bekommt, ist aber keineswegs garantiert. Außerdem bleibt das Risiko bestehen, dass sich der Angriff jederzeit wiederholen kann, da sich die Ransomware ja noch auf den Geräten befindet. Das BSI und die Ermittlungsbehörden raten daher, nicht auf Erpressungsversuche einzugehen. In vielen Fällen wurde allerdings nach der Zahlung das notwendige Passwort tatsächlich übermittelt, mit dem die Daten wiederhergestellt werden konnten. Dies dürfte auch daran liegen, dass die Kriminellen dieses lukrative Geschäft ja nur dann längerfristig aufrechterhalten können, wenn die Opfer die begründete Hoffnung haben können, für ihr Lösegeld auch tatsächlich die versprochene Gegenleistung zu bekommen.