Ransomware

Ransomware ist eine Form von Schadsoftware, die Daten auf befallenen Systemen verschlüsselt oder den Zugriff auf ganze Rechner blockiert, um anschließend ein Lösegeld für die Freigabe zu fordern. Der Name leitet sich vom englischen „ransom“ für Lösegeld ab. Für die Opfer bedeutet ein erfolgreicher Angriff im schlimmsten Fall, dass von einem Moment auf den anderen geschäftskritische Daten und Anwendungen nicht mehr erreichbar sind und der Betrieb stillsteht.

Moderne Ransomware geht häufig noch einen Schritt weiter: Bei der sogenannten doppelten Erpressung werden Daten vor der Verschlüsselung zusätzlich gestohlen. Die Angreifer drohen dann, sensible Informationen zu veröffentlichen, falls nicht gezahlt wird, was den Druck erhöht und zugleich datenschutzrechtliche Konsequenzen nach sich ziehen kann. Ransomware zählt damit heute zu den größten Bedrohungen für die IT-Sicherheit von Unternehmen überhaupt. Anders als ein gezielter Diebstahl einzelner Daten legt sie häufig den gesamten Geschäftsbetrieb lahm, weil zentrale Systeme nicht mehr nutzbar sind. Genau diese unmittelbare Wucht macht sie für Angreifer so attraktiv und für betroffene Unternehmen so gefährlich, denn der Schaden entsteht innerhalb von Minuten und ist oft erst nach Tagen oder Wochen vollständig behoben.

Der häufigste Einstiegsweg ist Phishing: Über täuschend echt wirkende E-Mails mit präparierten Anhängen oder Links bringen Angreifer einen Mitarbeiter dazu, die Schadsoftware unbemerkt zu starten. Andere Wege führen über ungepatchte Schwachstellen in Software, schlecht gesicherte Fernzugänge oder kompromittierte Zugangsdaten. Einmal im Netzwerk, breitet sich Ransomware oft seitlich aus, sammelt Rechte und sucht gezielt nach besonders wertvollen Systemen wie Dateiservern oder Backups.

Erst wenn die Angreifer ausreichend Zugriff erlangt haben, wird die eigentliche Verschlüsselung ausgelöst, meist zu einem Zeitpunkt, an dem wenig Personal auf Störungen reagieren kann. Danach erscheint eine Lösegeldforderung, häufig in Kryptowährung. Sicherheitsbehörden raten allerdings grundsätzlich davon ab zu zahlen, da eine Entschlüsselung nicht garantiert ist und Zahlungen das Geschäftsmodell der Täter weiter befeuern. Zunehmend wird Ransomware zudem als Dienstleistung im Untergrund angeboten, sodass selbst technisch wenig versierte Kriminelle Angriffe durchführen können. Diese Professionalisierung hat dazu geführt, dass die Zahl der Vorfälle in den vergangenen Jahren deutlich gestiegen ist und praktisch jede Branche betroffen sein kann, weshalb eine starke Authentifizierung, etwa mit einem zweiten Faktor, heute zu den wichtigsten Schutzmaßnahmen zählt.

Lange galt die Annahme, vor allem große Konzerne seien im Visier. Tatsächlich sind mittelständische Unternehmen besonders gefährdet, weil sie oft wertvolle Daten besitzen, gleichzeitig aber über weniger spezialisiertes IT-Sicherheitspersonal verfügen als Großunternehmen. Veraltete Legacy-Systeme, fehlende Updates und unzureichend getrennte Netzwerke vergrößern die Angriffsfläche zusätzlich.

Die Folgen reichen weit über das Lösegeld hinaus: Produktionsausfälle, Wiederherstellungskosten, Reputationsschäden und mögliche Meldepflichten nach der DSGVO summieren sich schnell. Für viele Betriebe ist ein erfolgreicher Angriff existenzbedrohend, weshalb Vorbeugung deutlich günstiger ist als die Bewältigung des Ernstfalls. Hinzu kommt, dass kritische Anwendungen, ohne die das Geschäft stillsteht, ein besonders attraktives Ziel sind: Stehen Warenwirtschaft, Buchhaltung oder Produktionssteuerung still, entsteht binnen Stunden ein hoher Schaden. Genau deshalb sollten Unternehmen wissen, welche ihrer Systeme geschäftskritisch sind, und diese mit besonderem Augenmerk schützen, sowohl technisch als auch durch eine durchdachte Planung für den Notfall.

Den besten Schutz bietet ein Zusammenspiel mehrerer Maßnahmen. An erster Stelle stehen durchdachte Backup-Strategien: Regelmäßige, getestete Sicherungen nach dem Prinzip mehrerer Kopien auf verschiedenen Medien, von denen mindestens eine offline oder unveränderbar aufbewahrt wird, sorgen dafür, dass Daten auch nach einer Verschlüsselung wiederherstellbar bleiben. Ergänzend reduzieren eine aktuell gehaltene Firewall, konsequentes Einspielen von Updates und ein durchdachtes Konzept für Zugriffsrechte die Angriffsfläche.

Technik allein genügt jedoch nicht. Da viele Angriffe beim Menschen beginnen, sind regelmäßige Schulungen der Mitarbeiter zentral, damit Phishing-Versuche erkannt werden. Weiterführende Ansätze wie Zero Trust Security, das keinem Zugriff blind vertraut, sowie vorbereitete Notfallkonzepte für den Ernstfall runden den Schutz ab. Wer im Vorfeld geübt hat, wie im Angriffsfall reagiert wird, verliert weniger Zeit und begrenzt den Schaden.

ITTK berät mittelständische Unternehmen in Düsseldorf und Nordrhein-Westfalen herstellerneutral zu einem realistischen Schutzniveau gegen Ransomware. Statt teure Speziallösungen pauschal zu empfehlen, prüfen wir zunächst nüchtern, wo die größten Risiken liegen, etwa bei Backups, ungesicherten Zugängen oder fehlenden Updates, und setzen dort an, wo der Schutz pro investiertem Euro am meisten bringt.

Weil kein technischer Schutz hundertprozentig ist, legen wir besonderen Wert auf die Kombination aus Vorbeugung und Vorbereitung: belastbare Datensicherung, klare Zuständigkeiten und ein Notfallplan, der im Ernstfall trägt. So gewinnen auch Betriebe ohne eigene Sicherheitsabteilung in der Region einen verlässlichen Partner, der ehrlich einschätzt, was wirklich nötig ist.