Die Anzeigen wegen Cyber-Kriminalität stiegen im Vergleich zum Vorjahr um 26%. Besonders teuer kann in Österreich ein Angriff durch sogenannte „Ransomware“ werden. Hacker verschlüsseln mit Schadprogrammen Daten und fordern dann Lösegeld. Nur wer bezahlt, bekommt seine Daten zurück. Was genau ist Ransomware und wie kann man sich schützen? Alles zu Ransomware einfach erklärt.
Der Begriff Ransomware bezeichnet Schadprogramme, die den Zugriff auf Daten und Systeme einschränken bzw. unterbinden und für die Freigabe der Daten Lösegeld (englisch: ransom) verlangen.
Das Schadprogramm kann auf zweierlei Arten fungieren: Entweder es sperrt den kompletten Zugriff auf das System oder es verschlüsselt bestimmte oder gleich alle Daten. Eine solche Ransomware kann die Abläufe eines Unternehmens ver- bzw. behindern und damit großen Schaden anrichten.
Ransomware-Programme sind weder ein neues Virus noch eine moderne technologische Entwicklung. Die ersten Ransomware-Protoypen mit asymmetrischer Verschlüsselung wurden bereits in den 1990er Jahren entwickelt. Die sogenannte „Asymmetrie“ bezeichnet die Tatsache, dass es bei der eingesetzten Kryptographie unterschiedliche Schlüssel zur Verschlüsselung sowie zur Entschlüsselung benötigt. Symmetrische Verschlüsselungsverfahren verwenden hingegen ein und denselben Schlüssel zur Ent- und Verschlüsselung.
Als die ersten realisierbaren Ransomware-Konzepte mit asymmetrischer Kryptographie aufkamen, bestand noch ein organisatorisches Problem. Es war zwar möglich Daten zu verschlüsseln, jedoch verfügten die Cyberkriminellen über keine Möglichkeit, ihre Opfer das Lösegeld bezahlen zu lassen, ohne dabei erwischt zu werden. Der Autor des „AIDS“ Trojaners versuchte beispielsweise Zahlungen an ein Postfach senden zu lassen, wurde jedoch daraufhin schnell verhaftet. Die Technologie der Ransomware gibt es also schon länger, jedoch war eine finanzielle Bereicherung mit viel Risiko verbunden.
Erst das Aufkommen der Kryptowährung „Bitcoin“ machte das Geschäftsmodell Ransomware „sicher“ und damit lukrativ. Lösegeldforderungen können mittlerweile in besonders schwer nachzuverfolgende Kryptowährungen gestellt werden. Erst die digitalen Währungen haben also zur Verbreitung der bedrohlichen Ransomware geführt.
Anfang 2019 starteten die ersten gezielten Angriffe durch Ransomware. Bei diesen Attacken wird nicht großflächig infiziert, sondern es werden gezielt Unternehmen ausgewählt und angegriffen. Die verlangten Lösegelder betragen dabei mehrere Millionen Euro. Dabei investieren die Angreifer Wochen oder Monate, um sich Zugang zu ausgewählten Systemen zu verschaffen und möglichst viele Daten zu verschlüsseln. Durch die fortschreitende Digitalisierung der Unternehmen ist diese Art von Attacke deutlich lukrativer geworden und die Anzahl solcher Angriffe ist enorm gewachsen.
Ein Ransomware-Angriff in Österreich sowie international erfolgt grundsätzlich in sechs Schritten (siehe Grafik).
Schritt 1: Die Verteilung: Ransomware wird durch Phishing-Schemata, E-Mail-Anhänge oder Downloads verteilt und durch Website-Kompromittierungen auf einem Endpunkt installiert.
Schritt 2: Die Infektion: Die Binärdatei oder das Office-Dokument mit Makros kommt auf dem Computer des/der Benutzers/in an und startet die Prozesse, um seinen Zweck zu erfüllen.
Beispielweise könnte die Ransomware folgendes tun:
a. eine eindeutige Computerkennung generieren
b. im Hintergrund die Binärdatei herunterladen
c. sicherstellen, dass sie einen Neustart überlebt, indem sie das Programm so
installiert, dass es beim Neustart ausgeführt wird (Autostart)
d. Schattenkopien, Startreparatur und Windows-Fehlerbehebungen deaktivieren
e. das Windows Security Center, den Windows Defender, den Windows Update
Service, “Error Reporting” und BITS stoppen
f. sich an explorer.exe und svchost.exe hängen
g. die externe IP-Adresse abrufen
h. Weiter zu Schritt 3
Schritt 3: Die Kommunikation: Der Ransomware-Prozess holt sich die „Public-Keys“ von einem oder mehreren Kontrollservern im Internet. Diese braucht es, um die Daten asymmetrisch zu verschlüsseln. Der gesamte Datenverkehr zum Kontrollserver wird mit dem „AES Verschlüsselungsalgorithmus“ verschlüsselt.
Schritt 4: Die Dateisuche: Der Ransomware-Prozess sucht systematisch nach Dateien im System. Es verwendet einen Algorithmus, um zu erkennen welche Dateien wichtig sein könnten. Beispielweise sind das Dateien mit den Endungen .jpg, .docx, .xlsx, .pptx, .pdf, .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt und .dx.
Schritt 5: Die Verschlüsselung: Der fünfte Schritt ist die Verschlüsselung. Hier werden etwa die Daten zuerst verschoben, dann unbenannt und schließlich verschlüsselt. Nach der erfolgreichen Verschlüsselung werden die Daten nochmals umbenannt.
Schritt 6: Die Erpresser-Nachricht bzw. Lösegeldforderung: Der letzte Schritt ist die Lösegeldforderung, typischerweise durch die Übernahme des Bildschirms des infizierten Computers mit der Aufforderung zur Zahlung.
Um einen Ransomware-Angriff in Österreich zu verhindern, gibt es mehrere Ansatzpunkte:
Sogenannte Cyber Security Dienstleister bieten Unternehmen wie Privatpersonen professionelle Hilfe, um Angriffe durch Schadsoftware schon im Voraus zu verhindern. Eine davon ist das Wiener StartUp „TUFO“.
„Man kann sich unsere Arbeit vorstellen wie eine Vorsorgeuntersuchung beim Arzt. Wir testen Ihr Unternehmen und berichten Ihnen im Voraus, welche Symptome zu behandeln und wie diese zu beheben sind, bevor es zu spät ist“, sagt Onur Tuncel, Geschäftsführer von TUFO.
TUFO bietet Tests der IT-Systeme von Unternehmen, Trainings für die Mitarbeiterinnen und Mitarbeiter, Beratungen sowie Hacker-Angriff-Simulationen an. Dadurch können etwaige Schwachstellen erkannt und behoben werden, bevor der Ernstfall eintritt.
Am 1. Dezember 2024 tritt in Oberösterreich das neue Hundehaltegesetz in Kraft. Initiiert hat es…
30.000 Jobs beim deutschen Automobilhersteller VW wackeln. Außerdem soll die Belegschaft von Volkswagen auf 10…
Der steirische Bezirk Voitsberg kämpft mit Verkehr, Lärm und Feinstaub – der Ausbau der Landesstraße…
Die Möbelkette Kika/Leiner ist pleite. Schon wieder, denn das Sanierungsverfahren ist gescheitert. Bereits 2023 musste…
Gegendarstellung namens der Novomatic AG „Gegendarstellung: Sie halten auf der Website (§ 1 Abs 1…
Von der Musik über den Sport bis hin zur Politik: Oberösterreich hat viele Talente und…