Navigation und Service

Ransomware – Fakten und Abwehrstrategien

Ransomware-Angriffe stellen eine der größten Cyberbedrohungen für Staat, Wirtschaft und Gesellschaft dar.

Bedrohung für Jede und Jeden

Bei einem Ransomware-Angriff werden die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten gedroht, um das Opfer zusätzlich unter Druck zu setzen. Ransomware Angriffe zeichnen sich dadurch aus, dass die Auswirkungen auf einen Betroffenen mit dem Einsatz der Ransomware unmittelbar eintreten:

  • Dienstleistungen und Geschäftsprozesse können nicht mehr zur Verfügung gestellt werden.
  • Die IT des Betroffenen kommt zum Erliegen.
  • Durch die zunehmende Professionalisierung und Arbeitsteilung auf Angreiferseite sind zudem die Einstiegshürden für die Durchführung von Ransomware-Angriffen deutlich gesunken, was weitere Täter anzieht.

Dies bedeutet, dass Ransomware große und kleine Unternehmen treffen kann. Hilfestellungen und Informationen zu Prävention und Reaktion bei Ransomware-Vorfällen stellt das BSI hier zur Verfügung:


Bedrohungslage


Gemeinsame Publikationen von ANSSI und BSI (teilw. deutsch)


Zusammenfassung des Bedrohungsphänomens Ransomware


Bedrohungslage, Reaktion und Prävention zu Ransomware


Aktuelle Informationen für Unternehmen


Prävention und Detektion


Top 10 Ransomware-Maßnahmen

Top 10 Ransomware-Maßnahmen (Detektion)




Bedrohungslage, Reaktion und Prävention zu Ransomware


Maßnahmenkatalog Ransomware


NoMoreRansom-Initiative


Allianz für Cybersicherheit


Reaktion


Erste Hilfe bei einem schweren IT-Sicherheitsvorfall


Unternehmen


Kritische Infrastrukturen und weitere meldepflichtige Unternehmen


Verbraucherinnen und Verbraucher


Liste qualifizierter APT-Dienstleister


Dem BSI einen Vorfall melden


Ansprechpartner bei der Polizei (ZAC)


NoMoreRansom-Initiative


Bedrohungslage, Reaktion und Prävention zu Ransomware

Was ist Ransomware?

Das englische Wort „ransom“ zu Deutsch Lösegeld bezeichnet den Zweck, zu dem Cyberkriminelle Ransomware-Schadprogramme einsetzen. Ransomware in seinen unterschiedlichen Varianten zielt in der Regel auf die Verschlüsselung von Nutzerdaten ab. Nachdem die Daten verschlüsselt wurden, wird versucht, Lösegeld mit der Drohung zu erpressen, dass die Daten erst nach Zahlung des meist digitalen Lösegelds wieder freigegeben werden. Opfer von Ransomware wurden in der Vergangenheit nicht nur Großkonzerne, sondern auch mittelständische Unternehmen Krankenhäusern und Kommunen. Aber auch Privatpersonen können von Ransomware-Angriffen unmittelbar betroffen sein.

Wachsende Bedrohungslage

Ransomware ist für Kriminelle ein seit Jahren etabliertes Geschäftsmodell und aus Sicht des BSI einer der größten operativen Bedrohungen der Cybersicherheit. Die Qualität der Angriffe steigt stetig und sind diese erst einmal erfolgreich, sind Vorfallsreaktion und -aufarbeitung zeit- und kostenaufwendig. Die Erpressung von Unternehmen und öffentlichen Einrichtungen durch Ransomware ist der am schnellsten wachsende Bereich der Cyberkriminalität und stellt mittlerweile ein großes Problem dar.

Mit einer Erpressung – und um nichts Anderes handelt es sich bei diesen Angriffen – lassen sich schnell große Summen "verdienen"; abhängig von der Zahlungsfähigkeit des Opfers. Ähnlich zu einer Geiselnahme hat der Angreifer ein enormes Druckmittel in der Hand, wenn durch die Verschlüsselung der kompletten IT-Infrastruktur das wirtschaftliche Überleben eines Unternehmens auf dem Spiel steht oder öffentliche Einrichtungen über eine längere Zeit nur eingeschränkt arbeiten können.

Durch die mittlerweile sehr starke Arbeitsteilung im Cybercrime-Umfeld ist zudem die Einstiegshürde für solche Angriffe massiv gesunken. Es ist heutzutage möglich ohne nennenswerte Vorkenntnisse und ohne großen finanziellen Einsatz möglich, einen Ransomware-Angriff durchzuführen. Zudem ist die Strafverfolgung nicht einfach.

Schutz vor Ransomware-Angriffen

Nach Ansicht des BSI wird die Bedrohung durch Ransomware noch immer vielfach unterschätzt. Dabei gibt es wirksame und seit langem erprobte Schutzmaßnahmen. Diese werden aber zu selten umgesetzt. Es besteht kein „Maßnahmenmangel“, sondern ein „Umsetzungsmangel“.

Die einfachste aber nicht alleine ausreichende Maßnahme zum Schutz vor Ransomware und anderer Schadsoftware ist die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter in Unternehmen und öffentlichen Einrichtungen bezüglich der wesentlichen Infektionswege. Dies ist das unbedarfte Öffnen von Anhängen in E-Mails sowie die ungewollte Weiterleitung auf kompromittierte Webseiten im Internet. Hierbei gilt es, ein gesundes Misstrauen gegenüber allen Informationen im Internet und bei allen Kontakten im Internet an den Tag zu legen. Die gleiche Vorsicht schützt auch im privaten Umfeld vor finanziellen und persönlichen Schäden.

Neben dieser Sensibilisierung und dem Einsatz des gesunden Menschenverstandes, gibt es technische und organisatorische Maßnahmen, die den Schutz vor Ransomware-Angriffen erheblich erhöhen.

Reaktion: Wenn der Ernstfall eintritt

Doch auch die oben dargestellten Vorsichtsmaßnahmen können keinen hundertprozentigen Schutz vor Ransomware bieten. Sollte es zu einem Sicherheitsvorfall mit Ransomware kommen, gilt es rasch und bedacht zu handeln. Insbesondere für Unternehmen und öffentliche Institutionen ist dann ein geeignetes Krisenmanagement wichtig, das neben den technischen Wiederherstellungsaspekten besonders die notwendige in- und externe Kommunikation berücksichtigt. Dabei ist es sinnvoll, frühzeitig IT-Sicherheitsexperten und -dienstleister hinzuzuziehen, den Vorfall den zuständigen Stellen (wie z. B. dem Landes-CERT und dem Landesbeauftragten für Datenschutz) zu melden und Anzeige beim Landeskriminalamt zu stellen.

Gemeinsam gegen Ransomware

Unter den finanziell motivierten Akteuren sind die Betreiber und Affiliates der Ransomware-as-a-Service LockBit aktuell die größte Bedrohung in Deutschland wie auch weltweit. Zusammen mit den IT-Sicherheitsbehörden aus den Vereinigten Staaten, Australien, Kanada, Vereinigten Königreich, Frankreich und Neuseeland, dem U.S. Federal Bureau of Investigation (FBI) und U.S. Multi-State Information Sharing and Analysis Center (MS-ISAC) wurde am 14. Juni 2023 ein gemeinsamer Bericht zum Verständnis der Vorgehensweise dieser Ransomware-Angreifer und möglicher Schutzmaßnahmen veröffentlicht.