Navigation und Service

Ransomware – Vorsicht vor Erpressersoftware

Ziel ist, die Daten auf Ihren Geräten zu verschlüsseln und Lösegeld zu erpressen

Ransomware sind Schadprogramme, die auf die Blockade des Computersystems oder die Verschlüsselung der Betriebs- und Nutzerdaten abzielen. Ein möglicher Türöffner für Ransomware ist Emotet. Diese Schadsoftware verbreitet sich sehr schnell selbständig und kann damit besonders hohen Schaden anrichten. Die wichtigsten Fragen zum Thema Ransomware beantwortet unser Experte im Video:

Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden.

Das Phänomen der Ransomware ist nicht neu, denn bereits 2005 trat unter dem Namen CryptoLocker erstmals eine Ransomware mit Verschlüsselungsfunktion großflächig in Erscheinung: Das Schadprogramm chiffrierte Nutzerdaten eines bestimmten Typs mit kryptografischen Verfahren – und zwar nicht nur auf lokalen Festplatten, sondern auch auf angebundenen Netzlaufwerken.

Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.

Bei aktuellen Ransomware-Angriffen wird das Lösegeld meist in virtueller Währung wie Bitcoin verlangt – wobei die Zahlung allerdings keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme bietet. Das BSI empfiehlt stattdessen, dass Betroffene unverzüglich Anzeige bei der Polizei erstatten. Auch der allgemeine Ratschlag, regelmäßig Sicherheitskopien anzulegen, ist eine wirksame Ransomware-Prävention. Denn im Falle eines Angriffs lassen sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren.

Wie genau Ransomware auf das System gelangt und was man konkret tun kann, um sich zu schützen, zeigt das folgende Erklärvideo:

WannaCry: Weltweit mehrere hunderttausend Windows-Systeme betroffen

Eine der größten bislang beobachteten Ransomware-Wellen beherrschte im Mai 2017 die Schlagzeilen: Innerhalb von nur drei Tagen verschlüsselte das Schadprogramm WannaCry in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. Insgesamt befiel das Programm vermutlich mehrere Millionen Computer. Auf vielen davon konnte es jedoch dank der schnellen Aktivierung einer bestimmten Funktion durch Analysten keinen Schaden anrichten.

Anders als die häufige Bezeichnung Erpressungstrojaner vermuten lässt, handelte es sich bei WannaCry allerdings um einen Wurm, der sich selbstständig ohne Zutun der Nutzer auf Windows-Rechnern verbreitete. Damit verschwammen die Grenzen zwischen Erpressersoftware (Ransomware) und "klassischem Wurm".

Der Infektionsmechanismus von WannaCry nutzte eine Sicherheitslücke im Windows-Betriebssystem aus, für die Microsoft bereits acht Wochen vor dem Ausbruch der Epidemie einen Software-Patch bereitgestellt hatte. Das heißt: Ein zeitnahes Aufspielen dieses Sicherheitsupdates hätte in vielen Fällen die WannaCry-Infektion und alle dadurch ausgelösten Schäden verhindern können.