Handelsblatt

MenüZurück
Wird geladen.

15.05.2017

16:02 Uhr

Ransomware-Angriffe

So wappnen sich Nutzer gegen Cyber-Erpresser

VonChristof Kerkmann

Geld oder Daten: Vor diese Wahl stellen Cyberkriminelle Tausende Nutzer in aller Welt. Gegen Ransomware gibt es keine hundertprozentige Sicherheit, doch mit etwas Umsicht lassen sich die Chancen der Hacker verringern.

Rätselhafte Cyberattacke

Das steckt hinter der Erpresser-Software „Wanna Cry“

Rätselhafte Cyberattacke : Das steckt hinter der Erpresser-Software „Wanna Cry“

Ihr Browser unterstützt leider die Anzeige dieses Videos nicht.

DüsseldorfEs hätte weitaus schlimmer kommen können. Deutschland sei beim großen Cyberangriff am Wochenende glimpflich davongekommen, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Für eine genaue Bilanz ist es noch zu früh, doch offenbar hielten sich die Ausfälle durch die Erpressungssoftware in Grenzen – auch wenn mit der Deutschen Bahn ein großes Unternehmen betroffen war.

Experten befürchten allerdings, dass der nächste Angriff schon bald losgehen könnte. Unternehmen wie Privatnutzer sollten sich daher schleunigst darüber Gedanken machen, wie sie sich schützen. Zumal noch viel zu tun ist, wie Schönbohm betont: Es sei überraschend, „dass immer noch noch viele Nutzer bestimmte Updates oder Sicherheitsmechanismen nicht schnell genug installieren und dort noch eine bestimmte Fahrlässigkeit herrscht“, sagte er dem Inforadio vom Rundfunk Berlin-Brandenburg (RBB).

Wie können sich Nutzer schützen? Ein Überblick über die wichtigsten Sofortmaßnahmen.

Cyber-Attacke: Was steckt hinter „Wanna Cry“?

Der Hintergrund

Die Erpressungs-Software „Wanna Cry“ hat sich in rasender Geschwindigkeit auf Hunderttausenden Rechnern weltweit eingenistet und dort die Daten verschlüsselt - bei Unternehmen ebenso wie in Krankenhäusern oder bei Privatnutzern. Nur zufällig glückte eine Notabschaltung.

Ist ein Ende der Attacke in Sicht?

Eine befürchtete zweite Angriffswelle mit dem Erpressungstrojaner „Wanna Cry“ ist am Montag nach Erkenntnissen des Innenministeriums ausgeblieben. Die Attacke hatte seit Freitag Windows-Rechner in mindestens 150 Ländern erfasst. Ausgestanden sei sie aber noch nicht, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. Die „Pegelstände“ der „Flutwelle“ würden noch weiter steigen. Sicherheitsexperten warnen vor Nachahmern, die sich die Art des Angriffs mit leicht veränderten Wendungen zunutze machen könnten. So könnten Angreifer auf dem gleichen Weg versuchen, persönliche Daten zu stehlen oder aus der Ferne steuerbare Trojaner zu installieren, warnen etwa Sicherheitsforscher von IBM.

Was ist das Besondere an der „WannaCry“-Attacke?

Anders als bei früheren Cyber-Attacken hat der „Wanna Cry“-Angriff neben Zehntausenden Computern in Unternehmen und Privathaushalten auch Infrastrukturbetreiber wie die Deutsche Bahn, Zehntausende Tankstellen in China und mehrere Krankenhäuser in Großbritannien schwer getroffen. Der Angriff habe eine „definitiv andere Dimension“ als vergleichbare Attacken, sagte Uwe Kissmann, verantwortlich für das europäische Cybersecurity-Geschäft bei dem Beratungsunternehmen Accenture. „Das ist auch ein weiterer Weckruf.“ Die Gefahren in der IT-Sicherheit seien nicht mehr hypothetisch, sondern könnten einen ausgesprochen hohen wirtschaftlichen Schaden verursachen.

Gegen wen richtet sich die Attacke - ist sie komplett willkürlich?

Die Ziele der Angreifer sind bislang noch sehr unklar. In der Regel steht bei Erpressungsoftware (Ransomware) das finanzielle Interesse im Vordergrund. Auch mit „Wanna Cry“ wurden die Opfer aufgefordert, ein Lösegeld zu zahlen, um ihre verschlüsselten Daten wieder entschlüsseln zu lassen. Die weltweite Attacke soll den Angreifern aber gerade einmal rund 30 000 Euro in die Kassen gespült haben. Relativ stark seien Einrichtungen in Großbritannien, aber auch in Frankreich betroffen gewesen, sagte Cybersicherheits-Experte Kissmann. „Die Schweiz war bis dato weniger betroffen.“ Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) lag Deutschland unter den am stärksten betroffenen Ländern weltweit auf Platz 13. Man sei aber weiterhin dabei, die Attacke zu analysieren, auch was die Methoden der Weiterverbreitung betreffe, sagte Kissmann.

Wer steckt hinter der Attacke?

Über die Angreifer, die hinter der Malware stehen, ist bislang noch nichts bekannt. Sicherheitsexperten gehen davon aus, dass der Angriff keine besonders professionellen Fähigkeiten vorausgesetzt hat. Insofern könne es gut möglich sein, dass die Angreifer identifiziert werden, schätzt Kissmann. In Deutschland ermitelt das BKA.

Sind die Folgen der Attacke bei der Deutschen Bahn behoben?

Auch die Anzeigentafeln an den Bahnhöfen in Deutschland waren von dem Angriff betroffen. Bis sie wieder funktionieren, dürfte es noch mehrere Tage dauern. Die Fahrkarten-Automaten seien aber bis auf einige Ausnahmen wieder einsatzbereit, sagte ein Bahnsprecher am Montag. Von den 5400 deutschen Bahnhöfen sei nur „ein Bruchteil“ betroffen gewesen.

Welche Lehren können aus der Attacke gezogen werden?

Die Angreifer hatten auf den betroffenen Rechnern leichtes Spiel, da auf ihnen kein Patch für eine längst bekannte Sicherheitslücke aufgespielt war. Die Lücke im Betriebssystem Windows sei bereits im März von Microsoft geschlossen worden, sagte Tim Berghoff von G Data: „Staatliche Organisationen, Firmen und Privatanwender sollten sich sehr schnell Gedanken machen, wie sie die jeweiligen Sicherheitslücken schließen können.“ Brad Smith, Chefjustiziar von Microsoft, sieht vor allem die Regierungen in der Pflicht. Im aktuellen Fall hatte die US-Geheimdienstbehörde NSA die Windows-Schwachstelle für die eigene Arbeit zum Ausspähen gelagert. Von dort war sie dann entwendet und bei Wikileaks veröffentlicht worden. Cyberkriminelle hatten damit ungehinderten Zugriff und konnten sie für eigene Interessen nutzen.

Software aktuell halten

Im aktuellen Fall wäre es leicht möglich gewesen, sich zu schützen. Um ihr Erpressungsprogramm heimlich auf den PC zu schleusen, nutzten die unbekannten Angreifer eine Sicherheitslücke im Betriebssystem Windows aus, die Hersteller Microsoft bereits im März geschlossen hatte: Das als „kritisch“ eingestufte Update immunisierte gegen eine Infektion mit „Wanna Cry“. Viele Unternehmen hatten es offenbar aber nicht installiert.

„Bei Ransomware ist Phishing die dominierende Verbreitungsart“, sagt Uwe Kissmann, der bei Accenture das Europageschäft mit IT-Sicherheitslösungen leitet. Die Kriminelle verschicken also mehr oder weniger geschickt formulierte E-Mails, die ein schädliches Programm im Anhang haben oder auf eine präparierte Website führen. Klickt der Nutzer darauf, können sie über Schwachstellen ins System eindringen. Daher rät Kissmann: „Privatnutzer und kleine Unternehmen müssen unbedingt die automatischen Updates einschalten.“

Ransomware: Zahlen oder nicht?

Drohen mit Datenmüll

Programme wie Locky, Teslacrypt oder Petya setzen den Nutzer unter Druck: Wenn er nicht zahlt, drohen seine E-Mails, Office-Dokumente und Fotos zu unlesbarem Datenmüll zu werden.

Zahlen mit Bitcoins

Die Erpresser verlangen in den meisten Fällen zwischen 200 und 800 Euro – es handelt sich also um Summen, die viele Nutzer zahlen können. Überwiesen wird das Geld in der Digitalwährung Bitcoin, die den Kriminellen Anonymität ermöglicht.

Freikaufen klappt manchmal...

Erfahrungsberichte zeigen, dass die Kriminellen nach der Zahlung des Lösegeldes durchaus Daten freigeben. Andernfalls würde ihr Geschäftsmodell mit der Zeit zusammenbrechen. Experten warnen allerdings, dass es häufig auch nicht klappt – das Geld ist trotzdem verloren.

... ist aber fragwürdig

Allerdings ist im Umgang mit Kriminellen nichts garantiert. Zudem sorgen Opfer mit ihren Zahlungen dafür, dass das Geschäftsmodell floriert – und so für die kriminellen Hacker ein Anreiz besteht, weiterzumachen. Es ist also eine Abwägung, die Betroffene vornehmen müssen.

Entschlüsseln, aber nicht zahlen

Die Hacker setzen die Verschlüsselungstechnik oft nicht richtig ein. Dann haben Experten die Möglichkeit, sie zu umgehen und so die Daten wiederzustellen. Die Website id-ransomware.malwarehunterteam.com zeigt, ob ein Trojaner zu knacken ist.

Manchmal hilft Geduld...

Bis Experten eine Möglichkeit entwickelt haben, um die Ransomware zu umgehen, kann allerdings etwas Zeit vergehen. Wer die Daten unbedingt braucht, wird darin also keine Alternative sehen.

... immer hilft ein Backup

Die Erkenntnis ist banal, aber immer noch nicht weit verbreitet: Der beste Schutz gegen Ransomware sind regelmäßige Back-ups, also Datensicherungen. Selbst wenn andere Schutzmaßnahmen nicht greifen sollten, sind Nutzer nicht erpressbar.

Vorfall der Polizei melden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Ransomware-Opfer dazu auf, bei der Polizei eine Anzeige zu erstatten. Das hilft dabei, ein genaueres Bild vom Ausmaß der Kriminalität zu bekommen. Nutzer sollten dafür den Sperrbildschirm abfotografieren und rekapitulieren, was zur Infektion geführt haben könnte.

Allerdings versorgt Microsoft nicht mehr alle Betriebssysteme mit Aktualisierungen, für die Versionen XP und Vista bietet es keinen Support mehr, wie die Übersicht zu den Lebenszyklen zeigt. Das dürfte einigen britischen Krankenhäusern zum Verhängnis geworden sein, die Medienberichten zufolge immer noch das Uraltsystem XP einsetzen, das bereits seit 2001 auf dem Markt ist.

„Angesichts der möglichen Folgen für Kunden und ihre Geschäfte“ habe man sich entschieden, außer Plan ein Update für die Windows-Versionen XP, 8 und Windows Server 2003 zu entwickeln, erklärte Microsoft am Wochenende. Unabhängig davon sollten Nutzer mit Computern, auf denen die alte Software läuft, nicht mehr ins Internet gehen: Selbst der Hersteller hält das für unsicher und rät dringend davon ab.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×