Handelsblatt

MenüZurück
Wird geladen.

20.07.2016

07:35 Uhr

Ransomware

Happiger Aufschlag beim Lösegeld

VonChristof Kerkmann

Die Masche funktioniert offenbar: Cyberkriminelle kassieren mit Ransomware immer mehr ab. Das durchschnittliche Lösegeld für die Daten ist doppelt so hoch wie vor einem Jahr. Auch für Firmen steigt das Risiko.

Die Erpressungsmasche funktioniert offenbar – Cyberkriminelle investieren kräftig in die Entwicklung von Ransomware. dpa

Zugriff auf die Daten

Die Erpressungsmasche funktioniert offenbar – Cyberkriminelle investieren kräftig in die Entwicklung von Ransomware.

DüsseldorfDie Formulierungen bleiben gleich, der drohende Tonfall ebenso. Die persönlichen Daten auf dem Computer seien verschlüsselt, so warnen die Erpresser – wer nicht zahle, verliere alles. Doch mit einem Textbaustein in der Drohung experimentieren sie in letzter Zeit: der Höhe des Lösegeldes. Einer aktuellen Studie zufolge fordern Cyberkriminelle mit Erpressungssoftware – Ransomware genannt – mehr doppelt so viel wie noch vor einem Jahr. Die durchschnittliche Summe betrage 690 Dollar, umgerechnet 626 Euro, berichtet der IT-Sicherheitsanbieter Symantec.

Der drastische Anstieg sei ein Zeichen dafür, dass die Betrugsmasche funktioniere, meint Candid Wüest, IT-Sicherheitsexperte bei Symantec. „Die Angreifer loten aus, wie viel den Opfer ihre Daten wert sind“, erklärt er im Gespräch mit dem Handelsblatt. Offenbar sei die Zahlungsbereitschaft so hoch gewesen, dass man die Forderungen nach oben geschraubt habe. Zum Vergleich: 2015 lag die Summe im Schnitt bei 290 Dollar.

Die Erpresser schleusen die Erpressungsprogramme heimlich mit präparierten E-Mails oder Websites auf die Rechner der Opfer und lassen sie anschließend wichtige Dateien verschlüsseln, etwa E-Mails, Fotos oder Office-Dokumente. Wer die Daten wiederherstellen will, soll mit der Kryptowährung Bitcoin Lösegeld auf ein anonymes Konto überweisen.

Ransomware: Zahlen oder nicht?

Drohen mit Datenmüll

Programme wie Locky, Teslacrypt oder Petya setzen den Nutzer unter Druck: Wenn er nicht zahlt, drohen seine E-Mails, Office-Dokumente und Fotos zu unlesbarem Datenmüll zu werden.

Zahlen mit Bitcoins

Die Erpresser verlangen in den meisten Fällen zwischen 200 und 800 Euro – es handelt sich also um Summen, die viele Nutzer zahlen können. Überwiesen wird das Geld in der Digitalwährung Bitcoin, die den Kriminellen Anonymität ermöglicht.

Freikaufen klappt manchmal...

Erfahrungsberichte zeigen, dass die Kriminellen nach der Zahlung des Lösegeldes durchaus Daten freigeben. Andernfalls würde ihr Geschäftsmodell mit der Zeit zusammenbrechen. Experten warnen allerdings, dass es häufig auch nicht klappt – das Geld ist trotzdem verloren.

... ist aber fragwürdig

Allerdings ist im Umgang mit Kriminellen nichts garantiert. Zudem sorgen Opfer mit ihren Zahlungen dafür, dass das Geschäftsmodell floriert – und so für die kriminellen Hacker ein Anreiz besteht, weiterzumachen. Es ist also eine Abwägung, die Betroffene vornehmen müssen.

Entschlüsseln, aber nicht zahlen

Die Hacker setzen die Verschlüsselungstechnik oft nicht richtig ein. Dann haben Experten die Möglichkeit, sie zu umgehen und so die Daten wiederzustellen. Die Website id-ransomware.malwarehunterteam.com zeigt, ob ein Trojaner zu knacken ist.

Manchmal hilft Geduld...

Bis Experten eine Möglichkeit entwickelt haben, um die Ransomware zu umgehen, kann allerdings etwas Zeit vergehen. Wer die Daten unbedingt braucht, wird darin also keine Alternative sehen.

... immer hilft ein Backup

Die Erkenntnis ist banal, aber immer noch nicht weit verbreitet: Der beste Schutz gegen Ransomware sind regelmäßige Back-ups, also Datensicherungen. Selbst wenn andere Schutzmaßnahmen nicht greifen sollten, sind Nutzer nicht erpressbar.

Vorfall der Polizei melden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Ransomware-Opfer dazu auf, bei der Polizei eine Anzeige zu erstatten. Das hilft dabei, ein genaueres Bild vom Ausmaß der Kriminalität zu bekommen. Nutzer sollten dafür den Sperrbildschirm abfotografieren und rekapitulieren, was zur Infektion geführt haben könnte.

Diese Masche scheint für Kriminelle attraktiv zu sein: Immer mehr Organisationen versuchen sich mit digitaler Erpressung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht in einem aktuellen Lagedossier von einer „verschärften Bedrohungslage“. Das Phänomen sei zwar nicht neu, aufgrund der technischen Weiterentwicklung der Software, etwa mit besserer Verschlüsselung, seien die Auswirkungen für Betroffene heute jedoch drastischer.

Auch Symantec stellt eine Professionalisierung der Szene fest. „In den vergangenen zwölf Monaten hat Ransomware ein neues Niveau der Reife und Bedrohung erreicht“, heißt es in dem Report (englisch). So enthält die Software immer weniger Fehler – und bietet damit auch immer weniger Möglichkeiten, die Verschlüsselung zu umgehen. „Es gibt im Internet genügend Beispiele und Anleitungen“, sagt Wüest. „Die Angreifer lernen dazu.“

Zudem nutzen einige Gruppen professionelle Angriffsmethoden, um gezielt in die Netzwerke von Unternehmen einzudringen und diese zu erpressen. Hier beobachtet Symantec zumindest einen leichten Anstieg. In diesen Fällen liege die Forderung häufig deutlich höher als bei Privatnutzern, berichtet Wüest: „Da wird das Lösegeld teilweise per E-Mail ausgehandelt.“ Wie teuer das werden kann, zeigt ein Krankenhaus in den USA, das Medienberichten zufolge drei Millionen Dollar für die Entsperrung der eigenen Computer zahlte.

Was tun gegen Ransomware?

Daten sichern

Daten sichern: Wer ein aktuelles Abbild seiner Daten hat, ist nicht erpressbar. Back-ups sind aber nicht nur wegen Ransomware sinnvoll – ein Notebook kann herunterfallen, eine Festplatte mechanischen Schaden nehmen.

Virenscanner einschalten

Wenn ein Trojaner im Umlauf ist, nehmen die Hersteller von Virenscannern seine Signatur auf – die Software erkennt ihn. Moderne Programme enttarnen auch unbekannte Schädlinge anhand ihres Verhaltens.

Updates einspielen

Einige Schädlinge dringen über Sicherheitslücken in das System ein. Um das zu verhindern, sollte man so schnell wie möglich Updates einspielen, die Schwachstellen schließen, etwa in Flash und dem Adobe Reader.

Flash und Makros ausschalten

Je weniger Angriffsfläche ein Computer bietet, desto besser. Daher sollten Nutzer Programme wie Flash standardmäßig deaktivieren und nur bei Bedarf einschalten – das hilft bereits, viele Angriffe abzuwehren. Gleiches gilt für Makros in Office-Dokumenten.

Dateien prüfen

Nutzer sollten im Betriebssystem unbedingt Dateierweiterungen anzeigen lassen. Bei Trojanern handelt es sich oft um .exe- oder .vbs-Dateien – hier ist besondere Vorsicht geboten.

Aufmerksam sein

Obwohl Ransomware häufig gut gemacht ist: Viele Angriffe lassen sich erkennen. So sollten Nutzer bei E-Mails von unbekannten Absendern vorsichtig sein, bei ungefragt zugesandten Anhängen sowieso.

Unabhängig von diesen gezielten Angriffen ist Ransomware für die Wirtschaft gefährlich. Laut der Symantec-Studie betrafen 43 Prozent der Angriffe Unternehmen. Auch eine BSI-Umfrage vom April bestätigt das Risiko: Demnach war ein Drittel der Firmen in den sechs Monaten zuvor von Ransomware betroffen, die Mehrheit der Befragten schätzte die Bedrohungslage als verschärft ein.

Symantec hat für die Studie anonymisierte Daten seiner internationalen Kundschaft ausgewertet und mit Sensordaten der Internetanbieter kombiniert. Dabei hat das Unternehmen bestimmte Angaben automatisch ausgelesen, etwa die Höhe des geforderten Lösegeldes. Die Angaben sind nicht repräsentativ für alle Internetnutzer, zeigen aber angesichts der Größe der Stichprobe Trends.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×