Search
START TYPING AND PRESS ENTER TO SEARCH

lan-wan-telecom.de

Ransomware: Hilfe gibt’s bei renommierten Dienstleistern – vor und nach einem Angriff

Die Anfrage nach Ransomware bei Google wird heute – Mitte Januar 2026 – folgendermaßen beantwortet: „Ransomware ist eine Art von Schadsoftware (Malware), die Dateien auf Computern verschlüsselt oder den Zugriff auf Systeme blockiert, um Lösegeld (Ransom) zu erpressen. Angreifer nutzen oft Phishing-E-Mails, infizierte Links oder Sicherheitslücken, um einzudringen und eine Zahlung zu verlangen, meist in Kryptowährungen wie Bitcoin, für den Entschlüsselungsschlüssel. Moderne Varianten drohen zusätzlich mit der Veröffentlichung gestohlener, sensibler Daten, was die Erpressung verstärkt.“

Experten raten auch bei kleineren Unternehmen zu verstärkten Abwehrmaßnahmen: „Die Frage ist heute nicht mehr, OB man angegriffen wird, sondern vielmehr, WANN dies geschieht. Mit diesem Wissen ist man also gut beraten, sich vor einem Totalverlust aller Daten zu schützen. Allerdings sind die Angriffe heute erheblich heimtückischer als sie es zu Beginn der Ransomware-Welle waren: Oft genug sehen sich die Angreifer im betroffenen Netz um, bevor sie die Daten verschlüsseln. Auf diese Art und Weise erfahren sie beispielsweise, welchen Lösegeld-Betrag ein Unternehmen stemmen kann. Und sie hebeln den besten Schutz eines Netzes auf diese Art aus: das Backup. Wenn man nämlich nicht genau sagen kann, wann und wie der Eindringling sich Zugang verschafft hat, kann auch jede vorhandene Backup-Generation schon kontaminiert sein. Man muss also auch das jeweilige Backup genauestens inspizieren, bevor man es online schaltet. Dennoch: ein funktionierendes, möglichst weit in die Vergangenheit zurückreichendes Backup hilft ganz sicher gegen den Schaden, den ein Datentotalverlust anrichten würde.

Polizei und Datensicherheitsexperten, beispielsweise von etablierten Unternehmen wie Controlware, Bechtle oder T-Systems raten von der Zahlung des Lösegelds ab, wenn allerdings die Veröffentlichung sensibler Kunden- und Partnerdaten im Raum steht, dann ist dies oft leichter gesagt als getan. Dennoch ist man in diesem Fall nicht darauf angewiesen, tatsächlich einen Schlüssel zu erhalten, mit dem man die Daten wieder herstellen kann. Zudem wäre das Netz auch nach der Entschlüsselung nicht vertrauenswürdig, der Eindringling könnte schon eine Minute später den gesamten Aufwand zunichtemachen.

Und wenn schon ohnedies klar ist, dass man angegriffen werden kann, sollte man weitergehende Maßnahmen treffen, die dafür sorgen, dass der entstehende Schaden möglichst klein ausfällt. Dazu gehört zunächst einmal, dass Filesysteme im Netz mit passenden Zugriffsberechtigungen dafür sorgen, dass Mitarbeiter immer nur den Ausschnitt aus dem gesamten Filesystem lesen bzw. schreiben kann, der für die Arbeit tatsächlich erforderlich ist. Das legere „Jeder darf alles“ vergangener IT-Tage sollte heute keinesfalls mehr zum Besteck eines Admins gehören – und selbst die Administration sollte die eigenen Zugriffsmöglichkeiten auf das absolute Minimum beschränken.

In kleineren Unternehmen kann man dann zusätzlich noch einen Websmart-Switch installieren, und das Netz mit dessen VLAN-Funktion in mehrere Segmente unterteilen, sodass die Lagerverwaltung von der Buchhaltung physikalisch getrennt ist. Und der Vertrieb ist ebenfalls von Geschäftsleitung, Buchhaltung und Lager getrennt. Einzige Verbindung ist eine regelmäßig aktualisierte Datenbank, die den Lagerbestand der einzelnen Artikel bereithält (Data Warehouse), damit ein Vetriebsmitarbeiter auch sehen kann, ob ein Artikel vorrätig ist oder nicht (das mag dann im Einzelfall schiefgehen, wenn eine Änderung an der eigentlichen Datenbank zwischen den Aktualisierungsintervallen vorgenommen wird, sodass sie im Data Warehouse nicht zu sehen ist). Der Sicherheitsgewinn ist dennoch nicht von der Hand zu weisen.

Zudem sollten alle Mitarbeiter mit Zugang zu Email hinsichtlich der Risiken geschult werden und auch hinsichtlich der Möglichkeiten, einen Angriff zu erkennen, bevor man einen verräterischen Dateianhang öffnet. Dies reicht von der Tatsache, dass eine Mail des Finanzamt ganz sicher nie von einem Mailaccount außerhalb des Behörden-Universums kommt: „finanzamt@gmx.de“ ist ganz bestimmt keine korrekte Mailadresse. Zudem gehört eine korrekte Anrede dazu: Das Finanzamt wird in einer Mail immer den Namen der angeschriebenen Person benutzen – „Sehr geehrter Steuerzahler“ ist als Anrede mindestens verdächtig, wenn nicht sogar direkt ein Grund zum Löschen der Mail. Wenn man den Mitarbeitern einen solchen Besteckkasten an Erkennungsmöglichkeiten mitgibt, dann werden sie auch keinen Dateianhang „steuertips.pdf.exe“ nur deshalb öffnen, weil das Icon wie ein PDF aussieht…

Fazit

Ransomware ist ein Übel unserer Zeit, das jeden treffen kann – doch es wird vor allem dann besonders üble Auswirkungen bei denen haben, die sich nicht vorbereitet haben. Von der strikten Vergabe von Zugriffsrechten innerhalb des Firmennetzes bis hin zur Segmentierung des Netzes in logische Einheiten müssen viele Maßnahmen durchdacht und im Einzelfall auf ihre Wirksamkeit hin überprüft werden. Und zu guter Letzt sollte man nie übersehen, dass viele Menschen unter Zeitdruck schon mal Fehler machen – vor denen sollten die eingesetzte Hard- und Software sie möglichst bewahren. Übrigens: ein „billiger“ Tipp ist: Öffnen Sie nie einen Dateianhang direkt aus der Mail heraus, ziehen Sie die Datei erst auf den Desktop und öffnen Sie die von dort: Der Virenscanner bekommt so zwei Chancen, eine Infektion zu erkennen (beim Schreiben und beim Starten der Datei).

Stephan Mayer

Beitrag veröffentlicht

in

, , ,

von

Stephan Mayer