Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Learn More
Zpedia / Was ist unter Ransomware-Angriffen zu verstehen?

Was ist unter Ransomware-Angriffen zu verstehen?

Ein Ransomware-Angriff ist eine Art von Malware-Angriff, bei dem Cyberkriminelle Dateien verschlüsseln, Daten exfiltrieren (stehlen) und mit deren Veröffentlichung drohen, um das Opfer zu einer Lösegeldzahlung zu zwingen, die in der Regel in Kryptowährung erfolgt. Die Angreifer versprechen in der Regel, nach der Zahlung Schlüssel zur Entschlüsselung bereitzustellen und/oder gestohlene Daten zu löschen. Ransomware ist zu einem sehr beliebten Erpressungsmittel von Cyberkriminellen geworden, da Endgeräte durch Remote- und hybride Arbeitsmodelle von neuen Sicherheitslücken betroffen sind.

Ransomware-Report von Zscaler ThreatLabz 2023 herunterladen

Wie laufen Ransomware-Angriffe ab?

Der Ablauf der typischen Phasen eines Ransomware-Angriffs sieht wie folgt aus:

Erstzugriff

Viele Ransomware-Angriffe beginnen mit Phishing-E-Mails, die oft als Nachrichten von vertrauenswürdigen Einzelhändlern, Banken oder anderen Unternehmen getarnt sind und über Lieferverzögerungen, getätigte Einkäufe, niedrige Kontostände usw. informieren. Solche E-Mails enthalten infizierte Dateien oder Links, die beim Öffnen Malware auf den Computer oder das Mobilgerät des Opfers übertragen, um einen Angriff zu starten.

Laterale Bewegung

Sobald ein Gerät infiziert ist, breitet sich der Angriff aus. Wenn sich das infizierte Gerät in einem Netzwerk befindet, versucht die Malware, einen Domain-Controller zu kompromittieren oder auf andere Weise Anmeldedaten zu stehlen, damit sie sich lateral durch das Netzwerk bewegen und andere Geräte infizieren kann.

Ausführung

Sobald die Malware über ausreichenden Zugriff verfügt, wird sie ausgeführt und exfiltriert und/oder stiehlt die Daten des Opfers. Anschließend erhält das Opfer eine Lösegeldforderung, in der Regel mit einer Frist, nach der die Daten verkauft, weitergegeben oder nicht wiederhergestellt werden können. Als Gegenleistung für die Zahlung des Lösegelds wird dem Opfer ein Schlüssel versprochen, mit dem die Daten wieder entsperrt werden können. Jedoch ist keineswegs Verlass darauf, dass dieser Schlüssel tatsächlich bereitgestellt wird bzw. dass der bereitgestellte Schlüssel funktioniert.

Es ist an der Zeit, dass sich das Bewusstsein durchsetzt, dass es mit der Zahlung des Lösegelds nicht getan ist und man nicht unbedingt wieder Kontrolle über das Netzwerk bekommt – vielmehr handelt es sich bei Ransomware-Infektionen um verheerende Angriffe

Cybersecurity and Infrastructure Security Agency

Ransomware im Wandel der Zeit – von der Diskette zur Filesharing-Website

Die Anfänge von Ransomware gehen auf das Jahr 1989 zurück, als die Teilnehmer einer internationalen AIDS-Konferenz Disketten mit „AIDS-Informationen“ erhielten, die mit einem Trojanervirus infiziert waren. Nach 90 Systemneustarts auf einem infizierten System versteckte der Trojaner alle Verzeichnisse, verschlüsselte alle Dateien auf der infizierten Festplatte und zeigte eine Nachricht der „PC Cyborg Corporation“ an, in der eine Zahlung von 189 Dollar an eine Adresse in Panama gefordert wurde, um den Zugriff wiederherzustellen.

Die nächste Welle von Ransomware-ähnlichen Cyberangriffen kam in den frühen 1990er Jahren mit „Scareware“, so genannt wegen der Verwendung von auf Angst beruhenden Social-Engineering-Techniken. Infizierte Computer zeigten eine Fehlermeldung und ein Angebot zum Kauf und Download von Software an, um das Problem zu beheben. Natürlich handelte es sich bei der Software um Malware, die oft darauf abzielte, Daten zu stehlen.

Mit dem Aufkommen von Filesharing-Programmen entstand eine Kategorie von Ransomware, die als Locker-Ransomware bezeichnet wird. Sie wird oft auf Websites versteckt, die Peer-to-Peer-Downloads oder nicht jugendfreie Inhalte hosten, und zeigt eine Meldung an, die erklärt, dass das System gesperrt wurde (häufig unter Berufung auf eine Strafverfolgungs- oder Regierungsbehörde wie das FBI aufgrund mutmaßlicher illegaler Aktivitäten), bis der User eine Geldstrafe bezahlt. Viele Locker schränkten lediglich die Mausbewegungen ein, und ein Neustart des Systems konnte die normalen Funktionen wiederherstellen, aber aus Angst zahlten viele Opfer.

Welcher Zusammenhang besteht zwischen Ransomware und Kryptowährungen?

In der Anfangsphase lagen die Lösegeldforderungen in der Regel bei einigen hundert Dollar je User. Außerdem wurden die Lösegeldzahlungen meist mit gewöhnlichen Zahlungskarten getätigt, sodass die Transaktionen viel leichter zu verfolgen und die Täter leichter zu fassen waren.

Heute haben Innovationen im Bereich der Cyberkriminalität und der Kryptotechnologie dazu beigetragen, dass Ransomware immer häufiger eingesetzt wird. Insbesondere Bitcoin und andere Kryptowährungen — digitale Währungen, die auf Anonymität und Verschlüsselung setzen und kaum nachvollziehbar sind — haben es Angreifern ermöglicht, ihre Spuren zu verwischen.

Ransomware as a Service (RaaS)

Als Nebeneffekt dieser zunehmenden Beliebtheit und des Erfolgs sind RaaS-Tools oft abonnementbasiert und kostengünstig, genau wie legale SaaS-Angebote. Viele dieser Tools sind im Dark Web leicht erhältlich und ermöglichen es auch Personen ohne Programmierkenntnisse, einen Cyberangriff zu starten und einen Teil des Gewinns zu erzielen.

Ransomware mit Doppelerpressung

Schließlich konnten bessere Datensicherungs- und Entschlüsselungstechnologien das Blatt zu Gunsten der Opfer wenden. Daraufhin verübte eine Hackergruppe namens TA2102 im Jahr 2019 den ersten aufsehenerregenden Ransomware-Angriff mit Doppelerpressung, bei dem die Daten des Opfers sowohl verschlüsselt als auch exfiltriert wurden. Dann drohte die Gruppe, sie zu veröffentlichen, falls nicht 2,3 Millionen US-Dollar in Bitcoin gezahlt würden. Selbst wenn es dem Opfer gelungen wäre, seine Daten wiederherzustellen, hätte es eine schwerwiegende Datenpanne erlitten, wenn es nicht gezahlt hätte.

Ransomware ohne Verschlüsselung

In den Jahren 2022 und 2023 tauchte ein gefährlicher Trend auf, der Ransomware grundlegend veränderte. Ransomware-Angriffe ohne Verschlüsselung sind sowohl eine Weiterentwicklung als auch eine Art Rückschritt: Sie verschlüsseln die Dateien der Opfer nicht. Stattdessen konzentrierten sich die Angreifer nur auf die Exfiltration sensibler Daten als Druckmittel.

Die Opfer dieser Angriffe kommen in der Regel aus Branchen, in denen hochsensible personenbezogene Daten verarbeitet werden, wie z. B. dem Rechts- und Gesundheitswesen. Da ihr Hauptanliegen darin besteht, den Verlust ihrer sensiblen Daten zu verhindern, zahlen viele das Lösegeld, obwohl ihre Daten nicht verschlüsselt wurden. Da die Daten nicht verschlüsselt sind, können sie schneller und einfacher wiederhergestellt werden, was oft zu schnelleren Lösegeldzahlungen führt.

Im Ransomware-Report von Zscaler ThreatLabz 2023 erfahren Sie mehr über Ransomware ohne Verschlüsselung und andere Trends.

Typen/Beispiele für Ransomware-Angriffe

Es gibt unzählige verschiedene Typen von Ransomware und Ransomware-Gruppen. Zu den bekanntesten zählen u. a.:

  • CryptoLocker: Diese Ransomware, die sich durch eine starke Verschlüsselung und ein riesiges Botnet auszeichnet, war in den Jahren 2013 und 2014 so erfolgreich, dass sie weiterhin Nachahmungstäter inspiriert.
  • Dridex: Ein bekannter Trojaner, der dafür bekannt ist, über Phishing-E-Mails Bankdaten zu stehlen, und der mit Ransomware wie WastedLocker, BitPaymer und DoppelPaymer in Verbindung gebracht wird.
  • WannaCry: Dieser Kryptowurm greift das Betriebssystem Microsoft Windows an. Seit seiner Veröffentlichung im Jahr 2017 wurden bisher über 300.000 Systeme befallen.
  • NotPetya: NotPetya tauchte kurz nach WannaCry auf und schien zunächst eine Ransomware zu sein, war aber in Wirklichkeit eine gefährliche „Destructionware“, die der russischen Hackergruppe Sandworm zugeschrieben wird.
  • Ryuk: Dieser Ransomware-Stamm wurde mit verschiedenen Gruppen in Verbindung gebracht, die sich auf Angriffe gegen den öffentlichen Sektor sowie das Gesundheits- und Bildungswesen spezialisiert haben und dabei insbesondere schulische Einrichtungen in den USA ins Visier nehmen.
  • REvil: REvil ist berüchtigt für Angriffe auf Organisationen aus dem Rechtswesen, dem Unterhaltungsbereich und dem öffentlichen Sektor und startete zwischen Mai 2020 und Oktober 2021 eine ganze Reihe von Angriffen, darunter auch den Kaseya VSA-Angriff.
  • DarkSide: Diese Variante, die für den Angriff auf Colonial Pipeline im Jahr 2021 verantwortlich ist, ist eines der bekanntesten Beispiele für Ransomware mit Doppelerpressung. Die Bereitstellung erfolgt zumeist als Service nach dem RaaS-Modell.
  • GandCrab: Im Report Ransomware in a Global Context von VirusTotal aus dem Jahr 2021 wird GandCrab als am häufigsten vorkommende Ransomware genannt, die in 78,5 % der für den Report untersuchten Proben vorkam.

Wie gut ist Ihr Unternehmen auf Ransomware-Angriffe vorbereitet? Mit unserer kostenlosen Analyse der Internet-Bedrohungslage können Sie das herausfinden.

Was sind die 7 wichtigsten Angriffsvektoren von Ransomware?

Ransomware-Angreifer arbeiten ständig daran, ihre Angriffe zu optimieren, aber es gibt mehrere Strategien, die bei der Infiltration von Systemen am beliebtesten (und effektivsten) sind. Dies sind die häufigsten Angriffsvektoren von Ransomware:

  • Phishing: Betrügerische E-Mails oder ähnliche Nachrichten, die in der Regel infizierte Links oder Anhänge enthalten, verleiten User dazu, Ransomware auf ihr System zu übertragen.
  • Drive-by-Downloads: Angreifer nutzen Schwachstellen in Software, Betriebssystemen oder Browsern aus, um heimlich Ransomware herunterzuladen, wenn die Opfer auf infizierte Websites oder Links zugreifen.
  • Software-Schwachstellen: Angreifer nutzen Schwachstellen in Anwendungen oder Systemen aus und verschaffen sich so Zugang zu einem Netzwerk, wo sie Ransomware direkt installieren können.
  • Schädliche Websites: Angreifer erstellen gefälschte oder nachgeahmte Websites, die User mit legitimen Websites verwechseln und auf denen sie Ransomware hosten, um Besucher zum Download zu verleiten.
  • Watering-Hole-Angriffe: Angreifer kompromittieren legitime Websites, die von ihren Opfern genutzt werden, und nutzen dann Social Engineering, um Besucher zum Herunterladen von Ransomware zu verleiten.
  • RDP-Angriffe (Remote Desktop Protocol): Hacker verschaffen sich illegal Zugriff auf RDP-Verbindungen, in der Regel durch Knacken oder Stehlen von Anmeldedaten, um Ransomware direkt in einem Zielnetzwerk zu installieren.
  • Malvertising (bösartige Werbung): Angreifer platzieren infizierte Anzeigen auf ansonsten legitimen Websites, die Systeme mit Ransomware infizieren, sobald Opfer mit der Anzeige interagieren.

Zahlen oder nicht zahlen?

Die schwierigste Entscheidung vieler Ransomware-Opfer: „Zahlen oder nicht zahlen?“

Viele Unternehmen sind bereit zu zahlen, um ihre Daten zu retten, aber ist das die richtige Entscheidung? Mehrere Reports seit 2021 haben ergeben, dass etwa 80 % der Unternehmen, die so vorgehen, von einem weiteren Angriff betroffen sind. Darüber hinaus ist es so, wie Brad Moldenhauer, CISO von Zscaler, es ausdrückte, „dass die Zahlung digitaler Lösegelder den Terrorismus und sicherlich auch Cyberkriminalität unterstützen und begünstigen könnte.“

Es sind auch andere Aspekte zu berücksichtigen:

  • Es gibt keine Garantie, dass Sie alle Ihre Daten wiederherstellen können — vorausgesetzt, dass das überhaupt die Absicht des Angreifers war (mehr zu NotPetya).
  • Unter bestimmten Umständen und Rechtsordnungen ist die Zahlung eines Lösegelds sogar illegal. Weiterlesen.
  • Im Falle einer Doppelerpressung bedeutet die Entscheidung, nicht zu zahlen, dass die Angreifer Ihre Daten der Weltöffentlichkeit preisgeben, selbst wenn sie wiederhergestellt werden können.

Oft hängt die Entscheidung von den besonderen Umständen in Ihrem Unternehmen ab, z. B. davon, wie Ihre Abläufe, User und Kunden von einer Sicherheitsverletzung betroffen sind und wie hoch die Wahrscheinlichkeit ist, dass Sie Ihre Daten nicht wiederherstellen können.

Geschäftsschädigende Auswirkungen von Ransomware

Die Zahl der Ransomware-Angriffe auf Unternehmen aller Art steigt von Jahr zu Jahr und kann negative Auswirkungen auf die Einnahmen, die öffentliche Meinung und andere Bereiche haben.

Verlust von Vermögen und/oder Daten

Die Entscheidung zwischen Datenverlust und finanziellem Verlust ist ein riskantes Unterfangen, insbesondere in Branchen, die mit sensiblen Daten arbeiten. Wer Lösegeldforderungen ignoriert, riskiert ein Datenleck. Und selbst wenn Sie bezahlen, gibt es keine Garantie dafür, dass Sie Ihre Daten zurückerhalten.

Reputationsschäden

Unabhängig davon, ob Sie zahlen oder nicht, sind Sie verpflichtet, die Straftat zu melden, was zu medialer Aufmerksamkeit führen kann. Wenn Angriffe in den Nachrichten auftauchen, riskieren die betroffenen Unternehmen, das Vertrauen ihrer Geschäftspartner und Kunden zu verlieren, auch wenn die Unternehmen selbst wohl keine Schuld trifft.

Rechtliche Konsequenzen

In immer mehr US-Bundesstaaten ist die Zahlung eines Lösegelds in den meisten Fällen illegal, und auch andere Staaten weltweit ziehen dieses Vorgehen in Betracht. Darüber hinaus kann eine Sicherheitsverletzung zu einer verstärkten behördlichen Kontrolle führen, die Geldstrafen und andere rechtliche Kosten nach sich ziehen könnte.

Hinweise zum Entfernen von Ransomware

Es gibt Möglichkeiten, mit Ransomware umzugehen, aber Sie müssen Schritt für Schritt vorgehen:

Schritt 1: Isolieren Sie die infizierten Geräte und trennen Sie alle kabelgebundenen oder kabellosen Verbindungen, gegebenenfalls auch die Stromversorgung, um eine Ausbreitung der Ransomware-Infektion zu verhindern. Wenn Sie Ransomware entdecken, bevor sie ausgeführt wurde, können Sie sie möglicherweise vom System entfernen, bevor der Angreifer eine Lösegeldforderung stellen kann.

Schritt 2: Finden Sie heraus, womit genau Sie es zu tun haben und ob es ein Entschlüsselungstool gibt, mit dem Sie verschlüsselte Daten wiederherstellen können. Darauf sollten Sie sich allerdings nicht verlassen. Entschlüsselungsprogramme sind gegen hochentwickelte Ransomware oft wirkungslos und helfen auch im Falle einer Doppelerpressung nicht wirklich.

Schritt3: Stellen Sie Ihre verlorenen Daten über ein Backup wieder her. Nur durch regelmäßige Backups können Sie sicherstellen, dass Sie alle verschlüsselten Daten wiederherstellen können. Wenn Sie Ihre Daten aus irgendeinem Grund nicht wiederherstellen können, sollten Sie die möglichen rechtlichen und finanziellen Konsequenzen sorgfältig abwägen, bevor Sie Lösegeldforderungen nachkommen.

Schritt 4: Entfernen Sie die Ransomware mit Hilfe eines Sicherheitsexperten, der eine gründliche Ursachenanalyse durchführen sollte, um die Schwachstelle zu ermitteln, die den Angriff ermöglichte.

Schritt 5: Ermitteln Sie die Ursache der Infektion und ergreifen Sie Maßnahmen, um Ihre Schutzmechanismen zu verbessern, wo immer sie versagt haben, sei es durch einen Backdoor-Exploit, einen Fehler in Ihrem E-Mail-Filter, mangelnde Schulung der User oder etwas anderes. Solche Angriffe können und werden sich wiederholen, doch Sie können besser darauf vorbereitet sein.

Prävention ist die beste Strategie zur Bekämpfung von Ransomware

Sobald Ihre Daten verschlüsselt oder exfiltriert wurden, haben Sie leider auf die eine oder andere Weise verloren. Deshalb ist Prävention der eigentliche Schlüssel zur Ransomware-Abwehr.

Selbst wenn keine hundertprozentige Prävention möglich ist, lässt sich durch strenge Einhaltung von Due-Diligence-Maßnahmen, entsprechende Mitarbeiterschulungen und die richtige Technologie das Risiko deutlich verringern. Sie brauchen eine wirksame Strategie zur Abwehr von Ransomware, einschließlich entsprechender Methoden und Tools:

  • KI-basierte Sandbox zur Quarantäne und zum Untersuchen verdächtiger Inhalte
  • Überprüfung des gesamten TLS/SSL-verschlüsselten Traffics
  • durchgängig aktive Schutzmechanismen zur Sicherung von Verbindungen außerhalb des Netzwerks

Im Kampf gegen Ransomware setzt sich zunehmend das Prinzip der proaktiven Abwehr durch. Zeitgemäße Technologie-Lösungen tragen diesem Prinzip Rechnung.

Vorteile der Zscaler-Lösung

Der Cloud-native Ransomware-Schutz von Zscaler unterstützt Organisationen mit drei Kernfunktionen bei der effektiven Abwehr von Ransomware und stellt diese Funktionen im Rahmen der  Zscaler Zero Trust Exchange™ bereit:

KI-basierte Sandbox-Quarantäne

Zscaler kann verdächtige oder noch nie zuvor gesehene Dateien vor der Bereitstellung unter Quarantäne stellen und vollständig analysieren, wodurch das Risiko einer Patient-Zero-Infektion praktisch ausgeschlossen wird. Im Gegensatz zu herkömmlichen Passthrough-Ansätzen gelangen solche Dateien erst dann in Ihre Umgebung, wenn sie als sicher eingestuft werden.

Eine cloudnative, KI-gestützte Lösung wie Zscaler Sandbox (Teil der Zero Trust Exchange) bietet Vorteile, die über die herkömmlicher Antiviren-/Anti-Malware-Lösungen hinausgehen, darunter:

  • Komplette Kontrolle über Quarantänemaßnahmen durch granulare Richtlinien für verschiedene Gruppen, User und Inhaltstypen
  • ML-gestützte Echtzeit-Risikobeurteilungen für unbekannte Dateien
  • schnelle, sichere Dateidownloads, wobei als schädlich eingestufte Dateien in die Quarantäne verschoben werden

Überprüfung des gesamten verschlüsselten Traffics

Mit der cloudnativen Proxy-Architektur von Zscaler kann der gesamte TLS/SSL-verschlüsselte Traffic auch bei hohen Datenvolumen überprüft werden – ohne Beeinträchtigung der Performance durch kostspielige Appliances.

Mithilfe einer globalen Cloud, die in über 150 Rechenzentren auf sechs Kontinenten bereitgestellt wird, kann der TLS/SSL-Traffic gründlich auf versteckte Ransomware-Bedrohungen untersucht werden, ohne dass es zu Leistungsabfällen kommt – selbst bei dramatischer Zunahme der Bandbreite auf User-Seite. 

Durchgängig aktive Absicherung von Verbindungen außerhalb des Netzwerks

Die Zero Trust Exchange bietet KI-gestütztes Sandboxing und TLS/SSL-Überprüfung für alle User — an jedem Standort und auf jedem Gerät. Unabhängig vom Netzwerk wird für sämtliche Verbindungen ein identisches Schutzniveau zur Erkennung und Blockierung bekannter und unbekannter Bedrohungen gewährleistet. Dadurch werden Unternehmen zuverlässig vor Patient-Zero-Infektionen mit neuartiger Ransomware geschützt.

Dieser Ansatz zur Abwehr von Ransomware beginnt mit dem Schutz von User-Verbindungen. User außerhalb des Netzwerks installieren einfach Zscaler Client Connector unseren schlanken
Endgeräte-Agent auf ihren Laptops oder Mobilgeräten (Android, iOS, macOS und Windows werden unterstützt), um dieselbe
Sicherheit, Richtliniendurchsetzung und Zugriffskontrolle wie in
der Firmenzentrale zu erhalten.

Eine wirksame Ransomware-Prävention beginnt mit der Zero Trust Exchange. Möchten Sie mehr erfahren? Besuchen Sie unsere Plattformseite oder fordern Sie eine individuelle Demo an.

Empfohlene Ressourcen

  • Ransomware-Report von ThreatLabz 2023

    Report herunterladen

  • Nokoyawa: Rust-basierte Ransomware

    Zum Blog

  • Drei Geheimtipps zur Abwehr von Ransomware

    Zum Webinar

  • Was ist Ransomware?

    Zum Artikel

  • Die weltweit effektivste Lösung zur Abwehr von Ransomware

    Mehr erfahren

  • Ransomware und Doppelerpressung: So lassen sich Unternehmensdaten zuverlässig schützen

    Zum Blog

Häufig gestellte Fragen

Was ist die häufigste Art von Ransomware-Angriffen?

Die meisten Ransomware-Angriffe beginnen mit Phishing. Bedrohungsakteure arbeiten häufig mit betrügerischen E-Mails, Nachrichten oder Websites, um User zum Herunterladen von Malware oder zur Preisgabe von Anmeldedaten zu verleiten. Diese Techniken sind effektiv, weil sie menschliche Schwächen ausnutzen, weshalb sie durch herkömmliche Sicherheitsmaßnahmen schwer zu erkennen sind.

Wie wird Ransomware normalerweise übermittelt?

Ransomware kann über verschiedene Vektoren verbreitet werden, wobei Phishing am häufigsten vorkommt. Bei einer anderen Methode namens Drive-by-Download wird Ransomware automatisch auf das System eines Opfers heruntergeladen, wenn der User eine kompromittierte oder bösartige Website besucht. Angreifer können auch Exploit-Kits verwenden, die auf bekannte Software-Schwachstellen abzielen, um Ransomware zu verbreiten. Einige Angreifer nutzen betrügerische Anzeigen, sogar auf seriösen Websites, um Opfer zu täuschen.

Wie beginnt ein Ransomware-Angriff?

Ransomware-Angriffe beginnen meist, wenn ein Opfer mit einem schädlichen Link, einer Website oder einer Datei interagiert oder durch Phishing vertrauliche Informationen preisgibt. Sobald Ransomware auf dem System eines Opfers installiert ist, werden Dateien exfiltriert und/oder verschlüsselt und dann eine Lösegeldforderung gesendet. Die Angreifer versprechen, nach Zahlung des Lösegelds einen Schlüssel zur Entschlüsselung und die gestohlenen Daten herauszugeben.

Woher weiß ich, ob ich Opfer eines Ransomware-Angriffs bin?

Verschiedene Anzeichen können darauf hindeuten, dass Sie von Ransomware betroffen sind. Am offensichtlichsten ist es, wenn der Zugriff auf Dateien plötzlich nicht mehr möglich ist oder eine Lösegeldforderung eingeht. Weniger offensichtliche Anzeichen sind z. B. Änderungen von Dateierweiterungen, das Auftauchen zusätzlicher Dateien auf dem System, ungewöhnlicher Netzwerktraffic oder Verschlüsselungsaktivitäten. Wenn Sie eines dieser Anzeichen bemerken, sollten Sie die Verbindung zum Internet unterbrechen und sich sofort an Ihr IT- oder Sicherheitsteam wenden.

Was mache ich, wenn ich glaube, dass mein System durch Ransomware infiziert wurde?

Wenn Sie den Verdacht haben, Opfer einer Ransomware geworden zu sein, sollten Sie sofort mehrere Maßnahmen ergreifen, um die Ausbreitung der Infektion zu verhindern. Isolieren Sie infizierte Geräte, indem Sie sie vom Internet und Netzwerk trennen und sie bei Bedarf ausschalten. Wenden Sie sich dann an Ihr IT- oder Sicherheitsteam oder einen anderen vertrauenswürdigen Experten, der Ihnen dabei helfen kann, festzustellen, ob eine Entschlüsselung möglich ist, Daten aus einem Backup wiederherzustellen und die Ransomware möglicherweise zu entfernen. Abschließend müssen Sie ermitteln, was genau zur Ransomware-Infektion geführt hat, und Ihre Schutzmaßnahmen entsprechend verstärken.

Wie schwerwiegend ist ein Ransomware-Angriff?

Jedes Unternehmen sollte einen Ransomware-Angriff ernst nehmen, wenn das Unternehmen selbst, seine Kunden oder seine Mitarbeiter etwas zu verlieren haben. In dem Moment, in dem Ransomware in Ihrer Umgebung ausgeführt wird, sind sowohl Geld als auch Daten in Gefahr, und je nach Ihrer Vorgehensweise könnten Sie mit Reputationsschäden, rechtlichen Konsequenzen, Geldbußen, Strafen und vielem mehr rechnen.

Was ist ein Beispiel für einen Ransomware-Angriff?

Es gibt viele Ransomware-Familien und bekannte Ransomware-Angriffe. Ein Beispiel ist die Ryuk-Ransomware, die weltweit Organisationen im Gesundheitswesen, im öffentlichen Sektor und im Bildungswesen angreift. Ryuk wird über Phishing-E-Mails verbreitet, verschlüsselt die Dateien der Opfer und fordert ein Lösegeld im Austausch für den Entschlüsselungsschlüssel. Obwohl Ryuk nicht so bekannt ist wie beispielsweise die umfangreichen Angriffe durch NotPetya und WannaCry, hat die Ransomware dennoch großen Erfolg bei der Erpressung seiner Opfern gehabt.

Was war der größte Ransomware-Angriff?

Einer der verheerendsten Ransomware-Angriffe der Geschichte war der WannaCry-Angriff im Mai 2017. Es betraf Hunderttausende Computer in mehr als 150 Ländern und beeinträchtigte kritische Infrastrukturen vom Gesundheitswesen über Regierungsbehörden bis hin zu anderen Unternehmen. WannaCry verschlüsselte Dateien und forderte Lösegeld in Bitcoin. Es war zwar bei weitem nicht der erste großflächige Ransomware-Angriff, aber der erste, der weltweit derartige Störungen verursacht hat.