Bedrohungspotenzial durch Ransomware

Geschäftsmodell Erpressung

Von Folker Lück · 2017

Hunderttausende Kryptotrojaner haben bereits PC-Systeme befallen und lahmgelegt. Solche Cybercrime-Attacken mittels Ransomware stellen längst ein globales Problem dar, dessen enorme Gefahr aber vielerorts immer noch unterschätzt wird.

Die Hand eines Opfers bietet der Hand eines Erpressers mehrere 50-Euro-Scheine im Gegenzug für einen symbolischen Schlüssel zu gestohlenen Computerdaten.
Ransomware: Nur gegen Lösegeld bekommen Geschädigte den Zugriff auf ihre Daten zurück. Eine Garantie gibt es nicht.

Sie kommen meist per Mail und richten enormen Schaden an: Die häufig als „Erpressungssoftware“ bezeichneten Kryptotrojaner sind Schadprogramme, mit deren Hilfe Computerkriminelle den Zugriff auf die Daten eines PC oder auf ganze Computersysteme unterbinden. Dabei werden auf dem Computer gespeicherte Daten verschlüsselt, was einen Zugriff unmöglich macht. Für die Entschlüsselung oder Freigabe der Informationen wird dann in der Regel ein Lösegeld gefordert.

Was anfänglich als Einzelfall abgetan wurde, hat sich in den vergangenen fünf Jahren zu einem weltweiten Sicherheitsproblem entwickelt, das nicht nur Privatanwender, sondern die globale Wirtschaft bedroht. Im Mai 2017 befiel der Kryptotrojaner WannaCry in kürzester Zeit mehrere global tätige Großunternehmen. Insgesamt wurden über 230.000 Computer in 150 Ländern infiziert.

Damit schaffte es „WannaCry“ nicht nur weltweit in die Nachrichtensendungen: Aufgrund der massiven Ausbreitung bezeichnete Europol, das Europäische Polizeiamt, den Angriff als noch nie da gewesenes Ereignis. Hat der Nutzer das häufig als E-Mail-Anhang versendete Schadprogramme per Mausklick aktiviert, besitzt insbesondere WannaCry Wurm-Eigenschaften und versucht, weitere Rechner über Sicherheitslücken im Betriebssystem aktiv und ohne Nutzerzutun zu infizieren. Betroffen sind hauptsächlich Nutzer älterer Windows-Systeme. Auch Smartphones können von Erpressungssoftware lahmgelegt werden.

Bei neueren Ransomware-Trojanern ist die Verschlüsselung oft so perfekt, dass nur ein eigens entwickelter Decryptor oder eine Eingehen auf die Erpressungsforderung die Daten wieder freigeben kann. Tage oder Wochen können ins Land gehen – und Garantien gibt es nicht. Klar ist: Prävention durch ein herkömmliches statisches Endpoint Protection (EPP)-System reicht nicht aus. Wer bereits angegriffen wurde und nun auf Nummer Sicher gehen will, tauscht am besten die infizierte Festplatte aus und installiert das System komplett neu. Sind wichtige Daten auf einem vor dem Angriff erstellten Backup gesichert, können sie anschließend wieder aufgespielt werden.

Verbreitung wird noch zunehmen

Im Rahmen einer IT-Sicherheitskonferenz in Las Vegas berichteten Experten kürzlich über ein Ransomware-Baukastensystem, das im Darknet für rund 400 US-Dollar erworben werden kann. Die kriminellen Anbieter führen ihr Geschäft dabei fast so wie legale Software-Unternehmen. Sie stellen ihren Kunden Einleitungs-Videos auf YouTube zur Verfügung und erklären darin, wie man die Erpressersoftware mithilfe einer großen Bandbreite von Funktionen individuell anpassen kann. Den Käufern werden sogar regelmäßige Updates versprochen. Über so viel kriminelle Energie verbunden mit einem selbstbewussten, professionellen Marketing für Do-it-Yourself-Erpresserattacken zeigten sich selbst erfahrene Sicherheitsexperten erschrocken.

Angriffe auf Kritische Infrastrukturen

Immer häufiger bedroht die Ransomware-Erpressung auch die IT-Sicherheit Kritischer Infrastrukturen wie etwa Krankenhäuser, Kraftwerke oder Flughäfen. Dabei investieren die Betreiber viel in die IT-Sicherheit und schätzen ihre Fähigkeit, Angriffe abzuwehren, als hoch ein. Zu diesen Ergebnissen kam kürzlich eine Studie von Professorin Ulrike Lechner mit ihrem Team des Forschungsprojekts „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ an der Universität der Bundeswehr München.

Lechner möchte mit ihrer Forschung die Gesellschaft und Politik für die möglichen Konsequenzen von IT-Angriffen sensibilisieren und auch IT-Lösungen zur Abwehr von Angriffen finden. Die Expertin weist darauf hin, dass Störungen von Kritischer Infrastruktur dramatische Folgen für die öffentliche Versorgung und Sicherheit haben können. Sie warnt davor, dass künftig vermehrt auch IT-Systeme in Autos oder die Ampelsysteme in einer Stadt das Ziel von Cyberattacken sein können. Wenn Eltern ihre Kinder nicht mehr von der Schule abholen könnten, Rettungswagen nicht mehr fahren oder die Lebensmittelversorgung nicht mehr gewährleistet sei, stoße die Gesellschaft schnell an ihre Grenzen.