Erpressungssoftware

Schutz vor dem Supergau

Die Flut von Angriffen auf die IT von Unternehmen durch Erpressungssoftware nimmt kein Ende. Tatsächlich nimmt die Anzahl von Attacken durch Verschlüsselungs- und Erpressungstrojaner, auch Ransomware genannt, stetig zu. Dabei sind nicht nur kleine, vermeintlich schlechter geschützte Betriebe betroffen. Auch große Unternehmen und Institutionen, welche kontinuierlich enorme Ressourcen in Ihre IT-Sicherheit investieren, verfügen häufig über keinen ausreichenden Schutz vor dieser Art von Schadsoftware und sind immer wieder auch von den kriminellen Attacken betroffen.

Bild: © Jane Kelly / Fotolia.com
Bild: © Jane Kelly / Fotolia.com

Dabei können schon die Kenntnis über das Vorgehen der Crypto-Trojaner, das Erkennen einer möglichen Infektion und das Befolgen einiger Verhaltenstipps Unternehmen und ihre Mitarbeiter vor einem Schadensfall schützen, oder bei einem beginnenden Befall das Schlimmste verhindern. Um sich wirksam gegen Schadsoftware schützen zu können, sollte zunächst Klarheit darüber herrschen, was sich hinter Ransomware eigentlich verbirgt. Diese auch als Crypto-Trojaner bezeichnete Software verschlüsselt Dateien auf einem infizierten PC beziehungsweise nicht selten eines ganzen Netzwerkes. Denn im Schadensfall sind auch Laufwerke betroffen, welche zur zentralen Speicherung von und für den gemeinsamen Zugriff auf Dateien genutzt werden – so wie sie inzwischen in jedem Unternehmen zu finden sind. Auf diese Weise legt die Schadsoftware also nicht nur einen Rechner, sondern einen ganzen Betrieb lahm – der Supergau für jedes Unternehmen. Nach der Verschlüsselung der Dateien informiert der Trojaner in aller Regel die Betroffenen hierüber und fordert sie gleichzeitig zur Zahlung eines Lösegelds auf. Nach Zahlung des Geldes wird den Geschädigten die Entschlüsselung der Dateien oder die Bereitstellung eines Schlüssels zur Wiederherstellung versprochen – jedoch ohne Garantie.

Trojaner: Das Antlitz

Allein die Kenntnis der Wege, über die in der Regel eine Infizierung der Rechner oder Netzwerke erfolgt, kann spürbar zum Sicherheitsbewusstsein beitragen. Eine der bekanntesten Methoden ist der Versand von E-Mails mit scheinbar legitimen Anliegen, zum Beispiel eine Rechnung. Im Anhang befindet sich eine Word- oder Excel-Datei mit dem gewöhnlichen Zusatz in der Endung, wie zum Beispiel *.doc(x) oder *.xls(x). Wird die Datei geöffnet, gelangt die Schadsoftware unbemerkt auf den PC und beginnt mit der Verschlüsselung der Dateien. Dasselbe gilt für eingebettete Links mit ungewöhnlichen Erweiterungen. Erfolgt ein Klick hierauf, ist dem Trojaner Tür und Tor geöffnet. Auch Sicherheitslücken in installierter Software sind ein beliebtes Eingangstor für Schadsoftware. Bekannt sind zum Beispiel immer wieder neu auftretende Sicherheitslücken in den einschlägigen Internet-Browsern, aber auch in Zusatzsoftware, die zum Anzeigen mancher Inhalte im Internet-Browser notwendig ist. Nicht zuletzt sind sogar Betriebssysteme hin und wieder von Sicherheitslücken betroffen.

Infektion: Die Symptome

Auch die Aufklärung der Mitarbeiter darüber, was passiert, wenn ein PC infiziert ist, kann einem Unternehmen helfen, Schlimmeres zu verhindern und den Verschlüsselungsvorgang zu unterbrechen. Dabei ist eine ungewöhnliche Langsamkeit des Rechners ein möglicher Hinweis auf einen Trojaner. Denn die geringe Geschwindigkeit rührt häufig von einem Vorgang im Hintergrund, der eine hohe Auslastung verursacht. Ein sicheres Indiz für einen Befall durch Verschlüsselungssoftware ist zudem eine unbekannte Dateiendung, wie zum Beispiel *.locky, *.micro, *.encrypted, *.crypt, *.xxx, *.ttt, *.vvv oder *.zzz. Auch eine ungewöhnliche Anzahl an Dateien mit derselben – wenn auch gewöhnlichen – Endung, dafür aber unbekannten Ursprungs ist alarmierend und ein sicherer Hinweis auf einen Befall. Besteht der Verdacht einer Infizierung durch Schadsoftware, sollten PCs durch Betätigen des Ein/Aus-Schalters umgehend ausgeschaltet werden. Auf diese Weise besteht die Chance, den Verschlüsselungsvorgang zu stoppen. Mit Glück kann der verwendete Schlüssel dann sogar ausgelesen und die Dateien wiederhergestellt werden.

Die sogenannten Krypto-Trojaner nutzen immer wieder neue Angriffsstellen um die IT von Unternehmen zu infizieren und Betriebe oder gar Institutionen lahmzulegen. Bild: © art_sonik / Fotolia.com
Die sogenannten Krypto-Trojaner nutzen immer wieder neue Angriffsstellen um die IT von Unternehmen zu infizieren und Betriebe oder gar Institutionen lahmzulegen. Bild: © art_sonik / Fotolia.com

Technische Vorkehrungen

Neben einer Aufklärung der Mitarbeiter sind technische Vorkehrungen zum Schutz gegen Schadsoftware sinnvoll. Hier gilt vor allem, auf die Aktualität des Anti-Virus-Programms zu achten. Denn Ransomware variiert und macht es vielen Programmen schwer, sie zuverlässig zu erkennen. Eine sensible Einstellung der Verhaltensüberwachung (Heuristik) führt zwar zu häufigeren Fehlalarmen, sorgt aber ohne Zweifel für einen höheren Schutz. Das Deaktivieren von Plug-Ins im Internet-Browser ist eine weitere, technische Vorsichtsmaßnahme, die vor Schäden schützen kann. Denn die Praxis zeigt, dass vor allem der Flash Player und Java beliebte Einfallstore für Schadsoftware sind. Sind Plug-Ins unverzichtbar, helfen Einstellungen, die eine Bestätigung vor jeder Ausführung erfordern. Auf diese Weise herrscht Transparenz darüber, wenn eine Internetseite ein Plug-In benutzen will, und die Anwender können die Ausführung im Zweifelsfall verweigern. Ad- oder Skript-Blocker bieten einen zusätzlichen, sicheren Schutz vor der Verbreitung von Schadsoftware durch animierte Werbeanzeigen. Nicht zuletzt minimiert das Deaktivieren der Ausführung von Makros in Microsoft Office das Risiko einer Infizierung. Denn Makros sind kleine Programme in Word- oder Excel-Dateien, die häufig als Transporteure der Schadsoftware missbraucht werden. Zu guter Letzt kommen regelmäßige Backups in Spiel, die auf ein externes Gerät, welches nicht dauerhaft mit dem PC/Server verbunden ist, gespeichert werden sollten. Dies ist wichtig, da im Schadensfall auch eine Verschlüsselung des Backups erfolgen würde.

Lange Liste

Die Liste von Schadensfällen durch Erpressungssoftware wird immer länger. Die sogenannten Krypto-Trojaner nutzen immer wieder neue Angriffsstellen um die IT von Unternehmen zu infizieren und Betriebe oder gar Institutionen lahmzulegen. Doch die Betroffenen sind nicht schutzlos. Neben technischen Vorkehrungen kann vor allem auch eine Aufklärung der Mitarbeiter und das Aufstellen einiger Verhaltensregeln im Internet oder im Umgang mit E-Mails helfen, einen Befall zu vermeiden oder die Schäden zu minimieren.