Screenshot der Ransomware Cryptolocker
Screenshot der Ransomware Cryptolocker
© F-Secure

Security Forum

"Ransomware ist mittlerweile die größte Bedrohung"

Beim Security Forum an der FH Oberösterreich in Hagenberg haben Tyler Moffit und Kelvin Murray von Webroot in einem Vortrag die Bedrohungszenarien, denen Privatpersonen und Firmen im Netz ausgesetzt sind, analysiert. Sogenannte Ransomware, die ein System mit Verschlüsselung in Geiselhaft nimmt und nur gegen Bezahlung wieder freigibt, steht auf ihrer Liste ganz weit oben. "Seit 2012 hat sich die Ransomware stark weiterentwickelt, auch die Anzahl der Fälle steigt.

Das ist mittlerweile die größte Bedrohung für Privatnutzer", sagt Murray im futurezone-Interview. Für Kriminelle haben sich zwei Hauptstrategien herauskristallisiert. Auf der einen Seite nehmen sie mit ihrer Ransomware normale Internetnutzer ins Visier. Dabei wird die Malware mit manipulierten E-Mails oder Webseiten, Downloads oder mit den Trojanern versehenen Werbeeinblendungen wahllos möglichst breit gestreut im Netz verteilt. Ein falscher Klick oder der Besuch einer infizierten Internetseite kann reichen, um sich Ransomware einzufangen.

Lukratives Geschäft

"Allein eine Ransomware-Variante hat rund 25 Millionen Geräte infiziert. In solchen Fällen wissen die Kriminellen meist gar nicht, wer ihre Opfer sind. Sie warten dann einfach auf die Überweisung und schicken dann den Schlüssel zum Entsperren", sagt Moffit. Im Netz wird Ransomware mittlerweile sogar schon als Service angeboten. Hier liefert ein Hersteller fix fertige Systeme, die gegen eine Beteiligung von 30 Prozent an Kriminelle weitergegeben werden, die dann ohne technisches Hintergrundwissen ins Erpressergeschäft einsteigen können.

Gezahlt wird üblicherweise via Bitcoin. Durch die Verwendung von ineinander geschachtelten Accounts ist eine Rückverfolgung praktisch unmöglich. Derzeit verlangen die Kriminellen rund 700 US-Dollar (etwa 620 Euro) für die Entsperrung eines infizierten Systems. Bezahlen die Opfer, werden die Daten üblicherweise tatsächlich wieder freigegeben. "Das Geschäftsmodell basiert darauf, dass Opfer wissen, dass Bezahlen auch wirkt. Oft gibt es auf dem gesperrten Gerät sogar ein Chatfenster, über das Anweisungen zum Bezahlvorgang gegeben werden", erklärt Murray. Mittlerweile hat sogar das FBI eine Empfehlung an Betroffene abgegeben, zu bezahlen. "Das war riskant, weil es das Ransomware-Modell nur noch attraktiver macht", sagt Moffit.

Die zweite lohnende Strategie ist es, Ransomware auf die Systeme von Krankenhäusern oder anderen Institutionen zu schmuggeln. Hier werden gezielte Angriffe gefahren, etwa indem Mitarbeiter mit manipulierten Mails dazu gebracht werden, die Ransomware im Unternehmenssystem zu aktivieren. "Krankenhäuser und Schulen sind attraktive Ziele, weil sie sich nicht dieselben Sicherheitsmechanismen leisten können, die etwa große Banken haben. Hier können die Kriminellen hohe Lösegeldsummen fordern", sagt Murray. Von einem US-Krankenhaus haben Ransomware-Erpresser kürzlich drei Millionen Lösegeld gefordert. Bezahlt wurden am Ende 17.000 US-Dollar.

Smartphones im Visier

In vielen Institutionen kommt veraltete Technik zum Einsatz, was es Angreifern noch leichter macht, Systeme zu infizieren. "Die irische Gesundheitsbehörde verwendet nach wie vor Windows XP. Das ist gefährlich. Dieses veraltete System ist immer noch das drittbeliebteste OS", sagt Moffit. Wenn ein System von Ransomware befallen ist und die gesperrten Daten wichtig sind, bleibt Opfern meist keine andere Wahl, als zu bezahlen. Als Schutzmaßnahmen empfehlen Moffit und Murray die Schaffung von Bewusstsein durch Informationskampagnen für Internetnutzer und Angestellte. "Irgendjemand klickt leider immer auf den Link in manipulierten E-Mails. Updates und regelmäßige Backups der Daten sind ebenfalls enorm wichtig", sagt Moffit. Klassische Antivirensoftware, die auf Sperrlisten basiert, bringt gegen solche Angriffe meist wenig.

Es gibt bereits Hinweise, dass Ransomware in Zukunft auch auf mobilen Geräten in größerer Zahl anzutreffen sein wird. "Hier können die Erpresser ihre Schadsoftware etwa verbreiten, indem sie Entwickleraccounts im Android-Store hacken. Dann wird die Malware unter Umständen mit einem Update für eine App, die auf einem Gerät installiert ist, übertragen", sagt Murray. Hier kann es ratsam sein, Medieninhalte über Apps statt über den Browser zu konsumieren, da das Risiko einer Infektion so gesenkt werden kann.

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Oberösterreich entstanden.

Beim Security Forum, das alljährlich im April am Campus Hagenberg der FH Oberösterreich stattfindet, halten Experten aus dem In- und Ausland Vorträge zu aktuellen Themen der IKT-Sicherheit. Organisiert wird die Veranstaltung vom Hagenberger Kreis zur Förderung der digitalen Sicherheit, dem Studentenverein der FH OÖ-Studiengänge „Sichere Informationssysteme“.

Hat dir der Artikel gefallen? Jetzt teilen!

Markus Keßler

mehr lesen
Markus Keßler

Kommentare