Ransomware-Angriffe werden immer ausgefeilter

Das früher eher für seine Navigationsgeräte, heute für seine Fitness-Uhren bekannte US-Unternehmen Garmin hat seit vergangenem Donnerstag mit weitreichenden Systemausfällen zu kämpfen. Auch wenn mit Stand Montag viele Garmin-Dienste wieder funktionieren, hält sich die Firma zu den Ursachen des Problems bedeckt. Insider berichten aber davon, dass das Unternehmen Ziel einer Ransomware-Attacke wurde und 10 Millionen Dollar Lösegeld verlangt wurden. Unternehmen stehen bei Daten-Geiselnahmen zunehmend im Visier von Kriminellen.

Professionalisierung

"Ransomware war lange Zeit wie Massen-Spam", erklärt Dimitri Robl von der nationalen IT-Sicherheitsstelle CERT.at. "Es hat sich an wahllos viele Endnutzer gerichtet. Deren PCs wurden verschlüsselt und es wurde Lösegeld von ein paar hundert Euro verlangt. Gerade im letzten Jahr haben wir eine verstärkte Verschiebung auf Unternehmen beobachtet." Angriffe würden nun gezielter erfolgen und es würde dafür mehr Aufwand betrieben. "Da hat eine extreme Professionalisierng stattgefunden. Die Hacker agieren dabei wie ein eigenes Unternehmen. Teilweise haben sie sogar einen eigenen Telefon-Support."

Der Ablauf eines Angriffs habe sich ebenso verändert. So werden Firmen etwa zunächst genau ausgewählt. Dann finden gezielte Phishing-Versuche statt, bei denen Mitarbeiter mit Mails auf Webseiten gelockt werden, die dann Schadsoftware in das Firmennetzwerk einschleusen. Die Software analysiert das Netzwerk daraufhin tage- und wochenlang genau, um Cyberkriminellen genau Auskunft darüber zu geben, auf welchen Speichern die wertvollsten Firmendaten liegen. Dann wird speziell auf das Opfer zugeschnittene Ransomware nachgeladen und an Firewall und Anti-Viren-Programmen vorbeigeschleust.

Albtraum ohne Ende

Nach der Verschlüsselung wird dann Lösegeld gefordert, das freilich ganz andere Ausmaße als ein paar hundert Euro annimmt. "Die Lösegeldforderungen basieren auf den Unternehmensumsätzen", sagt Robl. Die Angreifer wollen dabei das Maximum dessen ausreizen, was das jeweilige Unternehmen bereit ist, für seine Daten zu bezahlen. Wird das Geld überwiesen, muss das aber noch kein Ende des Albtraums bedeuten. "In den letzten Monaten neu ist eine zusätzliche Lösegeldforderung." Beim ersten Mal wird Lösegeld für die Daten verlangt, beim zweiten Mal wird mit einer Veröffentlichung der Daten gedroht - denn die besitzen die Kriminellen als Kopie.

Prävention und Reaktion

Wer einmal von einer Ransomware-Attacke betroffen ist, sollte laut Erhard Friessnik, Leiter des Cybercrime Competence Center des Bundeskriminalamts, nicht auf die Lösegeldforderungen eingehen: "Damit unterstützt man das Geschäftsmodell der Kriminellen." Stattdessen solle man sich an die Polizei wenden und eine Anzeige erstatten.

Oft genug wird das Lösegeld allerdings gezahlt, auch von großen Firmen. Je nach verwendeter Ransomware, sei dies oftmals gar nicht notwendig, meint Robl. Für einige Varianten gibt es bereits Entschlüsselungs-Software. So oder so sei es notwendig, das Firmennetzwerk komplett neu aufzusetzen, um neuerliche Infektionen zu vermeiden. Am besten vor Angriffen wappnen können sich Firmen durch regelmäßige Backups. Außerdem wichtig sei laut Robl, Updates zu machen und Mitarbeiter zu schulen. "Mitarbeiter sollten ohne Scheu bei ihrer IT-Abteilung nachfragen können, ob sie bestimmte E-Mails öffnen können oder nicht."