„Ransomware“ nennt man die zurzeit häufig auftretenden Verschlüsselungs-Trojaner. Einmal infiziert verschlüsselt sie alle Daten, die sie finden kann, mit einem hochsicheren Schlüssel. Infizierten Rechner geben die Meldung, dass man gegen Zahlung von Bitcoins (meist ca. 500 €) eine Software erhalte, mit denen man die Daten entschlüsseln kann. Die angebotene Zahlungsmethode stellt sicher, dass das Geld nicht nachverfolgbar ist. Ob es eine Gegenleistung in Form einer funktionierenden Software (die keine Schadstoffe enthält) gibt, ist allerdings fraglich. Die Experten vom BSI raten, auf diese „Lösegeldforderungen“ nicht einzugehen.
Wie finden die Infektionen statt?
Ein Mitarbeiter erhält eine E-Mail, die einen Link oder eine Datei enthält. Meist wird auf eine Rechnung hingewiesen oder auf Probleme mit Bank- oder Nutzerkonten von weit verbreiteten Diensten. Klickt der Mitarbeiter auf diesen Link, wird die Verschlüsselungssoftware installiert und verschlüsselt alle Dokumente im Zugriff. Neben der Bereitstellung der gefährlichen Dateien per Mailanhang können diese auch zum Download angeboten werden.
Wie können Sie sich speziell gegen Ransomware schützen?
- Mitarbeiter sensibilisieren nicht auf Anhänge und Links in Mails klicken, keine Internet-Downloads von Programmen
- Blockieren von Downloads unerwünschter Dateiendungen auf Ihrer w.safe Firewall einrichten
(Dateien werden anhand der Endung im Namen blockiert, Dateiinhalte können nicht analysiert werden) - Exchange Richtlinie einrichten, die unerwünschte Dateiendungen blockiert
(schützt vor E-Mails mit Anhängen) - Anzeige von E-Mails in Outlook als „NUR-TEXT“
(HTML-E-Mails können bereits schädliche Javascripts enthalten) - Anschaffung einer Next Generation Firewall mit Inhalts- und Anhang-Blockierung: Hierbei kann man konfigurieren, dass Anhänge und das Ausführen von Links in E-Mails und Internet-Downloads blockiert werden.
- Windows Enterprise mieten. Mit Software-Assurance und Windows Enterprise kann die Applocker Technologie eingerichtet werden. Hier richtet der Admin eine Positivliste ein. Es werden nur Programme gestartet, die auf dieser Liste stehen (hoher Einrichtungsaufwand)
Was müssen Sie ohnehin für den Grundschutz erfüllen?
- Virenscanner mit laufendem Vertrag und aktuellen Signaturen einsetzen (erkennt Ransomware erst Tage später, da diese wie das medizinische Virus ständig mutiert)
- Windows Sicherheits-Updates auf aktuellem Stand halten (gilt auch für Adobe Produkte und Java, da hier eine besondere Gefahr besteht)
- Benutzern Adminrechte entziehen (Ransomware wird allerdings im User-Kontext ausgeführt)
- Arbeitsanweisung (Mitarbeiter sollen weder auf E-Mail-Anhänge klicken, noch auf Links, die mit E-Mails gesendet werden und nichts aus dem Internet herunterladen)
- Datensicherung muss BSI Grundschutz erfüllen, d.h. Vollsicherungen mindestens der letzten 2 Wochen (alle Werktage) auf Band. Sicherungen auf Wechselfestplatten können ebenfalls der Verschlüsselung zum Opfer fallen, ein Band nicht.