Malware & Ransomware: Was ist das?
In der heutigen digitalen Welt stellen Cyberangriffe eine ernsthafte Bedrohung dar. Durch die zielgerichtete Ausnutzung von Schwachstellen und Sicherheitslücken in Computer- und Netzwerksystemen können immense Schäden angerichtet werden. Die Gefahr von Cyber-Attacken ist allgegenwärtig und die Hacker gehen immer versierter vor. Eine besonders verbreitete Art von Angriffen ist die Malware. Dies ist ein Oberbegriff für schädliche Software, die darauf abzielt, Daten und Systeme zu kompromittieren oder zu zerstören. Eine bestimmte Form der Malware ist die Erpressungssoftware Ransomware, diese hat das Ziel das gesamte Betriebssystem oder bestimmte Dateien zu verschlüsseln. Erst nach einer Lösegeldzahlung entschlüsseln die Hacker die betroffenen Systeme wieder. Im Folgenden werden Sie erfahren, wie genau diese Angriffe funktionieren, welcher Schaden entstehen kann und vor allem wie Sie sich und Ihre IT-Infrastruktur schützen können.
Was sind Malware & Ransomware und wie funktionieren die Angriffe?
Malware
Malware ist ein Überbegriff für jede Form von schädlicher Software, die entwickelt wurde, um Schaden zu verursachen. Malware ist eine Kombination aus "malicious" (bösartig) und "Software". Mit dem Einschleusen von schädlichen Dateien oder Codes können gezielt Informationen beschädigt, Daten gestohlen und ganze Systeme kompromittiert werden. Der Fokus von Malware liegt darauf, Vertraulichkeit und Verfügbarkeit von Daten und IT-Infrastrukturen zu zerstören.
Es gibt viele verschiedene Arten von Malware, darunter Spyware, Trojaner-Malware, Virus-Malware, Wurm-Malware und Botnets. Jede Art hat ihre eigenen Merkmale und Methoden, um Schaden anzurichten.
- Bei Angriffen mittels Spyware werden Nutzerinformationen des betroffenen Gerätes ausgespäht und an den Widersacher weitergeleitet. Ist ein Gerät oder die gesamte IT-Infrastruktur mit Spyware infiziert, können vertrauliche Unternehmensdaten gestohlen werden.
- Malware-Trojaner tarnen sich als scheinbar vertrauenswürdige Software. Befindet sich diese auf einem Gerät, kann der Trojaner aktiv werden und verschiedenste schädliche Aktionen durchführen, je nachdem wofür er programmiert wurde.
- Im Gegensatz zu Trojanern ist es Virus-Malware möglich sich selbst zu replizieren. Dabei können im Worst-Case Daten beschädigt oder gar gänzlich gelöscht werden und das Virus kann sich über z.B. die E-Mail-Adresse des Benutzers selbstständig verbreiten.
- Wurm-Malware und Viren werden häufig synonym verwendet. Dies ist allerdings nicht ganz korrekt. Für einen Wurm-Angriff bedarf es keine Software, in die der Schädling eingeschleust werden kann. Wurm-Malware nutzt Sicherheitslücken der Geräte oder Netzwerke aus und bleibt meist so lange unbemerkt, bis die Vervielfältigung immense Schäden im System verursacht.
- Bei einer Botnet-Bedrohung ist meist eine Vielzahl von Geräten betroffen, das erschließt sich bereits bei dem Begriff. Die Kurzform „Botnet“ bezeichnet „Roboternetzwerke“, je größer das Botnet, desto größeren Schaden können die Angreifer anrichten. Cyberkriminelle können somit von einem zentralen Gerät aus das Botnet steuern und damit verschiedenste schädliche Aktionen durchführen.
Ransomware
Der Begriff Ransomware kommt von „ransom“ (Lösegeld) und ist folglich eine Art von Malware, die eine Lösegeldforderung stellt. Ransomware funktioniert, indem es das Betriebssystem oder einzelne Dateien verschlüsselt, den anzugreifenden Computer sperrt und dann das Lösegeld fordert, um die Daten wieder freizugeben. Die Erpressungsgebühr kann von einigen Hundert Euro bis zu Tausenden reichen, die meist in Bitcoin an die Erpresser überwiesen werden müssen. Es gibt jedoch keine Garantie, dass mit Zahlung des Lösegeldes eine Freigabe der Daten erfolgt. Ransomware wird in zwei Kategorien unterteilt:
- Locker-Ransomware: Dabei sind grundlegende Computerfunktionen betroffen und ggf. das gesamte Betriebssystem verschlüsselt.
- Crypto-Ransomware: Hier sind einzelne Dateien verschlüsselt.
Wie gelangt Malware und Ransomware in ein System?
Es gibt eine Vielzahl von Methoden, wie sich Malware, auch die spezielle Form Ransomware, in Computersystemen ausbreiten kann.
- Über sogenannte Phishing-E-Mails mit bösartigem Code, in z.B. der E-Mail selbst oder in Anhängen, kann das Gerät und das Netzwerk infiltriert werden. Sobald der Benutzer die E-Mail (oder den Anhang) öffnet, kann der schädliche Code ausgeführt werden und der Hacker kann das Gerät übernehmen. Wird eine Phishing-E-Mail innerhalb eines Unternehmens weitergeleitet besteht die Gefahr, dass das gesamte Netzwerk kompromittiert wird.
- Mittels Social Engineering-Taktiken wird ein Benutzer davon überzeugt, dass es sich bei einer E-Mail oder einer Software um vertrauenswürdige Techniken handelt. Hacker täuschen somit Benutzer und diese gewähren, unwissend, „freiwillig“ administrativen Zugang zu dem Gerät. Oftmals führen Hacker die Angriffsopfer mit psychologischen Täuschungen, wie dem Gebrauch von persönlichen Informationen, in die Irre.
- Über Schadcodes auf Websites können Hacker in das System eindringen oder über Formulare auf gefälschten Landingpages Daten stehlen.
- Mittels File-Sharing-Software kann sich verschiedene Malware auf Wechselmedien und folglich in Netzwerken verbreiten und replizieren.
- Offensichtliche Sicherheitslücken und Schwachstellen im System können von Hackern sogar aus der Ferne erkannt und infiltriert werden. Beispielsweise wird Malware, und oft auch speziell Ransomware, über veraltete Software-Versionen verbreitet.
Wer sind die Betroffenen und welcher Schaden kann entstehen?
Angriffsziele
Genauso vielfältig wie die Angriffsmethoden sind die Ziele von Cyberkriminellen. Durch Malware-Attacken, z.B. durch Phishing-E-Mails, kann über eine einzelne Person unfreiwillig Zugriff auf das gesamte Geschäftsnetzwerk gewährt werden. Damit sind sensible Daten und die Unternehmenswebsite gefährdet. E-Commerce-Unternehmen und Kundenserviceportale stehen aufgrund der enormen Datenmengen besonders im Fokus von Angreifern.
„Gelegenheit macht Diebe“ – dieses Sprichwort trifft in manchen Fällen auch auf Hacker zu: Sind Systeme oder Server offensichtlich unzureichend geschützt, ist es ein leichtes Ziel für Angreifer diese anzugreifen. Universitäten, Hochschulen und andere Bildungseinrichtungen verfügen meist nur über ein geringes Budget für IT-Sicherheit und haben gleichzeitig einen hohen Datenfluss. Daher geraten sie einfach in das Visier von Hackern, da es für diese ein leichtes ist die Schutzmaßnahmen zu umgehen.
Erpressungsangriffe mittels Ransomware zielen häufig auf Organisationen und Unternehmen ab, die bereit sind für die schnelle Entschlüsselung der Daten hohe Lösegelder zu zahlen. Im Fokus der Hacker stehen dabei insbesondere die Gesundheits- und Finanzbranche sowie Regierungsbehörden. Ein ebenso attraktives Ziel für Hacker sind Organisationen, die mit großen Datenmengen einschließlich sensiblen Informationen arbeiten. Diese Zahlen oftmals bereitwillig hohe Geldsummen, damit die Daten-Leaks nicht veröffentlicht werden. Ein enormes Schadenspotenzial weist außerdem der ITK-Sektor (Informationstechnologie- und Telekommunikationssektor) auf, dieser steht regelmäßig weit oben auf der Liste von angriffsgefährdeten Organisationen.
Potentielle Schäden
Damit eventuelle Schäden so gering wie möglich ausfallen, ist es wichtig, die Anzeichen für einen Angriff zu kennen. Indizien für einen Cyberangriff können vielfältig aussehen:
- Gerät startet und arbeitet langsamer als sonst.
- Beschränkter Zugriff des Betriebssystems auf gewisse Laufwerke oder Datenträger.
- Störungen oder Verzögerungen bei Anwendungen.
- Störungen oder Verzögerungen bei Veränderung bzw. Speicherung von Dateien.
- Ungewöhnliche Anzahl von Pop-up-Fenstern.
- Warnung der Firewall.
Leider kann nicht jede bösartige Infektion von einer Antivirensoftware erkannt werden, daher ist es empfehlenswert stets aufmerksam zu sein, wenn Schwierigkeiten mit dem Gerät oder System auftreten.
Schäden durch Cyberangriffe können unterschiedlichster Art sein, einige sind sehr offensichtlich und andere sind eher versteckt und haben langfristige Auswirkungen. Ob speziell Ransomware oder eine andere Malware, ein Cyberangriff hat häufig Störungen im Geschäftsprozess zur Folge. Damit werden Kundenerfahrungen sowie die -zufriedenheit negativ beeinflusst und bei Serviceausfällen gehen eventuelle Neukunden verloren. Die finanziellen Schäden steigen, je länger der Betriebsausfall ist und je mehr Personal benötigt wird, um die Ursache des Angriffs zu finden sowie den Fehler zu beheben. Kundenbeziehungen und auch das öffentliche Ansehen des Unternehmens können leiden, wenn über einen Angriff auf Sicherheitslücken medial berichtet wird. Im schlimmsten Fall sind hier die entstandenen Reputationsschäden so hoch, dass (potenzielle) Kunden zur Konkurrenz wechseln und das betroffene Unternehmen Marktanteile verliert.
Unternehmen können Wettbewerbsvorteile einbüßen, wenn sie Ziel eines Spyware-Angriffs werden. Neben dem klassischen Diebstahl von personenbezogenen Daten zielen manche Hacker darauf ab Unternehmensgeheimnisse zu stehlen. Gelangen diese an die Öffentlichkeit oder zur Konkurrenz, verliert das Unternehmen nicht nur Marktanteile, sondern muss sich ggf. noch mit hohen Kosten im Rahmen eines Rechtsstreits auseinandersetzen.
Außerdem bringen Datenschutzverletzungen für Unternehmen einen hohen finanziellen Schaden mit sich, insbesondere wenn Hacker mit einem Ransomware-Angriff die Informationen verschlüsseln. Die daraufhin verlangten Lösegelder können variieren und sind meistens so gewählt, dass das betroffene Unternehmen bereit ist die Summe zu zahlen, da der vollständige Verlust der Daten einen höheren Schaden zur Folge hätte. Dies kann beispielsweise der Fall sein, wenn durch eingeschränkten Zugriff auf Server und Betriebssysteme Verträge mit Kunden nicht erfüllt werden können. Die Vertragsstrafen sind dabei abhängig von der Auftragsgröße und den Vereinbarungen.
Wie kann ich mich schützen und wer kann mich dabei unterstützen?
Schutzmaßnahmen
In Anbetracht der vielseitigen möglichen Schäden, die mit einem Malware-Cyberangriff einhergehen können, ist es für Unternehmen und Organisationen unabdinglich, in den Schutz ihrer IT-Infrastruktur zu investieren. Das Cybersicherheitsrisiko steigt stetig und daher sind ganzheitliche Sicherheitslösungen unverzichtbar geworden. Dazu gehört in erster Linie die Installation von Schutzprogrammen und Instandhaltung einer geeigneten Firewall. Virenscanner und andere Schutzsoftware sind eine effektive Lösung, da sie bekannte schädliche Inhalte oder Angriffsmuster erkennt, noch bevor sich diese aktiv im System verbreiten und Schaden anrichten können. Regelmäßige Updates der Sicherheitsmaßnahmen sind von hoher Priorität, so dass die Angriffsfläche so gering wie möglich ist. In diesem Zusammenhang ist es ebenso essenziell jegliche Software, also z.B. auch das Betriebssystem, stets auf dem aktuellen Stand zu halten. Offensichtliche Sicherheitslücken werden sehr schnell von Cyberkriminellen genutzt, um über diese das gesamte System zu beeinträchtigen. Damit ein ganzheitlicher Schutz garantiert werden kann, ist ein zentrales Patch-Management hilfreich.
Neben notwendigen Updates sind auch Backups von großer Bedeutung für die Sicherheit der IT-Infrastruktur. Datensicherung in der Cloud, auf Netzwerklaufwerken oder auch auf externen Festplatten sollten regelmäßig umgesetzt werden, so dass im Ernstfall so wenig wie möglich Daten verloren gehen. Dabei sollte darauf geachtet werden, dass nach jedem Backup die Verbindung zum Sicherungsmedium wieder getrennt wird, sonst sind diese ebenfalls von den Folgen eines Cyberangriffs betroffen. In diesem Zusammenhang sollte ebenfalls eine Desaster-Recovery-Strategie ausgearbeitet werden. Je schneller die Datenwiederherstellung abläuft, desto kürzer sind die Ausfallzeiten des Geschäftsbetriebs.
Neben technisch ausgereiften Sicherheitslösungen ist es ebenso wichtig die Mitarbeitenden im Unternehmen auf das Thema Cybersicherheit zu sensibilisieren. Security Awareness Trainings unterstützen dabei und lehren die offensichtlichen und auch versteckten Cyber-Gefahren. Sicherlich sind Phishing-Taktiken bekannt, ein gewisses Misstrauen ist dennoch ratsam. Cyberkriminelle werden immer versierter und die Phishing-E-Mails sind immer besser getarnt. Regelmäßige Schulungen sind empfehlenswert, denn oftmals ist der Faktor Mensch einer der großen Schwachpunkte in einer IT-Infrastruktur.
Sicherheits-Checkliste
- Installieren eines Viren-Schutzes.
- Regelmäßiges Backup aller Daten durchführen, inklusive einer Desaster-Recovery-Strategie.
- Mitarbeiter:innen sensibilisieren und schulen.
- Blocken von Phishing-Mails im eigenen E-Mail-Account.
- Multifaktor-Authentifizierung zum Schutz sensibler Daten nutzen.
Sollte es zu einer Sicherheitsbedrohung kommen, wird Unternehmen davon abgeraten ohne Fachkenntnisse gegen Schadsoftware vorzugehen. Insbesondere bei einem Ransomware-Angriff sollte vor der Zahlung des Lösegeldes Kontakt zu Experten hergestellt werden. Die Zentrale Abwehrstelle Cybercrime (ZAC) der Polizei in Sachsen ist beispielsweise eine geeignete Anlaufstelle für Unternehmen bei einem Cyberangriff.
Umfassender Schutz durch Unified Threat Management (UTM)
Unified Threat Management bezeichnet eine ganzheitliche Sicherheitslösung von einem Anbieter. Mit einem UTM-Gerät werden nicht nur einzelne Bedrohungen, sondern auch Kombinationen aus verschiedenen Angriffen, blockiert. Somit wird eine zentrale Verteidigungsstellung und ein ganzheitlicher Schutz erreicht. Modernste Firewalls der nächsten Generation (Next Generation Firewalls) unterstützen UTM-Geräte.
envia TEL setzt schon länger auf die Next Generation Firewalls der Firma Fortinet, diese ist im enSecure-Produktportfolio enthalten. Damit können Standorte mit modernsten Methoden abgesichert und vernetzt werden. Je nach Servicelevel steht Ihnen damit ein erfahrenes Cybersecurity-Team rund um die Uhr zur Verfügung.
Wenn Sie sich unsicher darüber sind, ob Ihr Unternehmen ausreichend geschützt ist, kommen Sie gerne auf unsere Abwehrprofis zu. Wir beraten Sie gerne.
Empfehlung: Für mehr Insider-Tipps zum sicheren Betrieb von Unternehmensnetzen und geschäftskritischen IT-Infrastrukturen abonnieren Sie unseren kostenlosen Cybersecurity-Newsletter.