• aktualisiert:

    WÜRZBURG

    Wenn die E-Mail sich raffiniert tarnt

    Mittels Schadsoftware verschlüsseln Cyberkriminelle wichtige Firmendaten, um Lösegeld zu erpressen. Das Risiko, sich mit sogenannter Ransomware zu infizieren, steigt.

    Die Zahl derdigitalen Erpressungenist deutlich gestiegen.Foto: Thinkstock

    Eine Mitarbeiterin der Personalabteilung erhält eine E-Mail. Sie soll Bewerbungsunterlagen im Anhang enthalten. Als die Mitarbeiterin die ZIP-Datei im Anhang öffnet, aktiviert sie den darin versteckten Kryptotrojaner. Dieses Computervirus verschlüsselt daraufhin alle Dateien, auf die sie zugreifen kann. Die Dateien werden dadurch unbrauchbar. Um sie wiederherzustellen, fordert ein digitaler Erpresserbrief das Unternehmen auf, Lösegeld zu bezahlen.

    So sieht ein typischer Fall digitaler Erpressung von Unternehmen aus. In Mainfranken gab es vor etwa einem Jahr einen ähnlichen Fall: Die Gemeinde Dettelbach (Lkr. Kitzingen) infizierte sich mit dem Verschlüsselungstrojaner Locky. Gerade für Unternehmen steigt das Risiko durch Ransomware (Kryptotrojaner): Registrierte das Bayerische Landeskriminalamt im Jahr 2015 noch 144 Anzeigen von Unternehmen wegen solcher Verschlüsselungssoftware, so sind es in den ersten drei Quartalen von 2016 bereits 562 Anzeigen gewesen.

    Infizierung durch E-Mail-Anhänge

    Am häufigsten infizieren sich Unternehmen mit solcher Erpressersoftware über E-Mails mit verseuchten Anhängen. Seltener ist der Besuch kompromittierter Webseiten schuld (sogenannte Drive-By-Angriffe). Unternehmen sind in erster Linie von Ransomware betroffen, die Dateien durch kryptografische Methoden verschlüsselt. Dadurch sind sie nicht mehr funktionsfähig. Das betrifft nicht nur lokale Dateien, sondern häufig auch Dateien auf Netzwerklaufwerken, auf die der betroffene Nutzer zugreifen kann.

    Nach einer Infizierung fordert die Schadsoftware den Benutzer auf, Lösegeld zu bezahlen. Hierzu nutzen die Täter verstärkt anonyme und für sie sichere Zahlungsmethoden wie Bitcoin. Ohne den passenden kryptografischen Schlüssel ist es so gut wie unmöglich, die Daten zu entschlüsseln.

    Besonders gefährlich sei Ransomware, weil sie von vielen Virenscannern nicht erkannt werde, sagt Ruben Schulze, IT-Consultant des IT-Systemhauses Main Intelligence in Würzburg. Auch die Nutzer vor dem Bildschirm tun sich damit schwer: „Die E-Mails werden immer raffinierter: Getarnt als Bewerbung und in sehr gutem Deutsch verfasst, sind sie heute nicht mehr so leicht zu erkennen“, so Schulze. Genau das mache digitale Erpressung so erfolgreich.

    Seine Kollegen und er konnten im oben geschilderten Fall schnelle Abhilfe leisten: Bis auf einzelne Dateien konnten sie alle Daten durch Sicherungskopien wiederherstellen. So glimpflich laufen Ransomware-Fälle jedoch nur ab, wenn das Unternehmen vorbereitet ist.

    „Schäden durch Ransomware zeigen konzeptionelle Versäumnisse der Unternehmen im Vorfeld auf“, bestätigt Heiko Rittelmeier, Kriminalhauptkommissar des Polizeipräsidiums Unterfranken und Koordinator für den Bereich Cyber-Crime. Unternehmen sollten ein geeignetes Sicherungskonzept nutzen. Mit regelmäßigen Back-ups kann die IT im Schadensfall so Daten wiederherstellen.

    Mitarbeiter sollten zudem nur auf die Daten und Laufwerke zugreifen können, die sie für ihre tägliche Arbeit benötigen. Im Ernstfall breitet sich die Schadsoftware so nicht im gesamten Firmennetzwerk aus. Des Weiteren empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagedossier Ransomware die Nutzung von Spam-Filtern für E-Mail-Server und die regelmäßige Installation von Sicherheitsupdates.

    Aber nicht nur die IT muss sich vorbereiten: Da viele Infektionen mit dem Öffnen von E-Mail-Anhängen beginnen, sollten Unternehmen ihre Mitarbeiter für die Gefahr durch Ransomware sensibilisieren. „Diese Überlegungen sind für alle Unternehmen wichtig – egal welcher Größe“, sagt Kriminalhauptkommissar Rittelmeier. „Auch eine kleine Dachdeckerfirma erstellt ihre Rechnungen am Computer. Wenn dieser ausfällt, steht der Betrieb still.“

    Bei Infektion: nicht zahlen

    Bei digitaler Erpressung gilt: Auf keinen Fall das Lösegeld bezahlen. Es sei immer fraglich, ob der Zugriff auf die Daten wiederhergestellt werde. „Viel eher könnten die Erpresser die geforderte Summe verdoppeln, wenn das Unternehmen bereit ist zu zahlen“, gibt IT-Experte Ruben Schulze zu bedenken.

    Nach einer Infizierung sei der erste Schritt, die Schäden zu begrenzen, indem der infizierte Rechner vom Netz getrennt wird. Etwa indem der Mitarbeiter das Netzwerkkabel seines Computers zieht und das WLAN abschaltet. Im Anschluss muss ein fachkundiger IT-Mitarbeiter feststellen, welche Teile des Firmennetzes von der Schadsoftware befallen sind.

    Verschlüsselte Daten lassen sich in der Regel nur durch Sicherungskopien wiederherstellen. Ausnahmen gibt es etwa, wenn Schattenkopien im Betriebssystem existieren oder es ein Entschlüsselungstool für diese Art von Ransomware gibt. Unternehmen sollten sich darauf jedoch nicht verlassen.

    Neben internen Maßnahmen sollten betroffene Unternehmen Anzeige erstatten. Unternehmen in Mainfranken können sich dafür an die örtliche Kriminalpolizei, das Polizeipräsidium Unterfranken oder an die zentrale Meldestelle des Landeskriminalamts Bayern wenden.

    Bei den Tätern handele es sich oft um international tätige Organisationen, die von Ländern aus agieren, die nicht mit deutschen Behörden kooperieren. Deshalb seien die Erfolgsaussichten im Einzelfall gering. „Anzeigen helfen uns aber dabei, die Vorgehensweisen der Täter zu erkennen, um daraufhin Warnmeldungen herausgeben zu können“, erläutert Kriminalhauptkommissar Rittelmeier.

    So schützen Sie Ihr Unternehmen

    Datensicherung: Sichern Sie Ihre Firmendaten in regelmäßigen Abständen. Die Daten sollten unabhängig vom restlichen IT-Netzwerk und möglichst offline gesichert werden.

    Zugriffsrechte: Schränken Sie den Zugriff Ihrer Mitarbeiter auf die für sie relevanten Teile des Netzwerks ein. Sensibilisierung: Informieren Sie Ihre Mitarbeiter, wie solche Schadprogramme vorgehen und implementieren Sie bestimmte Handlungsweisen. Beispielsweise sollten Anhänge von unbekannten Absendern nicht geöffnet werden. Regelmäßige Sicherheitsupdates: Halten Sie Ihre Anwendungen und Virenschutzprogramme immer auf dem neusten Stand. Spam-Filter: Nutzen Sie bereits auf den E-Mail-Servern Spamfilter.

    Ansprechpartner in Mainfranken:

    Kriminalpolizeiinspektion Würzburg, Weißenburgstraße 2, 97082 Würzburg

    Telefon: (09 31) 457-0

    Polizeipräsidium Unterfranken

    Frankfurter Straße 79

    97082 Würzburg

    E-Mail: pp-ufr.cybercrime@polizei.bayern.de

    Telefon: (0931) 457-0

    Zentrale Ansprechstelle für Cybercrime in Bayern

    Telefon: (089) 12 12-33 00

    E-Mail: zac@polizei.bayern.de

    Sonstige nützliche Adressen:

    Allianz für Cybersicherheit e.V.

    Sie ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik und gibt Auskunft über gegenwärtige Cyber-Bedrohungen.

    www.allianz-fuer-cybersicherheit.de/

    ID Ransomware

    Diese Webseite identifiziert die Art der Ransomware anhand von befallenen Dateien. In seltenen Fällen, etwa wenn das Schadprogramm bereits älter ist, können so Tools identifiziert werden, mit denen verschlüsselte Dateien wiederhergestellt werden können.

    https://id-ransomware.malwarehunterteam.com/

    Von unserer Mitarbeiterin Natalie Litzl

    Weitere Artikel

    Kommentare (0)

    Der Diskussionszeitraum für diesen Artikel ist leider schon abgelaufen. Sie können daher keine neuen Beiträge zu diesem Artikel verfassen!