slider

Ransomware - Prof. Dr. Norbert Pohlmann

Ransomware

Ransomware als böswillige Schadsoftware im Notebook

Was ist eine Ransomware?


Eine Ransomware ist eine böswillige Schadfunktion in Malware , die wichtige Daten auf dem kompromittierten IT-System (Notebooks, PCs, Smartphone, …) verschlüsselt.

Ziel des Angreifers ist es, die Nutzung der Daten oder des ganzen IT-Systems durch die Verschlüsselung zu unterbinden. Dadurch kann der Angreifer vom Besitzer des IT-Systems oder der IT-Systeme für den Schlüssel, mit dem die Daten entschlüsselt werden können oder/und das IT-System wieder freigegeben wird, Lösegeld verlangen.

Ransomware als böswillige Schadsoftware im Notebook
Abbildung: Ransomware – © Copyright-Vermerk


Das Lösegeld wird in der Regel über digitale Währungen wie Bitcoin oder andere Kryptowährungen bezahlt. Eine Möglichkeit zur Festlegung der Lösegeldforderung ist, dass die Angreifer dafür öffentlich verfügbare Informationen wie etwa der Unternehmensgröße, Umsatz und Gewinn nutzen. Bei Privatleuten wird in der Regel ein fester Betrag, oftmals 500 Euro, festgelegt.

Ransomware wird auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner genannt.

Bewertung von Ransomware

Die Angriffsvektor en, mit denen Ransomware-Angriffe umgesetzt werden, sind momentan sehr aktuell und werden zunehmend von Angreifergruppen erfolgreich umgesetzt. Die Angreifer können mit Ransomware-Angriffen sehr viel Geld mit Erpressung erzielt und die Angegriffenen haben einen sehr hoher Schaden auf unterschiedlichen Ebenen.

Beispiele von Vorfällen von Ransomware

Im Folgenden werden ein paar wenige Beispiele von erfolgreichen Ransomware-Angriffen dargestellt.


Benzinpipeline in den USA
Der Betreiber Colonial Pipeline mit der größten Benzinpipeline in den USA zahlte Hackern ein Lösegeld von 4,4 Millionen Dollar. Durch die Ransomware war Kraftstoffversorgung in den USA vorübergehend eingeschränkt.

Uniklinikum Düsseldorf
Den Angreifern gelang es, 30 Server des Uniklinikums zu verschlüsseln, dadurch konnte das Klinikum die zentrale Notversorgung nicht mehr sicherstellen, sodass Patienten auf umliegende Krankenhäuser verteilt werden mussten. Eine Notfallpatientin, die in ein anderes, weiter entferntes Krankenhaus gebracht wurde, verstarb kurze Zeit später.

Funke Mediengruppe
Angreifer verschlüsseln IT-Systeme des Verlags im gesamten Bundesgebiet. Die Zeitungen „Westdeutsche Allgemeine Zeitung“, „Hamburger Abendblatt“ und „Berliner Morgenpost“ konnten nur mit einer Notausgabe erscheinen.

Kammergericht Berlin
Mehr als 500 Computer und über hundert Server mussten wegen einer Ransomware-Attacke vom Netz genommen werden und das Kammergericht war über mehrere Monate nur per Telefon, Fax oder Brief erreichbar.

Landkreisverwaltung in Sachsen-Anhalt
Mit dem folgenschweren Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt wurde wegen eines Ransomware-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar.

Zahlen von Ransomware-Angriffen

  • 24 Mrd. Euro Schaden nur Ransomware in DE in 2021
  • Durchschnittliche Lösegeldzahlung in allen Bereichen liegt bei 812.360 Dollar.
  • Durchschnittliche Lösegeldzahlung bei Fertigungsunternehmen liegt bei 2.036.189 Dollar.
  • 90 Prozent der Unternehmen wurden durch einen Ransomware-Angriff in ihrer Betriebsfähigkeit beeinträchtig.
  • 1,4 Mio. durchschnittliche Kosten für die Behebung der Angriffs-Folgen.
  • 1 Monat durchschnittlich benötigte Zeit bis zur kompletten Wiederherstellung nach einem Angriff.
  • Bei Fertigungsunternehmen sehen wir einen mindestens zweimonatigen Produktionsstillstand (bis zu 12 Monaten).


Planung von Gegenmaßnahmen zur Verhinderung von Ransomware

Dazu gehören unter anderem bereits getestete Reaktionskonzepte (Notfallplanungen), in denen sowohl die richtige Vorgehensweise für den Angriffsfall definiert ist als auch, bestimmten Personen die entsprechenden Rechte zuzuweisen, um die notwendigen Maßnahmen zu ergreifen. Besonders relevant ist dabei, alle definierten Reaktionen gemeinsam im Detail zu trainieren, damit im Ernstfall schnell und erfolgreich agiert werden kann. Siehe auch: Cyber-Sicherheitsstrategien
Daneben lässt sich durch ein vollständiges, und auf Wiederherstellung geprüftes, Backup der IT-Systeme in vielen Fällen ein Schaden verhindern oder zumindest minimieren.
Es werden zwei unterschiedliche Erpressungsmethoden bei Ransomware unterschieden, die einzeln oder zusammen (Double Extation) Anwendung finden werden.

Lösegelderpressung
Cyber-Erpresser verschlüsseln IT-Systeme und fordern Lösegeld für die Schlüssel, damit durch eine Entschlüsselung, dass IT-System wieder nutzbar ist.

Schweigegelderpressung
Dies ist eine erweiterte Angriffsstrategie dahingehend, dass vor der Verschlüsselung von Daten diese zunächst unrechtmäßig entwendet wurden. Unternehmen, die über funktionierende Backups verfügten und sich von daher theoretisch nicht auf Lösegeldverhandlungen einlassen müssten, wird dann mit der Veröffentlichung der entwendeten Daten gedroht, um so das Schweigegeld zu erpressen.

Dies bedeutet, im Fall eines Ransomware-Angriffs muss nunmehr grundsätzlich auch davon ausgegangen werden, dass die Daten dauerhaft kompromittiert sind und zwar auch dann, wenn ein Lösegeld oder/und Schweigegeld gezahlt worden ist.
Aus diesem Grund ist der beste Schutz vor Ransomware, alle IT-Systeme mit einer modernen und sicheren Anti-Malware Lösungen auszustatten und alle Mitarbeiter/Nutzer dahingehend zu schulen, dass sie aufgrund ihres Sicherheitsbewusstsein s nicht auf gängige Angriffsvektoren reinfallen – also weder auf Anhänge von unbekannten/unaufgefordert zugesandten E-Mails noch auf Links von manipulierten Webseiten klicken. Aber auch das systematische Überwachen des Datentransfers hilft, ungewöhnliche Aktivitäten zu erkennen und so das Stehlen von Daten zu verhindern. Dies ist ein essenzieller Schritt, um das Risiko zu minimieren, Opfer einer Schweigegelderpressung zu werden.

Angriffsstruktur einer Ransomware

Die Erpressungssoftware-Schadfunktion ist im Prinzip ein 1:N-Angiff, bei dem der Botmaster die Daten in kompromittierten IT-Systemen (Bots) verschlüsselt.

1-N Cyber-Sicherheitsangriff als Ablaufdiagramm
Abbildung: 1-N Cyber-Sicherheitsangriff – © Copyright-Vermerk

Der eine Angreifer ist zum Beispiel ein Botmaster, der ein Botnetz unter zentraler Kontrolle hat und dieses für Angriffe nutzt. Die Opfer sind die kompromittierten IT-Systeme (Bots), die mit Malware identifiziert sind und angegriffen werden sollen.

Advanced Ramsomware-Angriffe

Bei Advanced Ramsomware-Angriffe wird in der Regel ein 1:1-Angriff umgesetzt. Bei einem 1:1-Angriff gibt es einen Angreifer und ein Opfer. Der eine Angreifer ist zum Beispiel professioneller Hacker, der einen gezielten Angriff durchführen möchte, um auf einem bestimmten Notebook Ransomware zu installieren.

1-1 Cyber-Sicherheitsangriff als Ablaufdiagramm
Abbildung: 1-1 Cyber-Sicherheitsangriff – © Copyright-Vermerk



Weitere Informationen zum Begriff “Ransomware”:



Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung

DIGITAL RISK MANAGEMENT (DRM) – Automatisiertes Sammeln, Analysieren und Bewerten von Unternehmensinformationen im Internet

Cybersecurity made in EU – Ein Baustein europäischer Sicherheit

Warum auf lange Sicht IT die OT managen muss – Unterschiedliche Schutzziele unter einem Dach

Exploiting Visual Appearance to Cluster and Detect Rogue Software

Vertrauenswürdigkeit schafft Vertrauen – Vertrauen ist der Schlüssel zum Erfolg von IT- und IT-Sicherheitsunternehmen



Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download



Vorlesungen zum Lehrbuch Cyber-Sicherheit



Aktuelle Angriffe – Übersicht und Handlungsmöglichkeiten

Künstliche Intelligenz (KI) und Cyber-Sicherheit

Immer mehr Daten = Immer mehr (Un) Sicherheit?

Cyber-Sicherheit vor dem Hintergrund von Krisensituationen



Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Marktplatz IT-Sicherheit: IT-Notfall

Marktplatz IT-Sicherheit: IT-Sicherheitstools

Marktplatz IT-Sicherheit: Selbstlernangebot

Vertrauenswürdigkeits-Plattform


Zurück zur Übersicht




Summary
Ransomware
Article Name
Ransomware
Description
Ransomware ist eine böswillige Schadfunktion in Malware, die wichtige Daten auf einem kompromittierten IT-System wie Notebooks verschlüsselt. Ziel ist, die Nutzung des IT-Systems durch die Verschlüsselung zu unterbinden, um für die Entschlüsselung Lösegeld verlagern zu können.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Ransomware als böswillige Schadsoftware im Notebook
Ransomware Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten