Schutz vor Ransomware / Erpressungs-Trojanern

Ran­som­ware oder Erpres­sungs-Tro­ja­ner sind die zur­zeit wohl gefähr­lichs­te Bedro­hung für Win­dows-Sys­te­me und die dar­auf gespei­cher­ten Daten. Ein­mal auf dem Sys­tem, beginnt diese Schad­soft­ware mit der Ver­schlüs­se­lung von Datei­en auf den betrof­fe­nen Rech­nern selbst und auf allen zugreif­ba­ren (frei­ge­ge­be­nen) Daten­trä­gern, zum Bei­spiel im Netz­werk. Dann wird eine Bild­schirm­mel­dung mit einer Löse­geld­for­de­rung ein­ge­blen­det. Das Löse­geld wird in Form von Bit­coins ein­ge­for­dert, einer elek­tro­ni­schen Wäh­rung, die Anony­mi­tät gewähr­leis­tet. Erst nach einer ent­spre­chen­den Zah­lung soll das Opfer die Mög­lich­keit erhal­ten, die Daten wie­der zu ent­schlüs­seln.

Die Ver­schlüs­se­lung ist in der Regel nicht mit ande­ren Mit­teln zu kna­cken. Wer nicht zah­len will, dem bleibt daher nur der Rück­griff auf mög­lichst aktu­el­le Back­ups – sofern diese nicht eben­falls infiziert/verschlüsselt wur­den.

Auf die betrof­fe­nen Sys­te­me gelan­gen Erpres­sungs-Tro­ja­ner auf ver­schie­de­nen und immer wie­der wech­seln­den Wegen: Durch infi­zier­te Datei-Anhän­ge in E-Mails, etwa in Form von Office-Datei­en mit Makros oder von ZIP-Archi­ven; aber auch der Besuch einer Web­site, die auf einem befal­le­nen Sys­tem liegt, kann genü­gen. Die Reak­ti­ons­zeit der meis­ten Viren­scan­ner ist zu lang, um zuver­läs­sig vor die­sen lau­fend vari­ier­ten Atta­cken zu schüt­zen.

In den letz­ten Wochen wüte­ten Erpres­sungs-Tro­ja­ner wie „Locky”, „Tes­laCrypt” und ande­re beson­ders hef­tig auf vie­len Tau­sen­den von Win­dows-Sys­te­men allein in Deutsch­land. Der Scha­den ist immens.

Des­halb an die­ser Stel­le eine Über­sicht der wich­tigs­ten Vor­sichts­maß­nah­men, mit denen Sie Ihre wert­vol­len Unter­neh­mens­da­ten schüt­zen:

  • Back­ups! Regel­mä­ßi­ge, voll­stän­di­ge Siche­run­gen aller wich­ti­gen Datei­en schüt­zen zwar nicht vor Schad­soft­ware, hel­fen aber, den Scha­den im Ernst­fall zu begren­zen. Die Back­ups soll­ten auf Daten­trä­gern lie­gen, die nicht dau­er­haft mit dem Sytem ver­bun­den sind.
  • Auf aktu­el­len Win­dows-Ser­ver-Instal­la­tio­nen kann das Erstel­len von soge­nann­ten Volu­men­schat­ten­ko­pi­en akti­viert wer­den, wodurch ein Zugriff auf älte­re Datei­ver­sio­nen mög­lich ist. Dies ist aber kein Ersatz für Sys­tem- und Daten-Back­ups.
  • Vor­sicht und Umsicht bei Mail-Anhän­gen! Das Haupt-Ein­falls­tor für Schäd­lin­ge aller Art ist wohl nach wie vor die E-Mail in Ver­bin­dung mit unbe­darf­ten / unvor­sich­ti­gen Anwen­dern. Beson­de­re Vor­sicht ist gebo­ten bei Office-Datei­en, ZIP-Archi­ven. Auch wenn die E-Mail schein­bar von ver­trau­ens­wür­di­gen Absen­dern stammt, ist Vor­sicht gebo­ten. Ach­ten Sie immer auch auf die Datei­na­men-Erwei­te­run­gen. Kli­cken Sie im Zwei­fels­fall nicht auf Links im Mail-Text.
  • Prü­fen Sie die Ein­stel­lun­gen zur Makro-Sicher­heit Ihrer Office-Instal­la­ti­on (siehe Abbil­dung unten): Datei > Optio­nen > Trust-Cen­ter > Ein­stel­lun­gen für das Trust-Cen­ter > Makro­ein­stel­lun­gen: Makros soll­ten stan­dard­mä­ßig deak­ti­viert wer­den (ggf. mit Benach­rich­ti­gung).
  • Prü­fen Sie die Rech­te der Win­dows-Benut­zer auf dem Sys­tem (ggf. Stan­dard- statt Admi­nis­tra­tor-Konto).
  • Hal­ten Sie Sys­tem und Anwen­dun­gen durch Updates auf dem neu­es­ten Stand. Dies gilt nicht nur für Win­dows, son­dern unter ande­rem auch für Office, Acro­bat, Brow­ser und – sofern nicht gleich ganz ver­zicht­bar – auch für Java und Flash. Instal­lie­ren Sie keine Anwen­dun­gen aus unbe­kann­ter Quel­le.
  • Instal­lie­ren Sie zusätz­lich zu einem guten, aktu­el­len Viren-Scan­ner ggf. zusätz­lich ein spe­zia­li­sier­tes Tool wie Mal­ware­bytes Anti-Ran­som­ware.
  • Back­ups! Kön­nen nicht oft genug erwähnt wer­den…

Wei­te­re Infor­ma­tio­nen und Tipps zur Daten­si­cher­heit fin­den Sie unter ande­rem beim Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI): https://www.bsi.bund.de