Schutz vor Ransomware / Erpressungs-Trojanern

Ransomware oder Erpressungs-Trojaner sind die zurzeit wohl gefährlichste Bedrohung für Windows-Systeme und die darauf gespeicherten Daten. Einmal auf dem System, beginnt diese Schadsoftware mit der Verschlüsselung von Dateien auf den betroffenen Rechnern selbst und auf allen zugreifbaren (freigegebenen) Datenträgern, zum Beispiel im Netzwerk. Dann wird eine Bildschirmmeldung mit einer Lösegeldforderung eingeblendet. Das Lösegeld wird in Form von Bitcoins eingefordert, einer elektronischen Währung, die Anonymität gewährleistet. Erst nach einer entsprechenden Zahlung soll das Opfer die Möglichkeit erhalten, die Daten wieder zu entschlüsseln.

Die Verschlüsselung ist in der Regel nicht mit anderen Mitteln zu knacken. Wer nicht zahlen will, dem bleibt daher nur der Rückgriff auf möglichst aktuelle Backups – sofern diese nicht ebenfalls infiziert/verschlüsselt wurden.

Auf die betroffenen Systeme gelangen Erpressungs-Trojaner auf verschiedenen und immer wieder wechselnden Wegen: Durch infizierte Datei-Anhänge in E-Mails, etwa in Form von Office-Dateien mit Makros oder von ZIP-Archiven; aber auch der Besuch einer Website, die auf einem befallenen System liegt, kann genügen. Die Reaktionszeit der meisten Virenscanner ist zu lang, um zuverlässig vor diesen laufend variierten Attacken zu schützen.

In den letzten Wochen wüteten Erpressungs-Trojaner wie “Locky”, “TeslaCrypt” und andere besonders heftig auf vielen Tausenden von Windows-Systemen allein in Deutschland. Der Schaden ist immens.

Deshalb an dieser Stelle eine Übersicht der wichtigsten Vorsichtsmaßnahmen, mit denen Sie Ihre wertvollen Unternehmensdaten schützen:

  • Backups! Regelmäßige, vollständige Sicherungen aller wichtigen Dateien schützen zwar nicht vor Schadsoftware, helfen aber, den Schaden im Ernstfall zu begrenzen. Die Backups sollten auf Datenträgern liegen, die nicht dauerhaft mit dem Sytem verbunden sind.
  • Auf aktuellen Windows-Server-Installationen kann das Erstellen von sogenannten Volumenschattenkopien aktiviert werden, wodurch ein Zugriff auf ältere Dateiversionen möglich ist. Dies ist aber kein Ersatz für System- und Daten-Backups.
  • Vorsicht und Umsicht bei Mail-Anhängen! Das Haupt-Einfallstor für Schädlinge aller Art ist wohl nach wie vor die E-Mail in Verbindung mit unbedarften / unvorsichtigen Anwendern. Besondere Vorsicht ist geboten bei Office-Dateien, ZIP-Archiven. Auch wenn die E-Mail scheinbar von vertrauenswürdigen Absendern stammt, ist Vorsicht geboten. Achten Sie immer auch auf die Dateinamen-Erweiterungen. Klicken Sie im Zweifelsfall nicht auf Links im Mail-Text.
  • Prüfen Sie die Einstellungen zur Makro-Sicherheit Ihrer Office-Installation (siehe Abbildung unten): Datei > Optionen > Trust-Center > Einstellungen für das Trust-Center > Makroeinstellungen: Makros sollten standardmäßig deaktiviert werden (ggf. mit Benachrichtigung).
  • Prüfen Sie die Rechte der Windows-Benutzer auf dem System (ggf. Standard- statt Administrator-Konto).
  • Halten Sie System und Anwendungen durch Updates auf dem neuesten Stand. Dies gilt nicht nur für Windows, sondern unter anderem auch für Office, Acrobat, Browser und – sofern nicht gleich ganz verzichtbar – auch für Java und Flash. Installieren Sie keine Anwendungen aus unbekannter Quelle.
  • Installieren Sie zusätzlich zu einem guten, aktuellen Viren-Scanner ggf. zusätzlich ein spezialisiertes Tool wie Malwarebytes Anti-Ransomware.
  • Backups! Können nicht oft genug erwähnt werden…

Weitere Informationen und Tipps zur Datensicherheit finden Sie unter anderem beim Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de