Ransomware – Bedrohung und Gegenmaßnahmen
Vorhang auf – Die Kombattanten
Locky, WannaCry, Petya. Mittlerweile tauchen solche Programme in schöner Regelmäßigkeit auf der Weltbühne der Schadsoftware auf. Mittlerweile widmen sich auch öffentliche Medien glücklicherweise verstärkt der Information zu – und Aufklärung über diese perfiden Schädlinge namens Ransomware. Auch ich möchte dazu meinen Beitrag leisten.
Daten-Kidnapping zahlt sich aus
Fangen wir – preußisch korrekt – mit der Nomenklatur an: Ransom ist das englische Wort für Lösegeld. Ransomware entspricht demnach einer Software, welche Lösegeld erpresst. Damit dies auch möglich wird, muss zuerst eine Geiselnahme erfolgen. Um die Geiseln freizukaufen, wird das Lösegeld gezahlt (oder auch nicht). Bekannt aus jedem halbwegs spannenden Krimi – soweit, so klar!
In diesem Kontext handelt es sich jedoch um digitale Geiseln, nämlich gewöhnliche (unschuldige) Computerdateien. Diese werden durch die Ransomware verschlüsselt und das Original unwiederbringlich gelöscht. Bevorzugt fallen dieser Geiselnahme übrigens Bilder, Office-Dokumente und Texte zum Opfer. Diese beinhalten zumeist wichtige und/oder persönliche Informationen des Computerbenutzers und lassen sich durch ihre geringe Dateigröße weiterhin schnell verschlüsseln.
Im Endeffekt wird aus der originalen Bilddatei Sommerurlaub2017_01.jpg nach der Geiselnahme die verschlüsselte Datei Sommerurlaub2017_01.locky. Die Ransomware Locky benennt seine Opfer nach der Verschlüsselung in den Dateityp .locky um. WannyCry wählt stattdessen .WNCRY. Bei so viel Kreativität kann einem wirklich zum Heulen zumute werden.
Service wird großgeschrieben
Im nächsten Schritt erhält der Benutzer eine Meldung auf den Bildschirm eingeblendet mit folgendem, sinngemäßen Inhalt: „Oh nein, Ihre Daten wurden mit einem öffentlichen Schlüssel und Verfahren XYZ verschlüsselt! Nur WIR verfügen über den privaten Schlüssel zur Entschlüsselung.“ Ironischerweise klingt der Hinweis eher nach einem unglücklichen Zufall, als nach einer bewussten Geiselnahme. Selbst in Zeiten der Cholera sollten Sie also nicht Ihren guten Humor verlieren …
An dieser Stelle möchte ich Sie unbedingt an das Verfahren der asymmetrischen Verschlüsselung erinnern: Daten werden mit einem öffentlichen Schlüssel ver- und mit einem privaten Schlüssel entschlüsselt. Zu guter Letzt erläutert man Ihnen, wie Sie den privaten Schlüssel zur Freigabe der verschlüsselten Dateien käuflich erwerben können.
Entweder überweisen Sie den fälligen Betrag in der Kryptowährung Bitcoin oder per PaysafeCard. Letztere stellt eine Art Prepaidkarte dar, die Sie z.B. an Tankstellen oder Postfilialen kaufen können. Darauf ist ein Code aufgedruckt, den Sie zur Überweisung des Lösegelds in ein Webformular eingeben. Somit wird der Wert der Paysafecard dem Konto der Cyber-Erpresser gutgeschrieben. Die Karte verliert nach einmaliger Nutzung ihren Wert.
Ich möchte an dieser Stelle ausdrücklich betonen, dass Sie selbst nach der Zahlung des Lösegelds nicht unbedingt ihre Daten zurückbekommen. Auf der Gegenseite befinden sich schließlich keine ehrenwerten Geschäftsleute, sondern skrupellose Cyber-Gangster! Mein Tipp lautet: Zahlen Sie nicht, sondern ergreifen Sie präventive Schutzmaßnahmen! Einen echten Screenshot der gesamten Meldung finden Sie auf der Wikipedia-Webseite zu Locky.
Maßnahmen gegen Ransomware
Beachten Sie folgende Empfehlungen zur Verminderung der Gefahren durch Ransomware:
- Firewalls
- Unnötige Funktionen ausschalten
- Virenscanner
- Updates
- Nicht-privilegierte Rechte
- Datensicherung
- Rettung durch Profis
Verwenden Sie auf jeden Fall eine Firewall! Eine Firewall ist eine Hard- oder Software, die Datenverkehr von oder zu einem Rechner oder Netzwerk steuert. Dabei können bestimmte Datenpakete oder Ziele entweder erlaubt oder verboten werden. Wählen Sie hier den Ansatz „so wenig wie möglich, so viel wie nötig“. Gleichermaßen sollten Sie sich an dem Defense-in-Depth-Prinzip orientieren.
Verwenden Sie die Hardwarefirewall des Routers ebenso wie Softwarefirewalls auf den Endgeräten. Widerstehen Sie jedoch unbedingt der Versuchung, mehrere Softwarefirewalls auf einem Gerät parallel betreiben zu wollen.
Jede Anwendung kann programmiertechnische Schwachstellen enthalten, die Sie und somit auch den gesamten Rechner angreifbar machen. Häufig trifft dies auf Programme oder Funktionen wie Flash, JavaScript oder ActiveX zu. Schalten Sie diese daher ab, oder deaktivieren sie zumindest. Nehmen Sie eventuell verminderten Bedienkomfort in Kauf!
Jedes Endgerät sollte über einen aktuellen Virenscanner mit den neuesten Viren-Signaturen verfügen. Halten Sie diese unbedingt aktuell, am Besten durch automatische und regelmäßige Updates. Die Hersteller von kostenpflichtigen Scannern bieten in der Regel den besseren Support und verfügen über eine langjährige Fachexpertise. Kostenlose Scanner wie der Windows Defender kommen hingegen als Windows-Boardmittel und müssen nicht zusätzlich erworben und installiert werden. Wofür Sie sich auch entscheiden: Ein Virenscanner gehört auf jeden Computer!
Jede Schwachstelle im Betriebssystem oder in anderer installierter Software bildet ein potenzielles Einfallstor für Malware. Das liegt schlicht und ergreifend an der Tatsache, dass auch Software von Menschen geschaffen wird und somit Fehler enthalten kann. Durch Updates werden zumindest einige Löcher gestopft, wobei hier immer das Hase-und-Igel-Prinzip vorherrscht. Der kriminelle Igel findet Schwachstellen und nutzt sie für seine bösartigen Zwecke aus, während der edle Hase sich wegen deren Reparatur sputen muss.
Malware wird häufig mit den gleichen Rechten ausgeführt, die der angemeldete Benutzer besitzt. Ein administratives Benutzerkonto mit vollen Zugriffsrechten auf den gesamten Rechner kann somit den größten Schaden verursachen. Richten Sie sich daher für das tägliche Arbeiten immer ein Zweitkonto mit beschränkten Rechten ein, so dass der Schaden bei einer Infektion zumindest begrenzt wird. Leider bietet auch dieses Vorgehen nicht immer den gewünschten Schutz.
Alle anderen Maßnahmen sind im Vergleich zu Backups nur ein Tropfen auf den heißen Stein. Ich kann es nicht oft genug sagen: Legen Sie Kopien Ihrer Daten auf mehreren externen Speichermedien an! Selbst wenn die Originale durch eine Ransomware verschlüsselt werden sollten, können Sie diese kaltlächelnd aus dem Backup zurückkopieren.
Das spart nicht nur Zeit und Nerven, sondern auch viel Geld! Nichtsdestotrotz sollten Sie das System neu aufsetzen, um alle Vorkommnisse von Kryptotrojanern (= Ransomware), zu beseitigen. Hier verweise ich für die Umsetzung unbedingt an einen versierten Computerexperten.
Sobald eine neue Ransomware im Umlauf ist, wird sie früher oder späteren von ehrenhaften Computerspezialisten analysiert werden. Auch Schadsoftware ist von Menschen gemacht und kann Fehler enthalten. Diese Fehler können zur Herstellung eines Gegenmittels ausgenutzt werden. Die soeben erwähnten Profis programmieren aus den gewonnenen Erkenntnissen eine Art Mini-Virenscanner und veröffentlichen diesen anschließend im Internet.
Verschlüsselte Dateien werden durch dessen Anwendung wieder lesbar gemacht, ohne auf die Lösegeldforderung eingehen zu müssen. Dennoch sollten der Rechner in einem solchen Fall in versierte Hände geben gegeben werden. Eine eigene Lösung macht das Problem möglicherweise noch schlimmer Alle vorgenannten Tipps beschreibe ich übrigens ausführlich in meinem praxisnahen Videokurs Computer und Internet mit Sicherheit. Über Ihr Interesse daran freue ich mich sehr!