7. Juli 2023

Datenverlust und Lösegeldzahlungen vermeiden
Erpresserviren zählen zu den gefährlichsten digitalen Bedrohungen für Handwerksbetriebe. Der Grund: Die Schädlinge verschlüsseln ungewollt geschäftliche Daten und ziehen oft einen kompletten Datenverlust nach sich. Doch wie funktionieren die Trojaner? Und, wahrscheinlich viel wichtiger: Wie kann man sich schützen?

Sie lauern in Bewerbungen, Rechnungen, Mahnungen oder Bestell- und Paketempfangsbestätigungen, die man per Mail zugesandt bekommt. Obwohl die Dokumente täuschend echt wirken, können sich in ihnen gefährliche Bedrohungen verstecken: Erpresserviren. Sie warten nur auf ihre Aktivierung durch arglose Nutzer und sind jederzeit bereit, Unternehmensrechner in einem Netzwerk zu infizieren und Daten zu verschlüsseln.
Manchmal werden zusätzlich sensible Daten ausgelesen oder es wird mit einer Veröffentlichung dieser Informationen gedroht. Den verzweifelten Opfern wird gleichzeitig per Texteinblendung schnelle Hilfe versprochen – gegen Zahlung eines Lösegelds. Gefordert werden meist kleinere Summen im zwei- oder dreistelligen Bereich, sodass eine schnelle Zahlung möglich ist. Um eine Nachverfolgung der Überweisung unmöglich zu machen, erfolgt die Abwicklung meist in Kryptowährungen wie Bitcoin.

Unternehmen im Visier von Hackern
Ein Star unter den Erpresserviren ist der Trojaner „Emotet“, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) als „König der Schadsoftware“ bezeichnete. Erst nach drei langen Ermittlungsjahren wurde die internationale Infrastruktur des Schädlings im Jahr 2021 zerschlagen – allerdings nur für wenige Monate. Und auch die Gefahr durch andere Erpresserviren ist nicht gebannt: Längst sind neue Bedrohungen wie „Ryuk“, „Maze“, „Conti“ oder „Clop“ unterwegs, um Daten zu verschlüsseln und Opfer zu erpressen. Bei einigen Schädlingen genügt schon das Aufrufen einer manipulierten Internetseite, um einen Computer zu infizieren. Dabei wird per Drive-By-Infektion die Schadsoftware automatisch heruntergeladen und ausgeführt.
Oft haben Hacker vor allem kleine und mittelständische Unternehmen im Visier, denen es an Sicherheitsvorkehrungen und IT-Fachwissen rund um Erpresserviren fehlt. Betroffene Betriebe müssen nicht nur mit infizierten Netzwerken und verschlüsselten Daten kämpfen, sondern auch mit verärgerten Kunden: Denn diese wissen meist nicht, dass ein Erpresservirus am Werk ist – und dass dieser oft auch ein- und ausgehende Mails lahmlegt, sodass Anfragen unbeantwortet bleiben. Neben finanziellen Einbußen droht diesen Betrieben ein Reputationsverlust, wenn Kundendaten verloren gehen, Aufträge nicht ausgeführt werden können oder Online-Überweisungen aufgrund von Netzwerkproblemen unmöglich sind.

Gefahren gezielt minimieren
Einen hundertprozentigen Schutz vor Erpresserviren gibt es aktuell nicht: Die meisten Antiviren-Programme erkennen nur bekannte Schädlinge – und Hacker sind allen Schutzprodukten immer den entscheidenden Schritt voraus. Am besten schützen proaktive Antiviren-Programme, die versuchen, unbekannte Bedrohungen aufgrund ihres Verhaltens zu identifizieren. Doch eine Garantie dafür wird ein Hersteller niemals geben. Deshalb lassen sich drohende Gefahren durch Erpresserviren nur minimieren – durch technische Sicherheitsvorkehrungen im Zusammenspiel mit sensibilisierten Mitarbeitern (s. Checkliste).

Lösegeld zahlen oder verweigern?
Doch wie sollten Betriebe reagieren, wenn sie Opfer eines Erpresservirus geworden sind? Eine Zahlung von Lösegeldern sollten Handwerker in jedem Fall vermeiden. Denn oft werden die Daten trotz Zahlung nicht entschlüsselt. Und wenn der Trojaner im Netzwerk aktiv bleibt, können die Hacker diesen für Nachforderungen jederzeit erneut aktivieren.
Ein besseres Hilfsmittel in solchen Fällen sind Backups, mit denen alle IT-Systeme – nach einer umfangreichen Virenbereinigung – wieder in den Ursprungszustand versetzt werden. Abhängig vom Typ des Erpresservirus können auch kostenfreie Entschlüsselungstools helfen, die im Internet bereitstehen (s. Linkliste). Hier muss man aber genau wissen, von welchem Schädling der eigene Rechner befallen ist, da die meisten Tools nur bei einem bestimmten Virentyp helfen. Gleichzeitig sollten betroffene SHK-Betriebe sofort Anzeige bei der Polizei erstatten, am besten bei den „Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen“.

Autor: Thomas Busch, freier Journalist

Checkliste: Mehr Schutz vor Cyber-Attacken
Regelmäßige Backups
Nur mit aktuellen Backups sind Daten im Notfall schnell wiederherstellbar. Alle Backup-Medien sollten im Regelbetrieb vom Netzwerk getrennt sein, damit Erpresserviren sie nicht auch noch verschlüsseln können.

Sicherheitsprodukte nutzen
Setzen Sie Sicherheitssoftware mit mehrstufigen Schutzverfahren ein, z. B. Spamfilter, Virenscanner, Firewalls und Phishing-Schutz. Außerdem sollten anfällige Programme durch Anti-Exploit-Technologien vor Bedrohungen geschützt sein.

Software aktualisieren
Regelmäßige Updates von eingesetzten Softwareprodukten und Betriebssystemen beheben bekannte Sicherheitslücken.

Mitarbeiter schulen
Mails von unbekannten Absendern sollten Mitarbeiter besonders sensibel behandeln. Am besten keine Links anklicken und Mail-Anhänge nicht öffnen – vor allem keine Office-Dokumente. Außerdem sollten Makros für Office-Dokumente in den Einstellungen deaktiviert werden.

Plug-ins abschalten
Deaktivieren Sie die automatische Ausführung von Inhalten und ausführbaren Skripten in Web-Browsern und im Betriebssystem wie Flash, Java und Silverlight.

Anhänge blockieren
Deaktivieren Sie ausführbare Anhänge in Ihrem Mail-Programm wie bat, chm, cmd, com, exe, hta, jar, msi, scr, pif, scf sowie verschlüsselte Archive wie zip, rar oder tar.

Expertenrat einholen
Fragen Sie IT-Experten oder Handwerkskammern, wie Sie die IT-Sicherheit in Ihrem Betrieb gezielt erhöhen können.

Checkliste: Sofort-Maßnahmen bei Cyber-Angriffen
1.) Schalten Sie das betroffene Gerät so schnell wie möglich aus.
2.) Trennen Sie das betroffene Gerät von allen Netzwerken.
3.) Ändern Sie mithilfe eines unbefallenen Geräts alle Passwörter für Dienste, die Sie auf dem infizierten Gerät genutzt haben.
4.) Falls möglich: Starten Sie das befallene Gerät mit einem bootfähigen Start-Medium (z. B. DVD oder USB-Stick).
5.) Suchen Sie mit einem aktuellen Virenscanner auf dem befallenen Gerät nach Schadsoftware und deaktivieren Sie sie. Danach können Sie eventuell Daten retten, ohne die Schadsoftware zu verbreiten.
6.) Ist eine Viren-Entfernung nicht möglich? Dann Festplatten und Datenspeicher formatieren und das System komplett neu installieren. Gleiches gilt für befallene Netzwerk-Festplatten oder Server.
7.) Zahlen Sie kein Lösegeld. Sperren Sie bei Bedarf Ihre Kredit- oder Bankkarten und ändern Sie Passwörter für Online-Dienste und -Zugänge.
8.) Je nach Schadenshöhe: Erstatten Sie Anzeige bei der Polizei (bit.ly/polizei-cybercrime). Klären Sie, welche Beweise zu sichern sind.
9.) Prüfen Sie Ihre Melde- und Benachrichtigungspflichten laut DSGVO.

Wichtige Fachbegriffe kurz erklärt
Backup
Sicherheitskopien von Daten und Datenträgern. Mit den Kopien können die ursprünglichen Informationen bei Datenverlust oder -zerstörung wiederhergestellt werden.

Hacker
Ein Hacker nutzt Sicherheitslücken aus, um sich übers Internet unberechtigt Zugang zu fremden PCs und mobilen Geräten zu verschaffen. Sein Ziel: Die Kontrolle über ein Gerät zu übernehmen oder Daten zu stehlen.

Krypto-Trojaner
Eine Schadsoftware, die sich meist in Downloads oder E-Mail-Anhängen versteckt. Nach Aktivierung verschlüsselt der Trojaner Daten und fordert zur Entschlüsselung ein Lösegeld. Bekannte Krypto-Trojaner sind Emotet, Locky oder Cerber.

Ransomware
Erpressungssoftware, die Dateien entweder verschlüsselt oder den Startbildschirm sperrt, sodass kein Zugriff auf das PC-System möglich ist. Gegen ein Lösegeld wird Abhilfe versprochen.

Trojanisches Pferd, Trojaner
Ein kleines Programm, das unbemerkt auf Geräte gelangt und sich dort installiert, um Daten auszuspähen oder Schaden anzurichten. Meist sind Trojaner in anderen Programmen versteckt, sodass man sie nicht erkennt.

Linkliste für schnelle Hilfe: Daten kostenlos entschlüsseln
No More Ransom
Die Online-Initiative bietet Opfern von Ransomware Hilfe bei der Entschlüsselung.
nomoreransom.org

ID Ransomware
Der Online-Dienst erkennt rund 1100 Erpresserviren und gibt Hilfestellungen.
id-ransomware.malwarehunterteam.com

Kostenlose Entschlüsselungstools
Einige Cybersicherheitsunternehmen bieten Decryption-Tools zur Entschlüsselung eigener Dateien.
avast.com/de-de/ransomware-decryption-tools
avg.com/de-de/ransomware-decryption-tools
noransom.kaspersky.com/de