th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Ransomware - Daten gegen Lösegeld

Infos zur Erpressungssoftware 

Es ist eine seit Jahren bekannte und stark anwachsende Methode von Kriminellen, im Internet an Geld zu gelangen: Mit sogenannter „Ransomware“ werden Rechner angegriffen und vorübergehend außer Gefecht gesetzt. Sicherheitslücken wie die Exchange Sicherheitslücke werden gnadenlos ausgenutzt, der entstandene Schaden für die Betroffenen ist oft extrem hoch. 

Was ist Ransomware?

Ransomware sind gezielt eingesetzte „Erpressungstrojaner“, die angeben, alle Daten des Opfers verschlüsselt oder gesperrt zu haben. Den Opfern wird angeboten, gegen eine Bezahlung von „Lösegeld“ ihre Daten wieder freizugeben. Obwohl es keinerlei Garantie gibt, nach Bezahlung des Lösegeldes wieder Zugriff auf seine Daten zu bekommen, und die Behörden von einer Lösegeldzahlungabraten, werden jährlich gezahlte Lösegelder in Millionenhöhe geschätzt.

Wie gehen die Kriminellen vor?

Ransomware wird derzeit vor allem über E-Mails verteilt. Diese E-Mails haben oft gefälschte Absenderangaben und enthalten Dateianlagen (zip-Dateien, aber auch normale Office Dateien), die für den Benutzer "interessant" klingen, wie z.B. Rechnungen, Lieferscheine, etc. Beim Öffnen dieser Anhänge wird z.B. von einem infizierten Web-Server die eigentliche Schadsoftware nachgeladen. Dadurch ist die Ransomware auf dem Gerät installiert und bewirkt, dass der Zugriff auf Daten verweigert wird oder ein Passwort verlangt wird.  In weiterer Folge erhält das angegriffene Unternehmen die Aufforderung, Lösegeld zu bezahlen, um wieder Zugriff auf seine Daten zu erhalten. Als Zahlungsmittel werden oftmals Bitcoins gefordert, da der Zahlungsfluss hier vollständig verschleiert werden kann.

Wie hoch ist das Schadpotential?

Diese Angriffsmethode hat leider sehr hohes Schadenspotential. Neben den unmittelbaren Kosten der Datenwiederherstellung und Systembereinigung kann es durch fehlenden Zugriff auf Kunden- oder Lieferantendaten, Lager- oder Finanzdaten zu erheblichen Störungen im betrieblichen Leistungsprozess kommen, die im schlimmsten Fall sogar zu einer Betriebsunterbrechung und damit einhergehenden Reputationsschäden führen können. Dieses Kalkül macht diese Angriffe auch so gefährlich. 

Wie kann ich mich schützen?

Prinzipiell gilt: Vor einem Angriff durch Viren oder Trojaner ist man zwar nie gänzlich sicher, man kann aber einiges zur Schadensbegrenzung im Falle eines Angriffes beitragen.  

Maßnahmen im Vorfeld:

  • Sensibilisieren Sie ALLE Mitarbeiterinnen und Mitarbeiter, im Umgang mit unbekannten oder unverlangt zugestellten E-Mails vorsichtig zu sein. Da Ransomware auch auf verbundene Netzwerklaufwerke zugreifen kann, reicht ein einziger unvorsichtiger Mitarbeiter, um das gesamte Firmennetzwerk zu infizieren. Im Zweifelsfall sollte man sich mit dem Absender auf einem alternativen Kommunikationsweg in Verbindung setzen (z.B. über Telefon, niemals aber auf die Mail direkt antworten).
  • Stellen Sie sicher, dass auf Ihren IT-Systemen immer die aktuellsten Versionen und Patches eingespielt sind.
  • Aktualisieren Sie laufend Ihre Firewall- und Antiviren-Software und nutzen Sie alle Module dieser Systeme.
  • Minimieren Sie das Risiko einer Infektion durch die gezielte Vergabe von Benutzerrechten. Jeder Benutzer sollte nur über die Rechte verfügen, die er für seine Arbeit tatsächlich benötigt. 
  • Es gibt einer Reihe von technischen Möglichkeiten, die selbstständige Ausführung von Programmen auf Ihren Systemen zu unterbinden. Nutzen Sie diese Möglichkeiten unter Maßgabe Ihrer betrieblichen Erfordernisse. Wenn Sie das nicht selbst machen wollen, ziehen Sie schon im Vorfeld einen Experten hinzu.
  • Erstellen Sie regelmäßig Datensicherungen, die auf externen Datenträgern gespeichert werden und nicht über das Internet zugänglich sind. Es empfiehlt sich, hier in mehreren Versionen zu sichern (z.B. täglich, wöchentlich, monatlich, jährlich), da manche Ransomware Versionen erst mit einer Zeitverzögerung von einigen Tagen oder Wochen aktiv werden. 

Maßnahmen im Anlassfall:

  • Auch wenn es unangenehm ist: Reagieren Sie auf Informationen über "eigenartige" Zugriffsprobleme in Ihrem Unternehmen sofort und nehmen Sie die betroffenen Rechner vom Netz, notfalls auch durch Trennung des Netzwerkkabels und Deaktivierung des WLAN Adapters.
  • Wenn Unternehmen Opfer von Ransomware oder anderen Cyberangriffen wurden, erhalten sie unter 0800 888 133 rund um die Uhr telefonische Ersthilfe bei der Cybersecurity-Hotline.
  • Wenn ein Angriff festgestellt wurde, empfehlen wir, sich umgehend an IT-Sicherheitsexperten zu wenden: Suche nach IT-ExpertInnen.
  • Diese können feststellen, welche verbundenen Systeme bereits infiziert wurden und offline genommen werden müssen.
  • Beginnen Sie mit der Neuinstallation der betroffenen Systeme erst, nachdem die Schadensanalyse vollständig abgeschlossen wurde.
  • In manchen Fällen ist es möglich, die Daten nach der Bereinigung und  Neuinstallation Ihrer Systeme wiederherzustellen. Sicherer ist es aber, auf ein vorhandenes – nicht infiziertes – Datenbackup zurückzugreifen.
  • Erstatten Sie Anzeige bei der Polizei.
  • Für Hilfe und Informationen zu Internetbetrug kontaktieren Sie die Meldestelle des Bundeskriminalamts per E-Mail unter against-cybercrime@bmi.gv.at.

Wichtig:
Im Falle einer Kompromittierung muss bei Verletzung des Schutzes personenbezogener Daten eine Meldung an die Datenschutzbehörde (Art. 33 DSGVO) und eventuell auch eine Benachrichtigung betroffener Personen (Art. 34 DSGVO) erfolgen.

Die Meldung einer Datenschutzverletzung an die Datenschutzbehörde muss unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen.

Wertvolle Hinweise zum Thema Cybersichersicherheit im Unternehmen finden Sie auf www.it-safe.at

Information zum Umgang mit Ransomware finden Sie auf www.onlinesicherheit.gv.at 

Infos zu Ransomware, Tipps zur Vorbeugung und Entschlüsselungstools finden Sie auf The No More Ransom Project

Stand: