Lösegeld oder kompletter Datenverlust: Schutz vor digitaler Erpressung

Handwerk 4.0: Erpresserviren zählen zu den gefährlichsten digitalen Bedrohungen für Handwerksbetriebe. Der Grund: Die Schädlinge verschlüsseln ungewollt geschäftliche Daten und ziehen oft einen kompletten Datenverlust nach sich.

Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe

Doch wie funktionieren die Trojaner? Und wie kann man sich schützen? Denn sie lauern in Bewerbungen, Rechnungen, Mahnungen oder Bestell- und Paketempfangsbestätigungen, die per Mail versandt werden. Obwohl die Dokumente täuschend echt wirken, können sich in ihnen gefährliche Bedrohungen verstecken: Erpresserviren. Diese warten nur auf ihre Aktivierung durch arglose Nutzer und sind jederzeit bereit, Unternehmensrechner per Netzwerk zu infizieren und vorhandene Daten zu verschlüsseln.

Manchmal werden zusätzlich sensible Daten ausgelesen oder es wird mit einer Veröffentlichung dieser Informationen gedroht. Den verzweifelten Opfern wird gleichzeitig per Texteinblendung schnelle Hilfe versprochen – gegen Zahlung eines Lösegelds. Gefordert werden meist kleinere Summen im zwei- oder dreistelligen Bereich, so dass eine schnelle Zahlung möglich ist. Um eine Nachverfolgung der Überweisung unmöglich zu machen, erfolgt die Abwicklung meist in Kryptowährungen wie Bitcoin.

KMU im Visier von Hackern

Ein Star unter den Erpresserviren war der Trojaner "Emotet", den das Bundesamt für Sicherheit in der Informationstechnik (BSI) als "König der Schadsoftware" bezeichnete. Erst nach drei langen Ermittlungsjahren wurde die internationale Infrastruktur des Schädlings Ende Januar 2021 zerschlagen. Doch die Gefahr durch Erpresserviren ist damit nicht gebannt: Längst sind andere Bedrohungen wie "Ryuk", "Maze", "Conti" oder "Clop" unterwegs, um Daten ungewollt zu verschlüsseln und Opfer zu erpressen. Bei einigen Schädlingen genügt schon das Aufrufen einer manipulierten Internetseite, um einen Computer zu infizieren. Dabei wird per Drive-by-Infektion die Schadsoftware automatisch heruntergeladen und ausgeführt.

Oft haben Hacker vor allem kleine und mittelständische Unternehmen im Visier, denen es an Sicherheitsvorkehrungen und IT-Fachwissen rund um Erpresserviren fehlt. Betroffene Betriebe müssen nicht nur mit infizierten Netzwerken und verschlüsselten Daten kämpfen, sondern auch mit verärgerten Kunden: Denn diese wissen meist nicht, dass ein Erpresservirus am Werk ist – und dass dieser oft auch ein- und ausgehende Mails lahmlegt, so dass Anfragen unbeantwortet bleiben. Neben finanziellen Einbußen droht Betrieben ein Reputationsverlust, wenn Kundendaten verloren gehen, Aufträge nicht ausgeführt werden können oder Online-Überweisungen aufgrund von Netzwerkproblemen unmöglich sind.

Gefahren gezielt minimieren

Einen hundertprozentigen Schutz vor Erpresserviren gibt es aktuell nicht: Die meisten Antiviren-Programme erkennen nur bekannte Schädlinge – und Hacker sind allen Schutzprodukten immer den entscheidenden Schritt voraus. Am besten schützen proaktive Antiviren-Programme, die versuchen, unbekannte Bedrohungen aufgrund ihres Verhaltens zu identifizieren. Doch eine Garantie dafür wird ein Hersteller niemals geben. Deshalb lassen sich drohende Gefahren durch Erpresserviren nur minimieren – durch technische Sicherheitsvorkehrungen im Zusammenspiel mit sensibilisierten Mitarbeitern (s. Checkliste).

Lösegeldzahlungen verweigern

Doch wie sollten Betriebe reagieren, wenn sie Opfer eines Erpresservirus geworden sind? Eine Zahlung von Lösegeldern sollten Handwerker in jedem Fall vermeiden. Denn oft werden die Daten trotz Zahlung nicht entschlüsselt. Und wenn der Trojaner im Netzwerk aktiv bleibt, können die Hacker diesen für Nachforderungen jederzeit erneut aktivieren. Ein besseres Hilfsmittel in solchen Fällen sind Back-ups, mit denen alle IT-Systeme – nach einer umfangreichen Virenbereinigung – wieder in den Ursprungszustand versetzt werden. Abhängig vom Typ des Erpresservirus können auch kostenfreie Entschlüsselungstools helfen, die im Internet bereitstehen. Hier muss man aber genau wissen, von welchem Schädling der eigene Rechner befallen ist, da die meisten Tools nur bei einem bestimmten Virentyp helfen. Gleichzeitig sollten betroffene Betriebe sofort Anzeige bei der Polizei erstatten, am besten bei den "Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen".