Oft haben Hacker vor allem kleine und mittelständische Unternehmen im Visier, denen es an Sicherheitsvorkehrungen und IT-Fachwissen rund um Erpresserviren fehlt.

Oft haben Hacker vor allem kleine und mittelständische Unternehmen im Visier, denen es an Sicherheitsvorkehrungen und IT-Fachwissen rund um Erpresserviren fehlt. (Foto: © kinakomochi/123RF.com)

Lösegeld oder kompletter Datenverlust: Schutz vor digitaler Erpressung

Handwerk 4.0: Erpresserviren zählen zu den gefährlichsten digitalen Bedrohungen für Handwerksbetriebe. Der Grund: Die Schädlinge verschlüsseln ungewollt geschäftliche Daten und ziehen oft einen kompletten Datenverlust nach sich.

Doch wie funktionieren die Trojaner? Und wie kann man sich schützen? Denn sie lauern in Bewerbungen, Rechnungen, Mahnungen oder Bestell- und Paketempfangsbestätigungen, die per Mail versandt werden. Obwohl die Dokumente täuschend echt wirken, können sich in ihnen gefährliche Bedrohungen verstecken: Erpresserviren. Diese warten nur auf ihre Aktivierung durch arglose Nutzer und sind jederzeit bereit, Unternehmensrechner per Netzwerk zu infizieren und vorhandene Daten zu verschlüsseln.

Manchmal werden zusätzlich sensible Daten ausgelesen oder es wird mit einer Veröffentlichung dieser Informationen gedroht. Den verzweifelten Opfern wird gleichzeitig per Texteinblendung schnelle Hilfe versprochen – gegen Zahlung eines Lösegelds. Gefordert werden meist kleinere Summen im zwei- oder dreistelligen Bereich, so dass eine schnelle Zahlung möglich ist. Um eine Nachverfolgung der Überweisung unmöglich zu machen, erfolgt die Abwicklung meist in Kryptowährungen wie Bitcoin.

KMU im Visier von Hackern

Ein Star unter den Erpresserviren war der Trojaner "Emotet", den das Bundesamt für Sicherheit in der Informationstechnik (BSI) als "König der Schadsoftware" bezeichnete. Erst nach drei langen Ermittlungsjahren wurde die internationale Infrastruktur des Schädlings Ende Januar 2021 zerschlagen. Doch die Gefahr durch Erpresserviren ist damit nicht gebannt: Längst sind andere Bedrohungen wie "Ryuk", "Maze", "Conti" oder "Clop" unterwegs, um Daten ungewollt zu verschlüsseln und Opfer zu erpressen. Bei einigen Schädlingen genügt schon das Aufrufen einer manipulierten Internetseite, um einen Computer zu infizieren. Dabei wird per Drive-by-Infektion die Schadsoftware automatisch heruntergeladen und ausgeführt.

Oft haben Hacker vor allem kleine und mittelständische Unternehmen im Visier, denen es an Sicherheitsvorkehrungen und IT-Fachwissen rund um Erpresserviren fehlt. Betroffene Betriebe müssen nicht nur mit infizierten Netzwerken und verschlüsselten Daten kämpfen, sondern auch mit verärgerten Kunden: Denn diese wissen meist nicht, dass ein Erpresservirus am Werk ist – und dass dieser oft auch ein- und ausgehende Mails lahmlegt, so dass Anfragen unbeantwortet bleiben. Neben finanziellen Einbußen droht Betrieben ein Reputationsverlust, wenn Kundendaten verloren gehen, Aufträge nicht ausgeführt werden können oder Online-Überweisungen aufgrund von Netzwerkproblemen unmöglich sind.

Gefahren gezielt minimieren

Einen hundertprozentigen Schutz vor Erpresserviren gibt es aktuell nicht: Die meisten Antiviren-Programme erkennen nur bekannte Schädlinge – und Hacker sind allen Schutzprodukten immer den entscheidenden Schritt voraus. Am besten schützen proaktive Antiviren-Programme, die versuchen, unbekannte Bedrohungen aufgrund ihres Verhaltens zu identifizieren. Doch eine Garantie dafür wird ein Hersteller niemals geben. Deshalb lassen sich drohende Gefahren durch Erpresserviren nur minimieren – durch technische Sicherheitsvorkehrungen im Zusammenspiel mit sensibilisierten Mitarbeitern (s. Checkliste).

Lösegeldzahlungen verweigern

Doch wie sollten Betriebe reagieren, wenn sie Opfer eines Erpresservirus geworden sind? Eine Zahlung von Lösegeldern sollten Handwerker in jedem Fall vermeiden. Denn oft werden die Daten trotz Zahlung nicht entschlüsselt. Und wenn der Trojaner im Netzwerk aktiv bleibt, können die Hacker diesen für Nachforderungen jederzeit erneut aktivieren. Ein besseres Hilfsmittel in solchen Fällen sind Back-ups, mit denen alle IT-Systeme – nach einer umfangreichen Virenbereinigung – wieder in den Ursprungszustand versetzt werden. Abhängig vom Typ des Erpresservirus können auch kostenfreie Entschlüsselungstools helfen, die im Internet bereitstehen. Hier muss man aber genau wissen, von welchem Schädling der eigene Rechner befallen ist, da die meisten Tools nur bei einem bestimmten Virentyp helfen. Gleichzeitig sollten betroffene Betriebe sofort Anzeige bei der Polizei erstatten, am besten bei den "Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen".

Checkliste: Mehr Schutz vor Cyber-Attacken

  • Regelmäßige Back-ups
    Nur mit aktuellen Back-ups sind Daten im Notfall schnell wiederherstellbar. Alle Backup-Medien sollten im Regelbetrieb vom Netzwerk getrennt sein, damit Erpresserviren diese nicht verschlüsseln können.
  • Sicherheitsprodukte nutzen
    Setzen Sie Sicherheitssoftware mit mehrstufigen Schutzverfahren ein, wie Spamfilter, Virenscanner, Firewalls und Phishing-Schutz. Schützen Sie anfällige Programme durch Anti-exploit-Technologien.
  • Software aktualisieren
    Regelmäßige Updates von eingesetzten Softwareprodukten und Betriebssystemen beheben bekannte Sicherheitslücken.
  • Mitarbeiter schulen
    Mails von unbekannten Absendern sollten besonders sensibel behandelt werden. Am besten keine Links anklicken und Mail-Anhänge nicht öffnen – vor allem keine Office-Dokumente. Außerdem sollten Makros in Office-Dokumenten deaktiviert werden.
  • Plug-ins abschalten
    Deaktivieren Sie die automatische Ausführung von Inhalten und ausführbaren Skripten in Web-Browsern und im Betriebssystem, wie Flash, Java und Silverlight.
  • Anhänge blockieren
    Deaktivieren Sie ausführbare Anhänge in Ihrem Mail-Programm, wie bat, chm, cmd, com, exe, hta, jar, msi, scr, pif, scf sowie verschlüsselte Archive wie zip, rar oder tar.
  • Expertenrat einholen
    Fragen Sie IT-Experten oder Handwerkskammern, wie Sie die IT-Sicherheit gezielt erhöhen können.

Checkliste: Sofortmaßnahmen bei Cyber-Angriffen

  1. Schalten Sie das betroffene Gerät so schnell wie möglich aus.
  2. Trennen Sie Ihr Gerät von den Netzwerken.
  3. Ändern Sie mithilfe eines unbefallenen Geräts alle Passwörter für Dienste, die Sie auf dem infizierten Gerät genutzt haben.
  4. Falls möglich: Starten Sie das befallene Gerät mit einem bootfähigen Startmedium (z. B. DVD oder USB-Stick).
  5. Suchen Sie mit einem aktuellen Virenscanner auf dem befallenen Gerät nach Schadsoftware und deaktivieren Sie diese. Danach können Sie eventuell Daten retten, ohne die Schadsoftware zu verbreiten.
  6. Ist eine Virenentfernung nicht möglich? Dann Festplatten und Datenspeicher formatieren und das System komplett neu installieren. Gleiches gilt für befallene Netzwerk-Festplatten oder Server.
  7. Zahlen Sie kein gefordertes Lösegeld. Sperren Sie bei Bedarf Ihre Kredit- oder Bankkarten und ändern Sie Passwörter für Online-Dienste und -Zugänge.
  8. Je nach Schadenshöhe: Erstatten Sie Anzeige bei der Polizei (polizei.de/Polizei/ DE/Einrichtungen/ZAC/zac_node.html). Klären Sie, welche Beweise zu sichern sind.
  9. Prüfen Sie Ihre Melde- und Benachrichtigungspflichten laut DSGVO.

WICHTIGE FACHBEGRIFFE SCHNELL ERKLÄRT

  • Back-up
    Sicherheitskopien von Daten und Datenträgern. Mit den Kopien können die ursprünglichen Informationen bei Datenverlust oder -zerstörung wiederhergestellt werden.
  • Hacker
    Ein Hacker nutzt Sicherheitslücken aus, um sich übers Internet unberechtigt Zugang zu fremden PCs und mobilen Geräten zu verschaffen. Sein Ziel: Die Kontrolle über ein Gerät zu übernehmen oder Daten zu stehlen.
  • Krypto-Trojaner
    Eine Schadsoftware, die sich meist in Downloads oder E-Mail-Anhängen versteckt. Nach Aktivierung verschlüsselt der Trojaner erreichbare Daten und fordert zur Entschlüsselung ein Lösegeld. Bekannte Krypto-Trojaner sind Emotet, Locky oder Cerber.
  • Ransomware
    Erpressungssoftware, die Dateien entweder ungewollt verschlüsselt oder den Startbildschirm sperrt, so dass kein Zugriff auf das PC-System möglich ist. Gegen ein Lösegeld wird Abhilfe versprochen.
  • Trojanisches Pferd, Trojaner
    Ein kleines Programm, das unbemerkt auf Geräte gelangt und sich dort installiert, um Daten auszuspähen oder Schaden anzurichten. Meist sind Trojaner in anderen Programmen versteckt, so dass man sie nicht erkennt.
Text: / handwerksblatt.de

Das könnte Sie auch interessieren: