Trace Id is missing
Zu Hauptinhalt springen
Microsoft Security

Was ist Ransomware?

Erfahren Sie, was Ransomware ist, wie sie funktioniert und wie Sie Ihr Unternehmen vor dieser Art von Cyberangriff schützen können.
Schützen Sie sich selbst vor Ransomware

Grundlegendes zu Ransomware

Ransomware ist eine Art von Schadsoftware oder Malware, die Cyberkriminelle verwenden, um den Zugriff auf kritische Daten eines Opfers zu blockieren, diese zu zerstören oder zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Herkömmliche Ransomware zielt sowohl auf Einzelpersonen als auch auf Organisationen ab, aber zwei aktuelle Entwicklungen, von Menschen betriebene Ransomware und Ransomware als Dienst, sind zu einer größeren Bedrohung für Unternehmen und andere große Organisationen geworden.

Bei von Menschen betriebener Ransomware nutzt eine Gruppe von Angreifern ihre kollektive Intelligenz, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Vor der Installation der Ransomware recherchieren sie das Unternehmen, um Sicherheitsrisiken zu erkennen und in einigen Fällen Finanzdokumente zu entdecken, die ihnen helfen, die Höhe des Lösegelds festzulegen.

In einem „Ransomware als Dienst“-Modell erstellen eine Gruppe von kriminellen Entwicklern die Ransomware und stellt dann andere Cyberkriminelle ein, um das Netzwerk einer Organisation zu hacken und die Ransomware zu installieren. Die beiden Gruppen teilen die Gewinne zu einem vereinbarten Satz auf.

Jede Ransomware stellt eine erhebliche Belastung für die angegriffenen Personen und Organisationen dar. Es kann Tage, Wochen oder sogar Monate dauern, bis betroffene Systeme wieder online sind, was zu Produktivitätsverlust und Umsatzeinbußen führt. Darüber hinaus kann der Ruf der Organisation bei Kunden und in der Öffentlichkeit Schaden nehmen.

Das Wichtigste in Kürze

  • Ransomware ist eine Art von Malware, die Daten verschlüsselt und zur Entschlüsselung eine Lösegeldzahlung verlangt.
  • Sie kann sich über Phishing-E-Mails, bösartige Websites und Exploit-Kits verbreiten.
  • Bei von Menschen betriebener Ransomware nutzt eine Gruppe von Angreifern ihre kollektive Intelligenz, um sich Zugang zu Unternehmensnetzwerken zu verschaffen.
  • Die beiden Haupttypen von Ransomware sind Krypto-Ransomware, die vertrauliche Daten und Dateien verschlüsselt, und Locker-Ransomware, die Opfer von ihren Geräten aussperrt.
  • Ransomware-Angriffe können erheblichen finanziellen, rufschädigenden und betrieblichen Schaden für Einzelpersonen und Unternehmen verursachen.
  • Es gibt Maßnahmen, die Sie ergreifen können, um sich vor Ransomware-Angriffen zu schützen, z. B. die Verwendung starker Sicherheitssoftware, das Sichern Ihrer Daten und das Fördern des Bewusstseins für Cybersicherheit in Ihrer Organisation.

Ransomware-Typen

Ransomware hat zwei Hauptformen: Krypto-Ransomware und Locker-Ransomware, die weiter in mehrere Untertypen unterteilt sind.

Krypto-Ransomware
Bei einem Krypto-Ransomware-Angriff verschlüsselt der Angreifer die vertraulichen Daten oder Dateien eines Opfers, sodass er nicht mehr darauf zugreifen kann, es sei denn, er bezahlt ein verlangtes Lösegeld. Theoretisch übergibt der Angreifer nach der Bezahlung durch das Opfer einen Entschlüsselungsschlüssel, der wieder Zugriff auf die Dateien oder Daten gewährt, es gibt jedoch keine Garantie dafür. Viele Organisationen haben den Zugriff auf ihre Dateien dauerhaft verloren, auch nachdem sie das Lösegeld bezahlt haben.

Locker-Ransomware
Mit Locker-Ransomware sperren böswillige Akteure ein Opfer von seinem Gerät aus und zeigen ihm eine Lösegeldforderung auf dem Bildschirm an, die Anweisungen enthält, wie das Lösegeld zu zahlen ist, um den Zugang wiederherzustellen. Diese Art von Ransomware umfasst in der Regel keine Verschlüsselung. Sobald die betroffene Person wieder Zugriff auf ihr Gerät hat, sind alle vertraulichen Dateien und Daten wieder nutzbar. Locker-Ransomware wird häufig auf mobilen Geräten verwendet.

Diese beiden Hauptformen von Ransomware fallen in die folgenden Untertypen:

Scareware
Scareware verwendet Angst, um Menschen dazu zu bringen, ein Lösegeld zu zahlen. Bei diesen Arten von Cyberangriffen geben sich die böswilligen Akteure als Strafverfolgungsbehörde aus und senden eine Nachricht an das Opfer, in der sie ihm ein Verbrechen vorwerfen und eine Strafzahlung fordern.

Doxware
In Doxware stehlen böswillige Akteure persönliche Informationen und drohen, sie zu veröffentlichen, wenn kein Lösegeld bezahlt wird.

Double Extortion Ransomware
Bei Double Extortion Ransomware (Ransomware mit Doppelerpressung) verschlüsseln Angreifer nicht nur Dateien, sondern stehlen auch vertrauliche Daten und drohen, sie zu veröffentlichen, wenn kein Lösegeld bezahlt wird.

Wipers
Wipers drohen damit, die Daten des Opfers zu zerstören, wenn kein Lösegeld bezahlt wird.

So funktioniert Ransomware

Die meisten Ransomware-Angriffe folgen einem dreistufigen Prozess.

1. Zugriff gewinnen
Böswillige Akteure verwenden verschiedene Methoden, um Zugriff auf vertrauliche Daten eines Unternehmens zu erhalten. Eine der gängigsten Methoden Ist Phishing, bei dem Cyberkriminelle E-Mails, SMS oder Telefonanrufe verwenden, um Personen dazu zu verleiten, ihre Anmeldeinformationen preiszugeben oder Malware herunterzuladen. Böswillige Akteure zielen mit bösartigen Websites, die ein so genanntes Exploit-Kit verwenden, auch auf Mitarbeiter und andere Benutzer, um automatisch Malware auf das Gerät des Opfers herunterzuladen und zu installieren.

2. Verschlüsseln von Daten
Sobald die Ransomware-Angreifer Zugriff auf die vertraulichen Daten erhalten, kopieren sie diese und zerstören die ursprüngliche Datei zusammen mit allen Sicherungen, auf die sie zugreifen konnten. Anschließend verschlüsseln sie ihre Kopie und erstellen einen Entschlüsselungsschlüssel.

3. Lösegeld fordern
Nachdem der Zugriff auf die Daten verunmöglicht wurde, übermittelt die Ransomware eine Nachricht über ein Warnfeld, in dem erklärt wird, dass die Daten verschlüsselt wurden, und es wird Geld (in der Regel in Kryptowährung) im Austausch gegen den Entschlüsselungsschlüssel verlangt. Die böswilligen Akteure hinter diesen Angriffen können auch mit der Veröffentlichung der Daten drohen, wenn das Opfer die Zahlung verweigert.

Auswirkungen eines Ransomware-Angriffs

Über die unmittelbare Unterbrechung des Betriebs hinaus können die Folgen eines Ransomware-Angriffs erhebliche finanzielle Verluste, Rufschädigung und langfristige betriebliche Herausforderungen mit sich bringen.

Finanzielle Auswirkungen
Die Kosten für die Zahlung eines Lösegelds können beträchtlich sein und gehen oft in die Millionen Dollar, und es gibt keine Garantie, dass die Angreifer den Entschlüsselungsschlüssel zur Verfügung stellen oder dass er ordnungsgemäß funktioniert.

Selbst wenn Organisationen sich weigern, das Lösegeld zu bezahlen, können weiterhin hohe finanzielle Kosten entstehen. Die Störung, die durch einen Ransomware-Angriff verursacht wird, kann zu längeren Ausfallzeiten führen, welche die Produktivität beeinträchtigen und möglicherweise Umsatzeinbußen zur Folge haben. Die Wiederherstellung nach einem Angriff ist mit zusätzlichen Kosten verbunden, einschließlich der Kosten für forensische Untersuchungen, Rechtskosten und Investitionen in verbesserte Sicherheitsmaßnahmen.

Rufschäden
Kunden und Partner könnten das Vertrauen in ein Unternehmen verlieren, das kompromittiert wurde, was zu einem Rückgang der Kundentreue und einem potenziellen Verlust künftiger Geschäfte führt. Aufsehen erregende Angriffe ziehen oft die Aufmerksamkeit der Medien auf sich, was dem Ruf und dem Markenimage eines Unternehmens schaden kann.

Betriebliche Herausforderungen
Selbst mit Sicherungen besteht das Risiko von Datenverlust oder Datenbeschädigung, was sich auf Geschäftskontinuität und betriebliche Effizienz auswirken kann. Unternehmen müssen auch mit rechtlichen und behördlichen Strafen rechnen, wenn sie es versäumen, vertrauliche Daten zu schützen, insbesondere, wenn sie Datenschutzbestimmungen wie der Datenschutz-Grundverordnung in der Europäischen Union oder dem California Consumer Privacy Act unterliegen.

Beispiele für Ransomware aus der Praxis

Viele der aufsehenerregendsten, von Menschen durchgeführten Ransomware-Angriffe werden von Ransomware-Gruppen durchgeführt, die mit einem „Ransomware als Dienst“-Geschäftsmodell arbeiten.

 
  • Seit dem ersten Auftauchen im Jahr 2019 hat LockBit verschiedene Sektoren ins Visier genommen, einschließlich Finanzdienstleistungen, Gesundheitswesen und Fertigung. Diese Ransomware ist für ihre Fähigkeit bekannt, sich selbst in Netzwerken zu verbreiten, was sie besonders gefährlich macht. Die Partner von LockBit waren für zahlreiche hochkarätige Angriffe verantwortlich, bei denen ausgeklügelte Techniken zur Verschlüsselung von Daten und zur Forderung von Lösegeld eingesetzt wurden. 
  • Angriffe mit BlackByte umfassen häufig doppelte Erpressung, bei der Cyberkriminelle Daten verschlüsseln und exfiltrieren und mit der Veröffentlichung gestohlener Daten drohen, wenn kein Lösegeld bezahlt wird. Diese Ransomware wurde für Angriffe auf kritische Infrastrukturen verwendet, einschließlich Behörden und Finanzdienstleistungen.
  • Die Gruppe hinter der Hive-Ransomware, die zwischen Juni 2021 und Januar 2023 aktiv war, verwendete doppelte Erpressung und zielte in der Regel auf öffentliche Einrichtungen und kritische Infrastrukturen ab, einschließlich Gesundheitseinrichtung. In einem bedeutenden Sieg gegen die Cyberkriminalität infiltrierte das FBI im Jahr 2022 das Netzwerk von Hive, erbeutete Entschlüsselungsschlüssel und verhinderte Lösegeldforderungen in Höhe von über 130 Millionen US-Dollar. 
  • Die Akira-Ransomware ist eine hochentwickelte Malware, die seit Anfang 2023 aktiv ist und sowohl Windows- als auch Linux-Systeme angreift. Böswillige Akteure verwenden Akira, um ersten Zugriff über Sicherheitsrisiken in VPN-Diensten zu erhalten, insbesondere solche ohne Multi-Faktor-Authentifizierung. Seit seinem Auftauchen hat Akira mehr als 250 Organisationen angegriffen und rund 42 Millionen US-Dollar an Ransomware-Erlösen gefordert.
 
Prävention

Präventions- und Schutzstrategien gegen Ransomware

Schützen Ihrer Endpunkte und Clouds

Prävention ist der beste Schutz. Viele Ransomware-Angriffe können mit einer vertrauenswürdigen Lösung für Erkennung und Reaktion am Endpunkt wie z. B. Microsoft Defender for Endpoint identifiziert und blockiert werden. Lösungen für Extended Detection and Response (XDR), wie z. B. Microsoft Defender XDR, gehen über den Endpunktschutz hinaus, um Sie beim Schützen Ihrer Geräte, E-Mails, Apps für die Zusammenarbeit und Identitäten zu unterstützen. Und da so viele Geschäfte in der Cloud abgewickelt werden, ist es wichtig, Ihre gesamte Cloud-Infrastruktur und die Apps mit einer Lösung wie Microsoft Defender for Cloud zu schützen.

Regelmäßige Schulungen abhalten

Informieren Sie Ihre Mitarbeiter in regelmäßigen Schulungen darüber, wie sie die Anzeichen von Phishing- und anderen Ransomware-Angriffen erkennen können. Um das Gelernte zu festigen und Möglichkeiten für zusätzliche Schulungen zu ermitteln, sollten Sie regelmäßig Phishing-Simulationen durchführen. Auf diese Weise können Ihre Mitarbeiter sicherere Praktiken für die Arbeit erlernen und lernen, wie sie auch bei der Nutzung ihrer privaten Geräte sicherer sind.

Zero Trust-Modell einführen

Ein Zero Trust-Modell geht davon aus, dass jede Zugriffsanforderung, auch wenn sie von innerhalb des Netzwerks kommt, eine potenzielle Bedrohung darstellt. Zu den Zero-Trust-Prinzipien gehören die explizite Überprüfung durch kontinuierliche Authentifizierung, das Erzwingen des Zugriffs mit den geringsten Rechten zur Minimierung von Berechtigungen und die Annahme von Sicherheitsverletzungen durch die Implementierung starker Eingrenzungs- und Überwachungsmaßnahmen. Durch diese zusätzliche Kontrolle sinkt die Wahrscheinlichkeit, dass eine bösartige Identität oder ein bösartiges Gerät auf Ressourcen zugreift und Ransomware installiert.

 Gruppen für den Informationsaustausch beitreten

Gruppen für den Informationsaustausch, die häufig nach Branchen oder geografischen Standorten organisiert sind, ermutigen ähnlich strukturierte Organisationen, gemeinsam an Lösungen für die Cybersicherheit zu arbeiten. Die Gruppen bieten Unternehmen außerdem verschiedene Vorteile, wie z. B. Incident Response und digitale forensische Dienste, Threat Intelligence sowie Überwachung von öffentlichen IP-Adressbereichen und -Domänen.

Offlinesicherungen pflegen

Einige Ransomware wird versuchen, Onlinesicherungen zu finden und zu löschen, und es ist ratsam, eine aktuelle Offlinesicherung vertraulicher Daten zu erstellen und regelmäßig zu testen, um sicherzustellen, dass sie wiederhergestellt werden kann, falls Sie jemals von einem Ransomware-Angriff betroffen sind.

Software auf dem aktuellen Stand halten

Achten Sie darauf, dass Sie nicht nur alle Antischadsoftwarelösungen auf dem neuesten Stand halten, sondern auch alle anderen Systemupdates und Softwarepatches herunterladen und installieren, sobald sie verfügbar sind. So lassen sich Sicherheitsrisiken minimieren, über die sich Cyberkriminelle Zugang zu Ihrem Netzwerk oder Ihren Geräten verschaffen könnten.

Incident Response-Plan erstellen

Ein Incident Response-Plan gibt Ihnen die Schritte vor, die Sie in verschiedenen Angriffsszenarien durchführen müssen, damit Sie so schnell wie möglich wieder normal und sicher arbeiten können.

Reaktion auf einen Ransomware-Angriff

Wenn Sie Opfer eines Ransomware-Angriffs geworden sind, gibt es verschiedene Möglichkeiten, um Abhilfe zu schaffen und die Ransomware zu entfernen.

Infizierte Daten isolieren
Isolieren Sie so schnell wie möglich die kompromittierten Daten, um zu verhindern, dass sich die Ransomware auf weitere Netzwerkbereiche ausbreiten kann.

Antivirenprogramm ausführen
Nachdem Sie infizierte Systeme isoliert haben, verwenden Sie ein Antivirenprogramm, um die Ransomware zu entfernen.

Dateien entschlüsseln oder Sicherungen wiederherstellen
Verwenden Sie nach Möglichkeit Entschlüsselungswerkzeuge, die von Strafverfolgungsbehörden oder Sicherheitsexperten bereitgestellt werden, um Dateien zu entschlüsseln, ohne das Lösegeld zu bezahlen. Wenn keine Entschlüsselung möglich ist, stellen Sie Dateien aus Ihren Sicherungen wieder her.

Angriff melden
Wenden Sie sich an Ihre lokalen oder bundesstaatlichen Strafverfolgungsbehörden, um den Angriff zu melden. Im USA sind dies Ihre lokale FBI-Außenstelle, das IC3 oder der Secret Service. Dieser Schritt wird wahrscheinlich keines Ihrer unmittelbaren Probleme lösen, ist aber dennoch wichtig, da diese Behörden verschiedene Angriffe aktiv nachverfolgen und überwachen. Die Bereitstellung von Details zu Ihrer Erfahrung könnte bei der Suche nach einem Cyberkriminellen oder einer Gruppe von Cyberkriminellen und deren Strafverfolgung nützlich sein.

Vorsicht bei der Bezahlung von Lösegeld
Obwohl es verlockend sein mag, das Lösegeld zu zahlen, gibt es keine Garantie dafür, dass die Cyberkriminellen ihr Wort halten und Ihnen Zugang zu Ihren Daten gewähren. Sicherheitsexperten und Strafverfolgungsbehörden empfehlen den Betroffenen von Ransomware-Angriffen, das geforderte Lösegeld nicht zu zahlen, da dies die Opfer für künftige Bedrohungen anfällig machen und eine kriminelle Industrie aktiv unterstützen würde.
RESSOURCEN 

Microsoft Security erkunden

Schützen Sie Ihre Organisation vor komplexer Ransomware mit einheitlichen KI-gesteuerten Bedrohungsschutzlösungen und bewährten Best Practices.
Eine Frau in einem grünen Hemd schaut auf einen Computer.
Lösung

Schützen vor Ransomware

Decken Sie komplexe Cyberangriffe in Ihrer Multicloud- und Multiplattformumgebung auf, und reagieren Sie darauf.
Mehr erfahren
Ein Mann sitzt an einem Schreibtisch mit einem Laptop.
Lösung

Besiegen Sie Bedrohungen mit KI-gesteuerten, einheitlichen SecOps

Rufen Sie XDR und Security Information & Event Management ab – alles auf einer einzigen Plattform.
Mehr erfahren
Ein Laptop auf einem Tisch.
Produkt

Schützen Ihres gesamten Unternehmens mit Microsoft Defender XDR

Schützen Sie Ihre Endpunkte, Identitäten, Cloud-Apps und Daten vor Cyberangriffen.
Mehr erfahren
Ein Mann mit Brille und Bart hält Papiere vor einem Laptop.
Produkt

Schützen Sie Ihr kleines Unternehmen mit Microsoft Defender for Business

Schützen Sie sich vor raffinierten Ransomware-Angriffen auf allen Geräten mit Antivirensoftware der nächsten Generation und KI-gesteuerter Erkennung und Reaktion am Endpunkt der Enterprise-Klasse.
Mehr erfahren
Eine Frau und ein Mann schauen auf einen Laptop.
Bedrohungsschutzportal

Neuigkeiten zu Cybersicherheit und KI

Entdecken Sie die neuesten Trends und Best Practices im Bereich Schutz vor Cyberbedrohungen und KI-Sicherheit.
Aktuelle Ressourcen abrufen
Zurück zum Abschnitt RESSOURCEN

Häufig gestellte Fragen

  • Ransomware ist eine Art von Malware, die wertvolle Daten verschlüsselt und eine Lösegeldzahlung für die Entschlüsselung verlangt.
  • Leider kann fast jeder, der online präsent ist, Opfer eines Ransomware-Angriffs werden. Sowohl persönliche Geräte als auch Unternehmensnetzwerke geraten häufig ins Visier von Cyberkriminellen.
  • Bei herkömmlichen Ransomware-Angriffen wird eine Person dazu gebracht, auf schädliche Inhalte zuzugreifen, z. B. durch das Öffnen einer infizierten E-Mail oder den Besuch einer schädlichen Website, die dann Ransomware auf dem Gerät installiert.
    Hinter einem menschlich gesteuerten Ransomware-Angriff steht eine Gruppe von Angreifern, die es auf die vertraulichen Daten eines Unternehmens abgesehen haben. Dazu nutzen sie in der Regel gestohlene Anmeldeinformationen.
    Eines haben Social-Engineering-Ransomware und menschlich gesteuerte Ransomware gemeinsam: Das Opfer oder das Unternehmen erhalten eine Lösegeldforderung, in der die gestohlenen Daten und zu zahlende Summe für die Rückgabe aufgelistet sind. Die Zahlung des Lösegelds ist jedoch keine Garantie dafür, dass die Daten tatsächlich zurückgegeben werden oder dass künftige Sicherheitsverletzungen verhindert werden.
  • Die Auswirkungen eines Ransomware-Angriffs können verheerend sein. Sowohl Einzelpersonen als auch Unternehmen könnten sich gezwungen sehen, hohe Lösegelder zu zahlen – auch wenn es keine Garantie für die Rückgabe ihrer Daten oder das Ausbleiben weiterer Angriffe gibt. Wenn Cyberkriminelle die vertraulichen Informationen eines Unternehmens öffentlich machen, könnten der Ruf des Unternehmens und dessen Vertrauenswürdigkeit beschädigt werden. Und je nach Art der durchgesickerten Informationen und der Größe der Organisation könnten Tausende von Personen dem Risiko ausgesetzt sein, Opfer von Identitätsdiebstahl oder anderer Cyberverbrechen zu werden.
  • Cyberkriminelle, welche die Geräte ihrer Opfer mit Ransomware infizieren, haben es auf Geld abgesehen. Sie erpressen Lösegeld vorzugsweise in Kryptowährungen, weil die Zahlungen anonym und nicht zurückverfolgbar sind. Wenn eine Einzelperson betroffen ist, kann das Lösegeld Hunderte oder Tausende von US-Dollar betragen. Von Menschen betriebene Ransomware-Kampagnen verlangen häufig Millionen von US-Dollar.
  • Die Opfer sollten Ransomware-Angriffe bei ihren örtlichen oder bundesstaatlichen Strafverfolgungsbehörden melden. Im USA sind dies Ihre lokale FBI-Außenstelle, das IC3 oder der Secret Service. Sicherheitsexperten und Strafverfolgungsbehörden empfehlen, kein Lösegeld zu bezahlen – eenn Sie bereits bezahlt haben, sollten Sie sich sofort an Ihre Bank und die örtlichen Behörden wenden. Ihre Bank kann die Zahlung möglicherweise sperren, wenn Sie mit einer Kreditkarte bezahlt haben.

Microsoft Security folgen