Ransomware
Schadsoftware, die Daten verschlüsselt und Lösegeld für deren Freigabe erpresst.
Ransomware ist eine Form von Schadsoftware, die Dateien und Systeme verschlüsselt und den Zugriff blockiert, bis ein Lösegeld gezahlt wird. Was früher als einfache Erpressungstrojaner begann, hat sich zu einem professionellen Geschäftsmodell entwickelt — mit Ransomware-as-a-Service (RaaS), spezialisierten Verhandlungsteams und mehrstufigen Erpressungsstrategien.
Ablauf eines Ransomware-Angriffs
Ein typischer Ransomware-Angriff verläuft in klar definierten Phasen. Zwischen dem initialen Zugriff und der Verschlüsselung vergehen oft Tage oder Wochen, in denen sich Angreifer unbemerkt im Netzwerk bewegen.
| Phase | Beschreibung | Typische Methoden |
|---|---|---|
| Initial Access | Erster Zugang zum Netzwerk | Phishing, exponierte RDP-Dienste, VPN-Schwachstellen |
| Persistence | Dauerhafter Zugang sichern | Backdoors, Scheduled Tasks, Registry-Manipulation |
| Lateral Movement | Ausbreitung im Netzwerk | Pass-the-Hash, Kerberoasting, RDP |
| Exfiltration | Daten vor Verschlüsselung stehlen | Cloud-Upload, DNS-Tunneling |
| Encryption | Verschlüsselung der Systeme | AES/RSA-Verschlüsselung, Löschen von Backups |
| Extortion | Erpressung und Verhandlung | Lösegeldforderung, Leak-Drohung, DDoS |
Einfache, doppelte und dreifache Erpressung
Klassische Ransomware verschlüsselt nur Daten. Bei doppelter Erpressung werden Daten zusätzlich gestohlen und mit Veröffentlichung gedroht — selbst wenn Backups vorhanden sind, bleibt der Schaden. Dreifache Erpressung erweitert dies um Angriffe auf Kunden und Partner des Opfers oder DDoS-Attacken, um den Druck weiter zu erhöhen.
Warum KMUs besondere Ziele sind
Kleine und mittlere Unternehmen verfügen oft über weniger ausgereiften Schutz als Konzerne, besitzen aber dennoch wertvolle Daten und haben einen hohen Leidensdruck bei Betriebsunterbrechungen. Angreifer kalkulieren, dass KMUs eher zahlen, weil sie sich längere Ausfallzeiten schlicht nicht leisten können. Gleichzeitig fehlen häufig dedizierte Security-Teams für schnelle Incident Response.
Prävention
Wirkungsvoller Schutz vor Ransomware basiert auf mehreren Ebenen: regelmäßige, getestete Offline-Backups nach der 3-2-1-Regel, Netzwerksegmentierung zur Eindämmung von Lateral Movement, konsequentes Patch-Management für Betriebssysteme und Anwendungen, Endpoint Detection and Response (EDR) für die frühzeitige Erkennung verdächtiger Aktivitäten, und Privileged Access Management zur Absicherung administrativer Konten.
Incident Response
Wenn Ransomware zuschlägt, entscheidet die Reaktionsgeschwindigkeit über das Ausmaß des Schadens. Infizierte Systeme müssen sofort isoliert werden, ohne sie herunterzufahren — forensische Spuren gehen sonst verloren. Ein vorbereiteter Incident-Response-Plan mit klaren Zuständigkeiten, Kommunikationswegen und vorab getesteten Wiederherstellungsprozeduren ist entscheidend.
Relevanz für KMUs
Ransomware ist eine der größten Bedrohungen für den Mittelstand. Ohne getestete Backups und einen Notfallplan kann ein einziger Angriff existenzbedrohend sein. Die Investition in präventive Maßnahmen — von Schwachstellenprüfungen über Zero Trust bis hin zu SIEM-Monitoring — ist in jedem Fall günstiger als die Folgen eines erfolgreichen Angriffs.