Wie du Lösegeldforderungen durch Ransomware vermeiden kannst

Wie du Lösegeldforderungen durch Ransomware vermeiden kannst

Sogenannte Ransomware-Angriffe sind derzeit in den Medien präsenter als je zuvor. Das liegt auch an den Auswirkungen, denn durch diese Erpressungs-Trojaner werden Daten auf Festplatten verschlüsselt und Computersysteme damit unbrauchbar gemacht. Verbreitet sich solch ein Trojaner im gesamten Netzwerk eines Unternehmens oder einer Institution, so wird meist der komplette Betrieb lahmgelegt. Und genau solche Schreckensmeldungen von Konzernen oder Behörden sind schon fast täglich in den Nachrichten zu lesen.

Allen voran auch die hohen Lösegeldforderungen der Hacker für die Freigabe und Entschlüsselung der Unternehmens-Daten. Doch welches auch kleinere Unternehmen kann es sich leisten solch hohen Forderungen nachzukommen? Oder noch schlimmer, den Datenverlust für immer zu akzeptieren. Meist kommen die Ideen einer Vermeidungsstrategie erst wenn es schon zu spät ist.

Doch dabei ist es deutlich einfacher und auch weniger kostenintensiv, präventive Maßnahmen aufzusetzen und die eigene IT-Infrastruktur von IT-Sicherheits-Spezialisten prüfen und absichern zu lassen. Doch wie lassen sich Zahlungen an die Erpresser vermeiden, ohne vorherigen Sicherheits-Check?

Das gelingt nur mit einer ordnungsgemäßen Datensicherung. Doch auch dann kann man sich nicht immer aus den Fängen der Hacker befreien, denn es lauern Gründe, dass die Datensicherung eben doch nicht den gewünschten Erfolg bringt. Denn es geht darum, warum die Opfer immer noch für einen Schlüssel zur vermeintlichen Entschlüsselung ihrer Systeme bezahlen, obwohl sie die Möglichkeit haben, alles aus eigenen Backups wiederherzustellen.

Nach Ansicht von Experten liegt der Hauptgrund dafür, dass die Opfer von Ransomware oder ihre Versicherer auch dann noch zahlen, wenn sie bereits über zuverlässige Backups verfügen, darin, dass sich niemand im Unternehmen des Opfers die Mühe gemacht hat, im Voraus zu testen, wie lange die Datenwiederherstellung dauern könnte.


„In vielen Fällen haben die Unternehmen zwar Backups, aber sie haben noch nie versucht, ihr Netzwerk anhand von Backups wiederherzustellen, so dass sie keine Ahnung haben, wie lange es dauern wird“, sagt Fabian Wosar, Chief Technology Officer bei Emsisoft. „Plötzlich bemerkt das Opfer, dass es einige Petabytes an Daten über das Internet wiederherstellen muss und stellt fest, dass es selbst mit einer schnellen Verbindung drei Monate dauern wird, um all diese Backup-Dateien herunterzuladen. Viele IT-Teams machen nicht einmal eine Rückwärtsrechnung, wie lange die Wiederherstellung aus Sicht der Datenrate dauern würde.

Wosar sagte, dass das nächste häufigste Szenario Opfer betrifft, die verschlüsselte Backups ihrer Daten außerhalb des Standorts haben, aber entdecken, dass der digitale Schlüssel, der zum Entschlüsseln ihrer Backups benötigt wird, auf demselben lokalen File-Sharing-Netzwerk gespeichert wurde, das von der Ransomware verschlüsselt wurde.

Das dritte häufige Hindernis, das die Opfer daran hindert, sich auf ihre Backups zu verlassen, ist, dass die Ransomware-Angreifer es schaffen, auch die Backups zu beschädigen.

„Das ist immer noch eher selten“, so Wosar. „Es kommt zwar vor, aber es ist eher die Ausnahme als die Regel. Leider ist es immer noch recht häufig, dass Backups in irgendeiner Form vorhanden sind und einer dieser drei Gründe verhindert, dass sie von Nutzen sind.“

Bill Siegel, CEO und Mitbegründer von Coveware, einem Unternehmen, das Ransomware-Zahlungen für Opfer aushandelt, sagte, dass die meisten Unternehmen, die zahlen, entweder nicht über ordnungsgemäß konfigurierte Backups verfügen oder ihre Ausfallsicherheit bzw. die Fähigkeit zur Wiederherstellung ihrer Backups gegen das Ransomware-Szenario nicht getestet haben.

„Oder es gibt viele Softwareanwendungen, die Sie für die Wiederherstellung verwenden, und einige dieser Anwendungen befinden sich in Ihrem Netzwerk, das verschlüsselt wurde“, so Siegel weiter. „Also denkt man sich: ‚Na toll. Wir haben Backups, die Daten sind da, aber die Anwendung für die eigentliche Wiederherstellung ist verschlüsselt“. Es gibt also all diese kleinen Dinge, die einen daran hindern können, eine Wiederherstellung durchzuführen, wenn man keine Übung hat.“

Wosar sagte, dass alle Unternehmen sowohl ihre Backups testen als auch einen Plan für die Priorisierung der Wiederherstellung kritischer Systeme entwickeln müssen, die für den Wiederaufbau ihres Netzwerks erforderlich sind.

Wosar sagte, es sei wichtig, dass Unternehmen ihre Pläne für die Reaktion auf Sicherheitsverletzungen in regelmäßigen Testszenarien erproben und ihre Pläne zu verfeinern. Wenn das Unternehmen beispielsweise physischen Zugang zu seinem Remote-Backup-Rechenzentrum hat, könnte es sinnvoller sein, Prozesse für den physischen Transport der Backups an den Wiederherstellungsort zu entwickeln, sagte er.

Viele Opfer sehen sich damit konfrontiert, ihr Netzwerk auf eine Art und Weise wiederherstellen zu müssen, mit der sie nicht gerechnet haben. Und das ist normalerweise nicht der beste Zeitpunkt, um diese Art von Plänen zu entwickeln. Aus diesem Grund sind Testszenarien wichtig und am besten durch die Unterstützung von IT-Sicherheitsexperten. Wir empfehlen, einen vollständigen Notfallplan zu erstellen, damit Sie wissen, was Sie tun müssen, um sich von einem Ransomware-Angriff zu erholen.

Gerne unterstützen wir bei der Überprüfung der IT-Infrastruktur, sowie der Erstellung von IT-Notfallplänen. Vereinbaren Sie deshalb heute noch ein kostenloses Erstgespräch.