people4.net GmbH

Ransomware sind Computerprogramme, mit dessen Hilfe ein Eindringling private Daten auf einem fremden Computer verschlüsseln kann, um für die Entschlüsselung ein „Lösegeld“ zu fordern. Ihre Bezeichnung setzt sich aus der Zugehörigkeit zu der Klasse der Malware sowie der englischen Bezeichnung für Lösegeld (ransom) zusammen.

Die Idee geht auf das Jahr 1989 zurück, als der Schädling AIDS TROJAN DISK mit Hilfe einer infizierten Diskette Daten verschlüsselte. Der Autor dieses Schädlings konnte jedoch überführt werden und wurde zu einer Haftstrafe verurteilt. Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, ist der Trojaner TROJ_PGPCODER.A, der mehrere hundert US-$ zur Entschlüsselung forderte.

Ein - aus Sicht des Angreifers - entscheidender Nachteil von Ransomware ist der Kontakt zum Opfern zur Lösegeldforderung und -bezahlung, wobei selbst diese digital erfolgen kann, bspw. über Online-Bezahldienste wie PayPal. Daher gehen die Expertenmeinungen auseinander, ob sich Ransomware zu einem Massenphänomen ausbreiten könnte.

Ransomware kann auf verschiedenen Wegen auf einen Computer gelangen. Zu diesen zählen präparierte E-Mail-Anhänge wie bspw. trojanische Pferde, die mittels Computerwürmen versendet werden, die Ausnutzung von Sicherheitslücken in Webbrowsern oder das Fehlen einer Firewall. Nachdem ein Computer befallen ist, sucht sich die Ransomware geeignete Daten zur „Entführung“. Zumeist werden Briefe, Rechnungen und andere mit Office-Anwendungen erstellte Dokumente, die sich in Windows-Systemen in der Regel im Ordner „Eigene Dateien“ befinden, verschlüsselt. Grundsätzlich kommen als Ziel alle Dateien in Frage, die für den Besitzer des Computers eine hohe Wichtigkeit aufweisen und nicht wiederbringbar sind, wozu u.a. auch E-Mails, Datenbanken, Archive und Fotos zu zählen sind. Diese Dateien werden nun verschlüsselt, so dass der Benutzer keinen Zugriff auf ihre Inhalte mehr besitzt. Im Gegensatz zu Spyware werden hier also keine großen Datenmengen verschoben. Üblicherweise löscht sich die Ransomware nach der Verschlüsselung der Dateien selber, um die Analyse des Schädlings zu erschweren.

Um erneut Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, wird der geschädigte Benutzer von dem Eindringling aufgefordert, entweder eine E-Mail an eine bestimmte E-Mail-Adresse zu senden bzw. eine Webseite aufzurufen. In beiden Fällen wird eine Software zur Entschlüsselung der Daten bzw. die Zusendung des benötigten Passworts angeboten, wofür zuvor eine Bezahlung erfolgen muss. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden. Um dem Opfer die Möglichkeit zu nehmen, sich Hilfe zum Thema Informationsicherheit aus dem Internet zu holen, kann es zu Manipulationen an der Hosts-Datei kommen, so dass der Zugang zu solchen Webseiten maßgeblich eingeschränkt wird.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in solchen Fällen nicht auf die Forderungen einzugehen. Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich.

Der Schädling TROJ_PGPCODER.A nutzt eine RSA 260-bit Verschlüsselung, die nach Meinung von Experten derzeit nicht zu knacken sei. Daher ist es ratsam, vorbeugende Maßnahmen zur Abwehr von Ransomware zu treffen. Hierzu zählen der Betrieb einer stets aktuell zu haltenden Anti-Viren-Software sowie verfügbare Updates des verwendeten Betriebssystems und Webbrowsers zu installieren. Zudem sollten E-Mail-Anhängen von unbekannten Absendern ein gesundes Misstrauen entgegengebracht und diese ungeöffnet gelöscht werden.

Zusätzlich sollten wichtige Daten in regelmäßigen Abständen auf externe Datenträger wie bspw. CD-ROMs oder DVDs gesichert werden, zu denen Ransomware keinen Zugriff erlangen kann. Ein solches Back-up schützt zugleich vor anderen Ursachen für Datenverluste wie bspw. Head-Crashs als Funktionsfehler von Festplatten.