Erpressung durch Verschlüsselung: So schützt man sich

Wie funktioniert Ransomware?

Ransomware sind Trojaner, also Schadprogramme, die sich in scheinbar harmlosen Dateien verstecken. Sie können in E-Mail-Anhängen, Software-Downloads oder auch in den Werbebannern von unseriösen Webseiten versteckt sein. Einmal aktiviert, beginnen sie, Dateien auf dem PC zu verschlüsseln. Aufgrund dieser Funktion werden sie auch oft als Krypto-Trojaner bezeichnet.

Wie verbreitet ist Ransomware?

Genaue Zahlen gibt es nicht. Doch laut einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) war im April 2016 jedes dritte deutsche Unternehmen in den vergangenen sechs Monaten von Ransomware betroffen. Die Bedrohung ist so akut, dass das BSI dazu ein umfangreiches Themenpapier mit Tipps und Vorgehensweisen veröffentlichte. Dennis Schirrmacher von Heise Security berichtet davon, dass Ransomware das derzeit bestimmende Thema in Hilfe-Foren und Hotlines ist: "Es ist für die Kriminellen dahinter so erfolgreich, dass es momentan alle anderen Themen an den Rand drängt."

Wie kann man sich davor schützen?

Für Chris Wojzechowski vom Institut für Internet-Sicherheit in Gelsenkirchen kommt es in erster Linie auf den richtigen Basisschutz an. "Eine stets aktuelle Anti-Virussoftware ist Pflicht und erkennt die meisten Schädlinge sofort." Bei E-Mail-Anhängen rät der Experte vor dem Öffnen zu Vorsicht: Kenne ich die Person, die mir diese Datei geschickt hat? Erwarte ich wirklich eine Rechnung von diesem Shop?

Software sollte man möglichst direkt beim Hersteller herunterladen und nicht bei Drittanbietern. Besondere Vorsicht ist bei Download-Portalen geboten, die teure Software extrem günstig oder gar kostenlos anbieten. Das vermeintliche Angebot ist oft eine Falle.

Darüber hinaus raten Experten dringend zu regelmäßigen Backups auf externen Datenträgern. So können die von der Ransomware betroffenen Daten einfach wiederhergestellt werden. Die Datenträger sollten allerdings getrennt vom Rechner aufbewahrt werden.

Was tun, wenn es doch passiert ist?

Ist Ransomware auf den Rechner gelangt, wird sie sich bald bemerkbar machen. Je nach Art erscheint direkt eine Nachricht - oder der PC stürzt erst ab und startet anschließend mit der Hiobsbotschaft. In beiden Fällen ist es sinnvoll, den PC direkt auszuschalten, damit nicht noch weitere Dateien verschlüsselt werden können. Auch die betroffene Festplatte sollte nicht mehr verwendet werden.

Der PC kann mit einer Boot-CD oder einem Boot-Stick neu gestartet werden, wenn im BIOS zuvor ein anderes Laufwerk für den Bootvorgang als die infizierte Festplatte festgelegt wird. So lässt sich zumindest feststellen, welchen Schaden die Ransomware angerichtet hat. Auch kann so eine verschlüsselte Datei gesichert werden, die meist Dateiendungen wie .fun oder .porno tragen.

id-ransomware.malwarehunterteam.com bietet ein Tool an, mit dem man herausfinden kann, um welche Ransomware es sich handelt. Das ist wichtig, denn mit etwas Glück gibt es dagegen schon ein Mittel. Websites wie Botfrei.de des Verbands der Internetwirtschaft e.V. eco sammeln Informationen über Ransomware und mögliche Gegenmittel.

Es gibt kein Gegenmittel - und nun?

Wenn es keine Entschlüsselung für die Ransomware gibt, erwägen manche, dem Erpresser nachzugeben. Davon rät das BSI aber dringend ab. Die Zahlung motiviere die Erpresser nur weiter. Zudem gebe es keine Gewährleistung, dass die Daten wieder entschlüsselt werden.

Das sieht auch Dennis Schirrmacher so: "In vielen uns bekannten Fällen wurde auch nach Zahlung nicht der nötige Schlüssel zugestellt. Die Daten blieben verschlüsselt." Dann bleibt nur, den Fall bei der Polizei anzuzeigen und auf eine künftige Lösung zu hoffen. Mit einem Datenbackup ist aber zumindest nicht alles verloren.