Die Einschätzung der Cyber Academy
Ransomware ist die Malware-Klasse, die Daten verschlüsselt und eine Zahlung für den Schlüssel fordert, häufig kombiniert mit Datendiebstahl und Erpressung (Double Extortion). Angriffsvektoren: Phishing, exponierte Systeme mit Internetzugang, Lieferkette. Versicherungen leisten weniger, Aufsichtsbehörden prüfen genauer. Das Ergebnis hängt von der Vorbereitung ab (Backups, Segmentierung, IR-Plan), nicht von der Verhandlung.
Was Ransomware wirklich ist und warum die Verschlüsselung der einfache Teil ist
Ransomware ist Schadsoftware, die sich etwas aneignet, das Sie brauchen, und Sie zur Zahlung zwingt, um es zurückzubekommen. Der klassische Mechanismus ist die Verschlüsselung: Die Schadsoftware verschlüsselt die Dateien auf den Systemen, die sie erreicht, und bietet den Entschlüsselungsschlüssel im Austausch gegen eine Zahlung an, in der Regel in Kryptowährung. Doch Ransomware als ein Verschlüsselungsproblem zu behandeln, übersieht, was sie so verheerend macht.
Die Verschlüsselung ist das sichtbare Symptom eines Eindringens, das oft schon seit Tagen oder Wochen läuft. Bevor eine einzige Datei gesperrt wird, hat ein Angreifer typischerweise einen ersten Zugang erlangt, Privilegien ausgeweitet, sich seitlich durch das Netzwerk bewegt, die wichtigen Systeme lokalisiert und häufig die Daten nach außen kopiert. Die Sperrung am Ende ist schlicht der Moment, in dem der Betreiber beschließt, diesen Zugang in Geld umzuwandeln.
Diese Abfolge erklärt, warum es bei den schlimmsten Ransomware-Vorfällen nicht mehr nur um verschlüsselte Dateien geht. Die Betreiber lernten, dass ein Opfer mit guten Backups die Zahlung verweigern und wiederherstellen konnte, also fügten sie einen zweiten Hebel hinzu: zuerst die Daten stehlen, dann mit deren Veröffentlichung drohen. Das ist die doppelte Erpressung, und sie verändert das Kalkül vollständig.
Selbst eine Organisation, die sauber aus einem Backup wiederherstellt, steht weiterhin vor der Aussicht, dass vertrauliche Daten, Kundendaten oder Verträge auf einer öffentlichen Seite veröffentlicht werden. Manche Gruppen gehen mit zusätzlichem Druck weiter, indem sie Kunden oder Aufsichtsbehörden direkt kontaktieren oder einen Denial-of-Service-Angriff hinzufügen. Bei der Verhandlung, sofern es eine gibt, geht es nicht wirklich um einen Entschlüsselungsschlüssel. Es geht darum, ob die gestohlenen Daten privat bleiben.
Wie sie hineingelangt und warum die Aufsichtsbehörde sich nun dafür interessiert
Der Weg hinein ist selten exotisch. Die dominierenden Vektoren sind die unspektakulären: eine Phishing-E-Mail, die einen Loader ausliefert oder Anmeldedaten abgreift, ein ins Internet exponierter Dienst, der ungeschützt oder ungepatcht bleibt, ein schwaches oder wiederverwendetes Passwort für den Fernzugriff und die Lieferkette, bei der ein vertrauenswürdiger Anbieter oder eine vertrauenswürdige Software zum Weg in Ihr Netzwerk wird. Nichts davon erfordert einen neuartigen Exploit. Es erfordert eine offene Tür, weshalb Exposure-Management und Identitätshygiene mehr zur Verringerung des Ransomware-Risikos beitragen als jedes einzelne Produkt.
Ein Ransomware-Vorfall ist heute ein regulatorisches Ereignis, nicht nur ein technisches. Da der Angriff fast immer einen Datendiebstahl umfasst, löst er in der Regel die Pflichten bei Verletzungen des Schutzes personenbezogener Daten nach der GDPR aus, was eine Bewertung der Meldung an die Aufsichtsbehörde und in schwerwiegenden Fällen an die betroffenen Personen bedeutet. Betreiber wesentlicher und wichtiger Dienste unterliegen sich überschneidenden Meldepflichten für Vorfälle nach der Richtlinie NIS2.
Nationale Behörden wie ANSSI und ENISA veröffentlichen Leitlinien gerade deshalb, weil dasselbe Vorgehen immer wieder funktioniert. Die praktische Folge für eine Risikofunktion ist, dass der Reaktionsplan den rechtlichen und meldebezogenen Strang von der ersten Stunde an einschließen muss, parallel zur technischen Wiederherstellung durchgeführt und nicht im Nachhinein angefügt.
Der Ausgang wird vor dem Angriff entschieden, nicht während der Lösegeldforderung
Der wichtigste Gedanke für Praktiker ist, dass das Ergebnis eines Ransomware-Vorfalls weitgehend durch die Arbeit bestimmt wird, die lange vorher geleistet wurde. Eine Organisation, die schnell aus sauberen, getesteten, offline gehaltenen oder unveränderlichen Backups wiederherstellen kann, kann sich weigern, für einen Schlüssel zu zahlen. Eine, deren Backups vom selben Netzwerk aus erreichbar und daher zusammen mit allem anderen verschlüsselt wurden, hat diese Option nicht.
Die Netzwerksegmentierung begrenzt, wie weit sich ein Eindringen ausbreiten kann, bevor es die wichtigen Systeme erreicht. Eine starke Authentifizierung beim Fernzugriff und bei der E-Mail schließt die häufigsten Eingangstüren. Eine Erkennung, die Seitwärtsbewegungen erfasst, gewinnt die Stunden, die einen eingedämmten Vorfall von einem unternehmensweiten Verschlüsselungsereignis trennen.
Was kompetente Teams also tatsächlich tun, ist, in die Vorab-Aufstellung zu investieren statt in Verhandlungsgeschick. Sie halten Backups, die vom Produktionsdomäne isoliert, im Ruhezustand verschlüsselt und nach einem Zeitplan wiederhergestellt werden, sodass die Wiederherstellung nachgewiesen und nicht nur angenommen wird. Sie segmentieren Netzwerke, damit eine kompromittierte Arbeitsstation den Backup-Server oder die Domänencontroller nicht ungehindert erreichen kann.
Sie pflegen einen Vorfallreaktionsplan, der Rollen, Entscheidungsträger, externe Forensik und Rechtsberatung sowie den Meldeweg benennt, und sie üben ihn ein. Hier verbindet sich Ransomware unmittelbar mit dem Business-Continuity-Management und der Notfallwiederherstellung: Die Wiederherstellungszeit und der Wiederherstellungspunkt, die eine Organisation tatsächlich erreichen kann, getestet an einem realistischen Szenario, sind der Unterschied zwischen einer schlimmen Woche und einer existenziellen Krise.
Frequently asked questions
01Was ist doppelte Erpressung bei Ransomware?
Doppelte Erpressung liegt vor, wenn Angreifer Daten stehlen, bevor sie sie verschlüsseln, und dann drohen, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, zusätzlich dazu, den Entschlüsselungsschlüssel zurückzuhalten. Sie hebelt die Backup-Verteidigung aus: Selbst ein Opfer, das sauber wiederherstellt, steht weiterhin vor dem Abfluss vertraulicher Daten, weshalb es beim Druck nicht mehr nur darum geht, die Dateien zurückzubekommen.
02Sollten wir das Lösegeld zahlen?
Das ist eine rechtliche und risikobezogene Entscheidung, keine technische, und sie sollte mit anwaltlicher Beratung getroffen werden. Eine Zahlung kann einen Schlüssel liefern, macht aber die Datenschutzverletzung und ihre Meldepflichten nicht ungeschehen, die Daten können trotzdem veröffentlicht werden, und die Zahlung an eine sanktionierte Einrichtung birgt ein eigenes rechtliches Risiko. Die meisten Behörden, darunter ANSSI, raten von einer Zahlung ab.
03Schützen uns Backups vor Ransomware?
Gute Backups sind die stärkste einzelne Verteidigung, aber nur, wenn sie isoliert, unveränderlich oder offline sind und regelmäßig durch eine tatsächliche Wiederherstellung getestet werden. Vom Produktionsnetzwerk aus erreichbare Backups werden routinemäßig im selben Angriff verschlüsselt. Und gegen die doppelte Erpressung lassen Backups Sie zwar wiederherstellen, verhindern aber nicht den Abfluss gestohlener Daten.
04Ist ein Ransomware-Angriff eine meldepflichtige Datenschutzverletzung?
In der Regel ja. Da moderne Ransomware fast immer einen Datendiebstahl umfasst, löst sie typischerweise die Pflichten bei Verletzungen des Schutzes personenbezogener Daten nach der GDPR aus und, für wesentliche und wichtige Einrichtungen, die Meldung von Vorfällen nach NIS2. Die Bewertung der Meldung sollte in der ersten Stunde beginnen, parallel zur technischen Wiederherstellung.
05Wie gelangt Ransomware üblicherweise in eine Organisation?
Durch gewöhnliche Türen: Phishing, das Schadsoftware ausliefert oder Anmeldedaten stiehlt, ins Internet exponierte Systeme, die ungeschützt oder ungepatcht sind, schwache oder wiederverwendete Passwörter für den Fernzugriff und die Lieferkette. Sie braucht selten einen neuartigen Exploit, weshalb Identitätshygiene und Exposure-Management das Risiko stärker verringern als jedes einzelne Werkzeug.