Max Heitkämper: Das ist ein Trend, der sehr, sehr häufig vorkommt und der Grad im Bereich der Cyberkriminalität mit Abstand weltweit den höchsten Schaden verursacht gerade gegenüber von Unternehmen. Wir reden hier nicht mehr von Tausenden oder 1000000 das Milliardenschäden, die hier angerichtet werden.
Dorian Lötzer: Wie ihr gerade gehört habt, geht es heute um ein milliardenschweres Thema: Es geht nämlich um Ransomware. Mein Name ist Dorian Lötzer, willkommen bei Genau Genommen.
Ransomware ist ein Thema, dass ich immer öfter in den Nachrichten sehe – Hacker greifen Firmen, Behörden und Regierungen an und fordern Lösegeld. Weil am 08. Februar Safer Internet Day ist, habe ich mir vorgenommen, hinter die Schlagzeilen zu schauen und zu verstehen, was Ransomware wirklich ist, wie es funktioniert, wer davon betroffen ist und: (am wichtigsten) Wie man sich am besten schützen kann.
Max Heitkämper Um mal gezielt gleich diesen Zungenbrecher zu vermeiden: Man nennt das auch gerne Erpressungs- oder Verschlüsselungstrojaner und darin erkennt man auch schon, was das böse Ding tut. Es ist nämlich eine Schadsoftware, die sich auf ihren Geräten einnisten kann.
Dorian Lötzer: Hier spricht Max Heitkämper, Jurist und Leiter des Fachbereichs Digitales bei der Verbraucherzentrale Rheinland-Pfalz. Er hat mir erklärt, dass unter Ransomware eine Art Software verstanden wird, die mein Gerät sperrt.
Max Heitkämper: Am beliebtesten begegnet einem das natürlich auf Computern und Laptops und diese Schadsoftware sorgt dann dafür, dass sie keinen Zugriff mehr auf Dateien oder meistens auch auf das gesamte System haben, in dem diese Dateien mit einem Algorithmus verschlüsselt werden und nur derjenige, der quasi das Entschlüsselungspasswort für den Algorithmus kennt, der kann diese Entschlüsselung wieder rückgängig machen. Aber da die Täter ihnen das natürlich nicht mitteilen, stehen sie faktisch vor verschlossener Tür.
Dorian Lötzer: Das klingt im ersten Moment natürlich ärgerlich, doch sind unsere Rechner heutzutage so allgegenwärtig, dass wir oft unterschätzen, wie wirklich verheerend das sein kann. Das fängt mit Browsen im Internet an, was man mit dem Handy auch machen kann – also halb so schlimm, wenn der PC jetzt gerade nicht geht. Ganz schnell merkt man vielleicht aber, dass man in das eigene Online-Banking nicht mehr reinkommt. Vielleicht ist das ein oder andere Passwort im Browser gespeichert und man hat zu lange gewartet, ein neues zu vergeben. Ach, da waren ja noch die Urlaubsbilder von 2016, die man nie auf die Festplatte gezogen hat. Und heute Abend mit Freund:innen eine Runde zu zocken, kann man auch gleich vergessen. Und das ist nur auf der persönlichen Ebene. Wenn der Arbeitsrechner betroffen ist, nimmt das Problem ganz andere Ausmaße an. Und es scheint sich stetig zu verschlimmern.
Max Heitkämper: Das ist ein Trend, der sehr, sehr häufig vorkommt und der Grad im Bereich der Cyberkriminalität mit Abstand weltweit den höchsten Schaden verursacht. Gerade gegenüber von Unternehmen. Wir reden hier nicht mehr von Tausenden oder Millionen, das sind Milliardenschäden, die hier angerichtet werden. Das Phänomen ist, so gesehen schon etwas älter. Also die ersten Verschlüsselungsangriffe hat man durchaus schon in den 2010er Jahren beobachtet. Dabei war das noch relativ handgestrickt von der Technik - hat sich damals auch gegen vor allem Verbraucher gerichtet.
Dorian Lötzer: Und ist seitdem zu dem Phänomen gewachsen, das wir heute kennen. Dabei muss man aber anmerken, dass sich der ganze Prozess weiterentwickelt hat.
Max Heitkämper: und die Tätergruppen, wie man das auch in anderen Bereichen der Cyber Kriminalität sieht. Haben sich sehr weit spezialisiert, haben ihre Software weiterentwickelt, gehen mittlerweile arbeitsteilig vor. Also man kann sich das so vorstellen. Eine Gruppe ist dafür zuständig, Opfer auszuspähen und quasi die Schadsoftware einzuschleusen. Eine weitere Gruppe führt dann den eigentlichen Angriff durch. Und eine dritte Gruppe macht dann gerne zum Beispiel auch das Betriebswirtschaftliche, sprich die Abrechnung am Ende - alles schön auf einer organisierten Konzernhand quasi. Und jetzt im Moment finden diese Angriffe natürlich vor allem auf Unternehmen statt, weil man dann noch sehr viel holen kann, weil sehr viele Unternehmen auch noch sehr nachlässig in ihrer eigenen IT-Absicherung sind. Man kann sich aber natürlich ausrechnen, dass, wenn Unternehmen sich in den nächsten Jahren da besser aufgestellt haben, dass diese Tätergruppen sich dann auch einfach weitere Ziele aussuchen werden und dass das dann irgendwann wieder die Verbraucher sind mit ihrer unzureichenden Absicherung das ja wird wohl so sein.
Dorian Lötzer: Wir sprechen hier also nicht unbedingt von dem klassischen Bild eines Hackers in einem dunklen Keller, sondern von professionellen firmenartigen Strukturen, die Ransomware als Geschäftsmodell sehen. Dadurch kommt auch ein ganzer Markt von Erpressern zusammen. Und während immer mehr Firmen und Regierungen massiv in ihre Infrastruktur investieren, um sich in Zukunft besser zu schützen, haben wir als Einzelpersonen weniger Möglichkeiten. Auch deswegen werden wir weiterhin attraktive Ziele für Ransomware-Angriffe sein: Weil es echt relativ leicht ist, uns zu erwischen.
Doch wie passiert sowas überhaupt?
Max Heitkämper: Je nachdem auf welchen Seiten man unterwegs ist und wie man seinen Browser eingestellt hat, also ob dieser Browser beispielsweise Plugins direkt ausführt, ohne zu fragen, dann erhöht man einfach das Risiko, dass man auf verseuchten Seiten schneller auch verseuchten Schadcode ausführt. Das zweite große Einfallstor sind Dateianhänge, also insbesondere die üblichen Phishing Mails, die man kennt, wo Links sind oder Dateianhänge dranhängen. Da kann man nur immer wieder den Tipp geben, im Zweifelsfall auf keinen Link und auf keinen Anhang klicken und wenn man sich nicht sicher ist, ob das aus der vorgeblich seriösen Quelle sei es Bank, Amazon oder was auch immer ist dann lieber dort nachfragen, bevor man einen solchen Anhang öffnet.
Dorian Lötzer: Gehen wir also mal von dem schlimmsten Fall aus. Woher weiß ich, dass ich jetzt betroffen bin?
Max Heitkämper: In der Regel ist es so der Bildschirm wird schwarz, sie können keine Eingaben mehr tätigen und es wird ihnen meistens in Großbuchstaben gesagt, was ich jetzt zu tun haben. Nämlich, dass dann meistens ein einen Link noch möglich ist zu einem Bitcoin-Marktplatz, wo man dann die Aussage bekommt „kaufen Sie Bitcoin überweisen dies an unseren Account“. Das kann man dann darüber quasi noch machen. Alle anderen Dinge sind dann quasi ausgeschaltet und um dann noch Druck zu erhöhen hat man gerne irgendwelche ablaufenden Timer-Uhren oder die Androhung, dass die Daten veröffentlicht oder endgültig gelöscht werden.
Dorian Lötzer: Und dann sitzt man vor dem gesperrten Gerät und kann sich überlegen, wie man vorgeht. In der Regel würde ich aber davon abraten, ein Lösegeld zu bezahlen. Nicht nur, weil es keine Garantie dafür gibt, dass das Gerät dann auch entsperrt wird. Sondern auch, weil man mit dem Bezahlen ja ein Signal an die Hacker-Gruppe sendet, dass man sich erpressen lässt. Dadurch wird man nur noch attraktiver, nochmal angegriffen zu werden. Aber wie geh ich denn stattdessen vor?
Max Heitkämper: Ich schalte meinen Rechner aus. Zieh ihn vom Netz. Und, ja, stöpsel auf jeden Fall auch keine anderen Geräte mehr irgendwo da dran also. Vor allem also sollte man keine weitere Festplatte oder irgendwas was man noch hat da dran anschließen, weil sich dieser Verschlüsselungstrojaner sonst sehr schön weiterverbreiten kann. Habe ich weitere Geräte zum Beispiel in meinem Hausnetzwerk, die noch nicht verschlüsselt sind, die aber ja quasi in einem Heimnetz verbunden waren, muss ich davon ausgehen, dass diese Schadsoftware sich möglicherweise auch dahin verbreitet. Also nehme ich die Geräte auch mit, wenn ich das Ganze dann zu einem Computerspezialisten bringe um das Ganze dann quasi durchchecken zu lassen. Vorher geh ich aber natürlich erstmal noch zur Polizei machen, eine Anzeige und Frage, ob Sie Interesse haben, zur Beweissicherung mein Gerät durchzuchecken. Weil wenn ich das erst einmal mittels des Spezialisten bereinigt habe, sind dann keine Beweisstücke mehr übrig.
Dorian Lötzer: Also: erst zur Polizei, Anzeige erstatten (weil hier handelt es sich ja um ein Verbrechen) und DANN zum Computer-Spezialisten des Vertrauens. Was aber super wichtig ist, ist dass ihr das Gerät sobald es betroffen ist ausschaltet und von allen Netzwerken, Festplatten o.ä. trennt, damit der Schaden sich nicht noch verbreitet.
Leider muss man sagen, dass Computerspezialist aber nicht gleich Computerspezialist ist und laut Max Heitkämper die Infrastruktur in Deutschland noch nicht so gut ausgebaut ist, wie sie sein könnte. Dennoch lohnt es sich, mit dem betroffenen Gerät einfach mal zum Computer-Laden in der Nähe zu gehen und zu fragen, ob sie helfen können. Wenn nicht, findet man im Internet auch Fachläden, die sich auf die Behebung solcher Sperren spezialisiert haben.
Hier muss ich aber zugeben: Behebung der Sperre ist kein Hexenwerk, wodurch die Software erkannt und gelöscht wird und man kommt wie gewohnt wieder an seine Daten. Das wäre schön, funktioniert so aber leider in der Praxis nicht.
Um sicher stellen zu können, dass man die Ransomware losgeworden ist, muss man nämlich das gesamte Gerät formatieren – sprich: alle Daten löschen – und neu mit der Betriebssoftware ausstatten. Der Prozess dauert glücklicherweise heutzutage nicht allzu lange – in ein paar Stunden müsste man durch sein – aber die Daten sind halt weg. Und die kommen auch nicht wieder.
Außer…. Man hat vorher eine gute Datensicherung gemacht
Max Heitkämper: Wichtig ist es auch, dass man sich für den Worst-Case einfach wappnet und das geht nur durch eine gut organisierte sichere Datensicherung. Also Backup, was auf einer externen Festplatte ist. Diese externe Festplatte wird nur dann mit dem eigenen Rechner verbunden, wenn man das Backup durchführt. Danach wird sie abgezogen und liegt dann bis zum nächsten Backup-Vorgang in der Ecke beziehungsweise am besten im abgesicherten Safe,
Dorian Lötzer: In dem man regelmäßig diese Backups speichert, sind die Verluste, die man im Schadensfall erleidet, nur so hoch, wie lange die letzte Sicherung her war. Mache ich also jede Woche ein Backup, sind die Daten, die ich wiederherstelle im schlimmsten Fall nur ein paar Tage alt.
Klar, dass kann auch nervig sein, aber es ist um längen besser, als alle Daten für immer zu verlieren. Insbesondere wenn es um Erinnerungsstücke wie Foto-Alben oder wichtige Versicherungsdokumente oder Verträge geht. Am besten geht das laut Max Heitkämper, wenn man die Sicherung in die eigene Routine einbaut.
Max Heitkämper: Da richtet man sich dann einfach eine Routine ein, die regelmäßig abläuft, gibt an, welche Systempartitionen man backupen möchte (also bei den meisten ist es ja die Hauptpartition C auf der das gesamte Betriebssystem plus alle persönlichen Dateien, Bilder etc. liegen). Dafür richtet man das Backup ein und sagt dem Ganzen alle 2 Wochen und gibt als Ziel dann diese Festplatte an und da muss man sich nur noch selbst eine Erinnerung machen, dass man zum Zeitpunkt x, wenn das Backup ausgeführt wird, dass man dann die Festplatte angestöpselt hat. Keine Ahnung ich verbinde das immer mit der Sonntagsroutine habe das an der Kaffeemaschine dran. Wenn ich meinen Kaffee mache fahre ich den Rechner hoch und stöpsel die Festplatte an. Und wenn ich den Kaffee getrunken hab ist das Backup fertig.
Dorian Lötzer: Ransomware ist eins von den Themen, die zwar regelmäßig in den Schlagzeilen auftaucht, uns aber im Alltag nicht wirklich begegnet. Bis es halt zu spät ist. Dabei ist es eine Methode, mit der jährliche Schäden in Milliardenhöhe verursacht werden. Komplett schützen können wir uns als Einzelpersonen wahrscheinlich nicht. Nichtsdestotrotz bedarf es verhältnismäßig echt wenig Aufwand, das eigene Risiko zu minimieren. Einfach vorsichtig mit Links umgehen, die über SMS, E-Mail oder auf anderem Weg kommen. Dazu noch regelmäßige Backups erstellen, um die eigenen Daten gesichert zu haben. Glaubt mir, im Schadensfall seid ihr froh, wenn nicht auf einmal alles weg ist!
Mehr Informationen zu Cybersicherheit und vielen anderen Themen gibt es auf Verbraucherzentrale.de. Links sind in den Show Notes. Kontaktieren kann man mich per E-Mail an podcast@vz-bln.de.
Wenn euch die Folge gefallen hat, abonniert den Podcast doch einfach in eurem Lieblingsplayer und leitet die Folge an Freunde und Familie weiter.
Mein Name ist Dorian Lötzer und heute haben wir Ransomware genau genommen.