Das große IT-Security-Glossar

Was ist Ransomware?

Ransomware (engl. ransom = Lösegeld), auch bekannt als Erpressungstrojaner oder Kryptotrojaner, ist eine Form von Schadsoftware, die Daten ihrer Opfer verschlüsselt oder den Zugriff auf Systeme blockiert, um anschließend ein Lösegeld für die Freigabe zu fordern. Die Angreifer drohen dabei häufig mit dauerhafter Datenvernichtung oder Veröffentlichung sensibler Informationen.

Moderne Ransomware-Angriffe erfolgen zunehmend durch Double-Extortion-Taktiken: Neben der Verschlüsselung der Daten werden zuvor sensible Informationen exfiltriert, um zusätzlichen Druck auf die Opfer auszuüben.

Wichtige Ransomware-Ressourcen

• AES / RSA-Verschlüsselung
  → Übliche Algorithmen zur Datenverschlüsselung in Ransomware-Kampagnen.

• Endpoint Detection and Response (EDR)
  → Technologie zur Erkennung und automatischen Isolation verdächtiger Verschlüsselungsaktivitäten.

• Incident Response Plan
  → Plan für strukturierte Reaktion im Angriffsfall inklusive Kommunikation, Forensik und Strafverfolgung.

• Offline-Backups
  → Regelmäßig getestete, physisch getrennte Datensicherungen, um die Wiederherstellung zu ermöglichen.

• Netzwerksegmentierung
  → Sicherheitsmaßnahme zur Begrenzung lateraler Ausbreitung innerhalb infizierter Umgebungen.

Anwendung in der Praxis

• Phishing & Exploit-Kits: Ransomware wird oft über infizierte E-Mail-Anhänge, Makros oder Schwachstellen in Software eingeschleust.

• Remote Desktop Protocol (RDP): Schwach gesicherte RDP-Zugänge dienen häufig als Einstiegspunkt für Angreifer.

• Double Extortion: Daten werden vor der Verschlüsselung gestohlen, um mit Veröffentlichung zu drohen.

• Meldepflicht & Strafanzeige: Organisationen müssen bei Vorfällen ggf. Datenschutzbehörden oder Strafverfolgung einbinden.

• Wiederherstellungsstrategie: Regelmäßige Tests von Backups und strukturierte Reaktionspläne sind essenziell.

Verwandte Begriffe

• Endpoint Detection and Response

• Incident Response Plan

• Backup and Recovery

• Malware

• Phishing

Beispiel aus der Praxis

Ein mittelständisches Unternehmen wird über eine Phishing-Mail kompromittiert. Ein Mitarbeiter öffnet eine präparierte Excel-Datei mit aktivierten Makros, woraufhin sich eine Ransomware-Variante (z. B. REvil) im Netzwerk ausbreitet. Innerhalb weniger Stunden werden Daten auf mehreren Servern verschlüsselt, und es erscheint ein Erpresserschreiben mit Bitcoin-Zahlungsforderung. Dank regelmäßiger, offline gespeicherter Backups kann das IT-Team die betroffenen Systeme vollständig wiederherstellen. Parallel wird ein Incident-Response-Team aktiviert, das forensische Analysen durchführt, Behörden informiert und die externen Kommunikationsprozesse koordiniert.