Projekt Hibiskus

StartBedrohungenRansomware

Bedrohungsszenario

Ransomware

Kritisch Durchschnittlicher Schaden für KMU: 50.000 – 200.000 €
Was ist Ransomware?
Ransomware ist Schadsoftware, die alle erreichbaren Dateien verschlüsselt – auf lokalen Laufwerken, Netzlaufwerken und oft auch angebundenen Backups. Danach folgt eine Lösegeldforderung. Zahlung ist keine Garantie für die Wiederherstellung.

Typischer Angriffsablauf

Phase 1

Erstzugang

Meist über Phishing-E-Mail mit Schadanhang, kompromittierte RDP-Zugänge oder ungepatchte Software-Schwachstellen.

Phase 2

Ausbreitung

Angreifer erkunden das Netzwerk (Lateral Movement), eskalieren Berechtigungen und breiten sich auf weitere Systeme aus. Dauert oft Tage bis Wochen.

Phase 3

Datenexfiltration

Professionelle Ransomware-Gruppen stehlen Daten vor der Verschlüsselung – als zusätzliches Druckmittel (Double Extortion).

Phase 4

Verschlüsselung

Alle erreichbaren Dateien werden verschlüsselt, Backups gelöscht oder ebenfalls verschlüsselt. Lösegeldforderung erscheint auf dem Bildschirm.

Einfallstore kennen & schließen

Remote Desktop Protocol (RDP)

RDP-Zugänge ohne MFA im Internet sind eine der häufigsten Einstiegsrouten. Angreifer scannen systematisch das Internet nach offenen RDP-Ports (Standard: 3389) und probieren gestohlene Zugangsdaten durch.

  • RDP niemals direkt ins Internet exponieren
  • Zugang nur über VPN mit MFA
  • Fehlgeschlagene Logins überwachen und nach 5 Versuchen sperren

Phishing und Makros

Schadhafte Dokumente mit aktivierten Makros sind der klassische Ransomware-Eintrittspunkt. Eine E-Mail mit dem Betreff "Rechnung" und einem .xlsm-Anhang reicht aus.

  • Makros in Microsoft Office standardmäßig deaktivieren
  • Mitarbeiter-Schulungen zu Phishing durchführen
  • E-Mail-Filter für gefährliche Anhang-Typen konfigurieren

Ungepatchte Systeme

Bekannte Schwachstellen wie EternalBlue (genutzt von WannaCry) werden oft Monate nach Veröffentlichung des Patches noch aktiv ausgenutzt – weil Systeme nicht aktualisiert wurden.

  • Automatische Updates für alle Systeme aktivieren
  • End-of-Life-Systeme sofort ersetzen oder isolieren
  • Vulnerability-Scanner einsetzen (z.B. OpenVAS, kostenlos)

Der einzige zuverlässige Schutz: Das Backup

Kernprinzip
Kein Backup ist kein Ransomware-Schutz. Aber: Das Backup muss offline oder unveränderbar sein. Ein Backup, das am selben Netzwerk hängt, wird mitgejsamt verschlüsselt.

Die 3-2-1-Regel für Ransomware-Schutz

  • 3 Kopien der Daten (Original + 2 Backups)
  • 2 verschiedene Speichermedien (z.B. NAS + Cloud)
  • 1 Kopie offline / Air-Gapped (physisch vom Netz getrennt)

Immutable Backups

Moderne Backup-Lösungen bieten unveränderliche Backups (Immutable Backups), die für einen definierten Zeitraum weder verändert noch gelöscht werden können – auch nicht von einem Administrator-Account. Dies ist der wirksamste Schutz.

Was tun, wenn Ransomware zuschlägt?

Wichtig: Nicht ausschalten
Infizierte Systeme nicht ausschalten! Speicherinhalt (RAM) kann forensisch ausgewertet werden und enthält möglicherweise den Schlüssel zur Entschlüsselung. Stattdessen: Netzwerkkabel ziehen.
  1. Isolieren: Betroffene Systeme sofort vom Netzwerk trennen (Kabel ziehen, WLAN deaktivieren)
  2. Nicht zahlen: Lösegeldzahlung ist keine Garantie und finanziert weitere Angriffe
  3. IT-Notfallkontakt sofort informieren
  4. Ransomware identifizieren: nomoreransom.org prüfen – kostenlose Entschlüsseler verfügbar
  5. Behörden: Polizei (Cybercrime-Abteilung) und BSI informieren
  6. Datenschutz: Prüfen ob personenbezogene Daten betroffen sind (72h-Meldepflicht DSGVO)
  7. Aus Backup wiederherstellen – aber erst nach vollständiger Bereinigung

Checkliste: Ransomware-Prävention

Wichtige Ressourcen
No More Ransom Project: nomoreransom.org – kostenlose Entschlüsselungstools
BSI Ransomware-Hilfe: bsi.bund.de
Backup-Leitfaden: Zur Backup-Strategie →