Zuletzt aktua­li­siert am 22. Mai 2019 durch Jür­gen Voskuhl

Phis­hing-Emails sind zuneh­mend schwe­rer zu erken­nen. So neh­men etwa Dyna­mit-Phis­hing-Emails der neu­es­ten Gene­ra­ti­on Bezug auf eine bereits exis­tie­ren­de Email-Kom­mu­ni­ka­ti­on zwi­schen Emp­fän­ger und (ver­meint­li­chem) Absen­der – was sie noch unver­däch­ti­ger macht. Da ist es nicht wei­ter ver­wun­der­lich, das sich die Fäl­le seit Jah­res­be­ginn häufen.
Unlängst hat des­halb das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) mal wie­der vor Ver­schlüs­se­lungs­tro­ja­nern (Ran­som­wa­re) gewarnt – Grund genug für uns, eben­falls auf geeig­ne­te Schutz­maß­nah­men hinzuweisen!

Was genau macht Ransomware eigentlich?

Die Vor­ge­hens­wei­se von Ver­schlüs­se­lungs­tro­ja­nern ist fast immer iden­tisch: Zugang zu einem Rech­ner erhal­ten die­se Pro­gram­me vor allem über Phis­hing-Emails, aber auch über kom­pro­mit­tier­te Web­sei­ten, die vom Opfer besucht werden.

Hat der Virus einen Rech­ner erst ein­mal befal­len, ver­schlüs­selt er die Daten (Doku­men­te, Bil­der, Pro­gram­me …) und gibt sie erst frei, nach­dem eine ent­spre­chen­des Löse­geld bei den Erpres­sern ein­ge­gan­gen ist – meist in einer nicht nach­ver­folg­ba­ren Kryp­to­wäh­rung wie etwa Bitcoin.

In Unter­neh­mens­netz­wer­ken brei­ten sich die Angrei­fer dann von dem zuerst infi­zier­ten Com­pu­ter sys­te­ma­tisch wei­ter aus. Hier­zu gehört auch das Löschen von Back­ups und das manu­el­le, selek­ti­ve Infi­zie­ren kri­ti­scher Systeme.

Schutzmaßnahmen – ein Überblick

Unter­neh­men wie Pri­vat­per­so­nen kön­nen und soll­ten die­sem Risi­ko unbe­dingt durch ent­spre­chen­de Maß­nah­men begeg­nen! Hier­zu gehört unter Anderem:

• Ein­spie­len von Updates und Patches unver­züg­lich nach der Bereit­stel­lung durch den jewei­li­gen Soft­ware­her­stel­ler; das gilt ins­be­son­de­re für Betriebs­sys­te­me und Virenschutzprogramme
• Bewusst­sein bei den Anwen­dern durch ent­spre­chen­de Schu­lungs­maß­nah­men steigern
• Ser­ver­sei­ti­ges fil­tern, bezie­hungs­wei­se Mar­kie­ren von Spam-Emails durch einen geeig­ne­ten Spamfilter
• Regel­mä­ßi­ges Erstel­len von Back­ups, Auf­be­wah­rung getrennt von der IT-Infra­struk­tur,  Tes­ten der Rücksicherung
• Remo­te-Zugän­ge ("von außen") schüt­zen: Zugrif­fe von außen aus­schließ­lich über VPN-Ver­bin­dun­gen zulassen.
• Pri­vi­le­gier­te Kon­ten ("Admi­nis­tra­tor-Accounts") immer über eine Zwei-Fak­tor-Authen­ti­sie­rung schützen

Windows Defender: Schutzfunktion aktivieren!

Nut­zer, die auf den Win­dows Defen­der als Anti­vi­ren­lö­sung set­zen, soll­ten unbe­dingt die Schutz­funk­ti­on "über­wach­ter Ord­ner­zu­griff" akti­vie­ren und ent­spre­chen­den den Bedürf­nis­sen kon­fi­gu­rie­ren. Die­se Schutz­funk­ti­on ist bereits seit Ende 2017 Bestand­teil von Win­dows 10.
Übri­gens: Im Rah­men unse­res Dienst­leis­tungs­pa­kets PCsi­cher akti­vie­ren selbst­ver­ständ­lich wir die­se Schutz­funk­ti­on und doku­men­tie­ren dies! Natür­lich neh­men wir auch die erfor­der­li­chen Ein­stel­lun­gen vor. Aus­führ­li­che Infor­ma­tio­nen zu PCsi­cher fin­den Sie auf unse­rer Web­site PCsi​cher​.com.

Weiterführende Literatur

BSI: BSI warnt vor geziel­ten Ran­som­wa­re-Angrif­fen auf Unter­neh­men (Pres­se­mit­tei­lung)

BSI: Ran­som­wa­re – Bedro­hungs­la­ge, Prä­ven­ti­on & Reaktion

Sto­rage Insi­der: Win­dows 10 mit Bord­mit­teln vor Ran­som­wa­re schützen