Ransomware — was passiert, und was hilft wirklich

Die meisten Angriffe sind automatisiert

In den Nachrichten taucht Ransomware meistens im Zusammenhang mit Krankenhäusern, Behörden oder Großunternehmen auf. Daraus entsteht der Eindruck, Angreifer suchten sich gezielt große Ziele. Die Realität ist eine andere.

Die meisten Ransomware-Angriffe laufen automatisiert. Angreifer scannen das Internet nach verwundbaren Systemen, nicht nach interessanten. Ein schlecht gepatchter Windows-Server in einer Steuerberatungskanzlei ist genauso ein Ziel wie ein Krankenhaussystem. Oft sogar das leichtere.

Ablauf eines Angriffs

Ransomware kommt nicht mit einer Warnung. Der Ablauf ist in den meisten Fällen derselbe:

1. Einfallstor: Eine bekannte Sicherheitslücke in ungepatchter Software, ein kompromittiertes Passwort, ein Anhang in einer Phishing-Mail. Irgendjemand klickt, oder ein System ist direkt aus dem Netz erreichbar.

2. Ausbreitung: Die Schadsoftware breitet sich still im Netzwerk aus. Das dauert Stunden oder Tage. In dieser Phase ist nichts zu sehen.

3. Verschlüsselung: Irgendwann startet die eigentliche Attacke. Dateien werden in kürzester Zeit verschlüsselt: Dokumente, Buchhaltungsdaten, E-Mail-Archive, Datenbankdateien. Alles.

4. Forderung: Ein Hinweisfenster erscheint. Zahlung in Kryptowährung, oft innerhalb von 48 Stunden, sonst werden die Daten veröffentlicht oder der Schlüssel gelöscht.

Warum klassischer Antivirus zu kurz greift

Klassische Antivirus-Software arbeitet mit Signaturen. Sie kennt bekannte Schadsoftware und blockiert sie. Das funktioniert gut gegen bekannte Bedrohungen.

Ransomware-Gruppen modifizieren ihre Software laufend. Neue Varianten haben keine bekannte Signatur und werden nicht erkannt. Bis die Antivirus-Datenbank nachgezogen ist, ist der Angriff längst abgeschlossen.

Signaturbasierter Schutz ist notwendig, aber nicht ausreichend.

Was wirklich schützt

Verhaltensbasierte Erkennung beobachtet nicht, was ein Programm ist, sondern was es tut. Ein Prozess, der in kurzer Zeit tausende Dateien verändert, ist verdächtig, unabhängig davon, ob er in einer Datenbank bekannt ist. Acronis Cyber Protect erkennt dieses Muster und stoppt den Prozess, bevor der Schaden vollständig ist. Bereits veränderte Dateien werden aus dem lokalen Cache wiederhergestellt.

Daneben braucht es die zwei klassischen Hebel. Patch-Management schließt die Einfallstore: die meisten erfolgreichen Ransomware-Angriffe nutzen bekannte Sicherheitslücken in Software, für die es seit Wochen oder Monaten einen Patch gibt, den niemand eingespielt hat. Und am Ende der Kette steht das Backup als letzte Verteidigungslinie. Wer einen aktuellen, geprüften Datenstand hat, zahlt kein Lösegeld. Die Wiederherstellung dauert Stunden, nicht Wochen. Der Schaden ist begrenzt.

Im Ernstfall

Wenn Ransomware zuschlägt, gilt: sofort handeln, nicht zahlen.

1. Betroffene Geräte sofort vom Netzwerk trennen, Netzwerkkabel ziehen, WLAN deaktivieren
2. Keine weiteren Geräte starten, die Schadsoftware könnte noch auf anderen Systemen aktiv sein
3. IT-Dienstleister kontaktieren
4. Gegebenenfalls die Behörden informieren
5. Nicht zahlen. Zahlung ist keine Garantie für die Wiederherstellung, und sie finanziert die nächste Angriffswelle

Mit einem aktuellen Backup ist die Situation beherrschbar. Ohne Backup ist sie es oft nicht.

Fazit

Ransomware ist kein abstraktes Risiko für andere. Es ist ein konkretes Risiko für jeden Betrieb mit einem Netzwerk und nicht vollständig gepatchten Systemen, also für fast alle.

Verhaltensbasierte Erkennung, laufendes Patch-Management und ein geprüftes Backup. Einzeln reicht keines davon. Zusammen schließen sie die relevantesten Lücken.

Alle drei sind in unserem Gold-Paket enthalten, ab 28 €/PC/Monat. Sprechen Sie uns an.