Was ist Ransomware und wie kann ich mich davor schützen?
Ransomware zählt zu den gefährlichsten Arten von Schadsoftware. Sie wird auch als Erpressungs- oder Verschlüsselungssoftware bezeichnet. Die Schadsoftware erhält Zugriff zum Computer des Opfers und blockiert den Zugriff auf bestimmte Daten oder das gesamte System.
Durch eine zunehmende Digitalisierung und Vernetzung sind Unternehmen, aber auch Privatpersonen, von diesen Angriffen betroffen. Unsere Informationssicherheits-Experten informieren über das Thema Ransomware, ihre typischen Angriffswege und wie man sich vor Angriffen schützen kann.
Ransomware – eine Definition
Der Begriff Ransomware setzt sich aus den Worten Ransom, englisch für Lösegeld, und Software zusammen. Der Erpressungs- oder Verschlüsslungstrojaner ist eine Art Malware, der Daten oder Systeme auf dem Computer verschlüsselt. Zur Entschlüsselung wird ein Lösegeld in Form einer Kryptowährung, z. B. Bitcoin, von den Opfern gefordert. Oftmals ist die Forderung von Lösegeld mit einer Drohung verbunden, dass bspw. sensible Daten des Unternehmens oder der Person veröffentlicht werden, falls nicht gezahlt wird.
Ein Ransomware-Angriff kann ganze Netzwerke lahmlegen oder funktionsunfähig machen. Die Auswirkungen eines Angriffes sind immens: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) [1] konnten in den letzten Jahren besonders große Schäden bei Angriffen auf Krankenhäuser, Unternehmen und öffentliche Institutionen verzeichnet werden. Die Verschlüsselungen von Daten oder ganzen Systemen können dazu führen, dass Dienstleistungen oder Geschäftsprozesse über Wochen oder Monate nicht mehr zur Verfügung gestellt werden können oder ganz ausfallen.
Wie gelangt Ransomware auf den Computer und wie läuft der Angriff zeitlich ab?
Ransomware kann über verschiedene Wege auf einen Computer gelangen und jede Branche und Unternehmensgröße kann davon betroffen sein. Egal ob kritische Infrastrukturen, wie z. B. Krankenhäuser, Energieversorger oder wirtschaftliche Unternehmen.
Der häufigste Angriffsweg ist der über Phishing-E-Mails in Kombination mit Social Engineering. Dabei werden Nutzer mittels E-Mails dazu verleitet, auf Anhänge oder Links zu klicken. Dadurch wird die Ransomware heruntergeladen und automatisch installiert. Oftmals wird in den Mails die menschliche Schwäche wie Vertrauen, Respekt oder Angst ausgenutzt, indem die Mails scheinbar von Vorgesetzen, der Geschäftsführung oder der IT-Abteilung kommen. Schwachstellen oder Sicherheitslücken sind ebenfalls ein einfaches Eingangstor für Angreifer. Jedes internetfähige Gerät mit veralteter oder ungepatchter Software stellt ein potenzielles Risiko für Angriffe dar.
Besonders anfällig für Angriffe über Sicherheitslücken sind Windows Systeme. Doch wen wundert es: Eine Umfrage aus März 2025 zeigt, dass Microsoft Windows Betriebssysteme einen Marktanteil von 68 Prozent in Deutschland haben. Apple macOS wiederum hat nur einen Marktanteil von rund 21 Prozent. [2] Eine weltweite Betrachtung von Angriffen mit Ransomware zeigt, dass rund 91% aller Angriffe auf Windows Systeme zielt. [3]
Ein Angriff mit Ransomware läuft oftmals nach einem ähnlichen Schema ab. Unsere IT-Experten haben den Ablauf eines solchen Angriffs einmal an einem Beispiel skizziert:
1. Angreifer betreiben im Vorfeld gezielte Aufklärung, um Informationen über das Unternehmen, dessen IT-Struktur und mögliche Angriffspunkte zu sammeln. So können Angriffe, z. B. über Phishing-Mails, gezielt durchgeführt werden. In der Regel dauert eine solche Recherche ein bis sechs Monate, wird allerdings nicht bei allen Angriffen durchgeführt.
2. Um sich Zugang zu den Systemen zu verschaffen, werden auf Phishing-Mails oder bekannte Schwachstellen und Sicherheitslücken gesetzt. Dabei wird die Ransomware mit Schadcode platziert, um Angriffe später im gesamten System ausweiten zu können. Mittels des „lateral movement“ versuchen die Täter, sich unbemerkt im Netzwerk zu bewegen. Dabei werden gezielt nach Informationen, Zugängen und wertvollen Daten gesucht und weitere Angriffsziele identifiziert. Ziel des Durchsuchens ist das Erlangen von weitergehenden Systemrechten, um die Handlungsmöglichkeiten auszuweiten und z. B. Antiviren-Software zu manipulieren oder abzuschalten.
3. Nach erfolgreicher Durchsuchung des Netzwerkes lösen die Angreifer die Verschlüsselung der Daten oder Systeme aus und verwehren so dem Nutzer den Zugang zum eigenen Computer. Durch den vorher verteilten Schadcode verteilt sich die Ransomware rasant im System. In einem Test benötigte die Ransomware „Lockbit“ nur 4 Minuten und 9 Sekunden, um 100.000 Daten erfolgreich zu verschlüsseln. [4]
4. Nur kurze Zeit nach der erfolgreichen Verschlüsselung erfolgt die Erpressung und Lösegeldforderung der Angreifer. Diese soll über bestimmte Plattformen und in Form von Kryptowährung wie Bitcoin oder Ethereum erfolgen. Um mehr Druck aufzubauen und die Opfer zur Zahlung zu bringen, werden oftmals Fristen gesetzt oder mit einer Veröffentlichung der erbeuteten Daten gedroht.
Doch Achtung: Die Empfehlung der Strafverfolgungsbehörden sowie des BSI ist, die Lösegeldsumme an die Erpresser auf keinen Fall zu zahlen. Oftmals werden trotz der Lösegeldzahlung die betroffenen Daten nicht entschlüsselt. Es kann sogar so weit führen, dass die Erpresser noch mehr Geld fordern, da bereits eine Zahlungsbereitschaft erkannt wurde.
Was tun, wenn man von einem Ransomware Angriff betroffen ist?
Nun ist doch der Ernstfall eingetreten: Durch den Klick auf einen Link wurde Ransomware auf den Computer heruntergeladen. Wir haben die wichtigsten Punkte zusammengefasst, wie in solch einem Fall reagiert werden sollte.
Angriff und Krisenmanagement
Als erstes gilt: Ruhe bewahren und einen klaren Kopf behalten. Unüberlegte oder zu schnelle Reaktionen können mehr Schaden anrichten als nötig. Unternehmen mit einer umfangreichen Absicherung in der Informationssicherheit haben für den Fall eines Angriffs ein Krisenmanagement ausgearbeitet, welches schnellstmöglich aktiv wird. Das Krisenmanagement beinhaltet bspw. den technischen Wiederherstellungsaspekt und alle für den Fall zutreffenden, notwendigen internen und externen Kommunikationswege, die gegangen werden müssen.
Zudem wird dringend empfohlen, bei Ransomware Angriffen mit Lösegeldforderung dieses auf keinen Fall zu zahlen. Denn auch eine Zahlung ist keine Garantie dafür, dass die Daten wieder entschlüsselt werden und die Systeme ohne Schaden weiter nutzbar sind. Eine Zahlung des Lösegeldes könnte die Angreifer dazu anregen, noch weitere Erpressungen auszusprechen, z. B. mit der Veröffentlichung der gestohlenen Daten.
Schutz des Netzwerkes und Sicherung des Angriffs
Wenn ein Computer von einem Ransomware Angriff betroffen ist, sollte man als Nutzer schnellstmöglich das Gerät vom Netzwerk trennen. Somit wird sichergestellt, dass der Angriff sich nicht weiter im Netzwerk ausbreiten kann und auch weitere Computer davon betroffen werden. Der Computer sollte keinesfalls ausgeschaltet werden, da dies wichtige Spuren und Protokolle für die forensische Analyse vernichten könnte.
Meldepflicht im Unternehmen und Extern
Parallel dazu sollte sofort die IT-Abteilung oder der IT-Sicherheitsexperte des Unternehmens involviert werden. Zudem sollten die direkten Vorgesetzten über den Angriff in Kenntnis gesetzt werden. Wenn es sich bei dem angegriffenen Unternehmen um eine KRITIS Einrichtung handelt, also Unternehmen und Institutionen der kritischen Infrastruktur wie Krankenhäuser, Energieversorger oder Finanzdienstleister, besteht eine zusätzliche Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) (§ 8b BSIG) [5]. Diese Meldepflicht wurde im Jahr 2022 auch in die EU Richtlinien des NIS2 ausgeweitet.
Schadensanalyse und Wiederherstellung
Sobald ein Angriff im Unternehmen festgestellt wird, beginnt die Analyse des Gerätes, der Netzwerke und Systeme. Dabei steht vor allem im Fokus, herauszufinden, wie weit sich die Ransomware im Netzwerk ausgeweitet hat und welche Daten dabei kopiert und verschlüsselt wurden. Das Krisenmanagement sieht dabei vor, dass die angegriffene Hardware entweder komplett bereinigt wird oder nicht mehr zur Nutzung kommt. Durch die Absicherung eines Backup Konzeptes kann die Hardware ohne Probleme oder Schadsoftware wieder aktiviert werden.
In den sogenannten KRITIS Unternehmen und Institutionen, wie Krankenhäusern oder Energieversorgern ist es zwingend notwendig, dass der Weiterbetrieb trotz eines Ransomware Angriffes gewährleistet ist. Was ein Angriff in einem Krankenhaus für Auswirkungen haben kann, zeigt der IT-Ausfall der Uniklinik Düsseldorf im Jahr 2020. Dabei haben die Angreifer eine Sicherheitslücke in einer im Krankenhaus verbreiteten Software ausgenutzt, um in das System einzudringen und 30 Server zu verschlüsseln. Operationen konnten nicht stattfinden, die Notaufnahme der Uniklinik musste zeitweise geschlossen werden. Ein Stillstand, den man in einer kritischen Infrastruktur nicht haben darf. Die vollständige Wiederherstellung der Systeme dauerte mehrere Wochen. [6]
Ihr Unternehmen effizient und präventiv schützen
Um das eigene Unternehmen und Kundendaten zu schützen, sind diverse Schutzmaßnahmen und Schritte unerlässlich. Dabei gibt es Schutzmaßnahmen, die Unternehmensübergreifend für alle Mitarbeiter durchgeführt werden, aber auch Maßnahmen, die jeder Einzelne beachten muss.
Zu einem umfangreichen Schutz des gesamten Unternehmens gehören Anti-Viren-Programme, Firewalls und ein individuelles Backup Konzept. Dabei ist es wichtig, dass bspw. zum Entfernen der Ransomware aus dem Netzwerk spezielle Tools verwendet werden. Von einer Verwendung von Standard Antivirus Software sollte abgesehen werden, da diese in der Regel nicht für alle Ransomware-Arten ausgelegt sind.
Bei der Arbeit außerhalb des Unternehmensnetzwerkes, wie z. B. im Homeoffice oder auf Reisen, sollte der Computer immer auf Zugriffe von außen abgesichert sein. Sinnvoll ist in diesem Fall die Verbindung über das VPN des Unternehmens, optimal mit einer Zwei-Faktor-Authentisierung.* Dabei wird neben dem Passwort ein zweites Authentifizierungsmerkmal benötigt, wie z. B. ein Einmalcode per App oder SMS.
Des Weiteren verfügt ein Unternehmen mit gutem Sicherheitskonzept auch über eine Übersicht von Software und Apps, die im Vorfeld geprüft wurden und von den Mitarbeitern, z. B. über eine Datenbank, ohne Probleme oder Sicherheitsbedenken heruntergeladen werden können. Dies gibt die Sicherheit, dass zusätzlich zu den gewünschten Programmen keine weitere Schadsoftware auf die Computer geladen werden.
Um sich vor dem Ausnutzen bereits bestehender und erkannter Sicherheitslücken zu schützen ist es notwendig, unverzüglich nach Bereitstellung von Updates durch den Softwarehersteller diese aus zu implementieren/einzuspielen. Updates, die wichtige Software, wie die Firewall oder Webserver, betreffen sollten dabei priorisiert behandelt werden.*
Einer der wichtigsten Punkte bei der Sicherheit im Unternehmen ist die Schulung und Sensibilisierung der Mitarbeiter, denn die größte Schwachstelle in IT-Systemen ist der Mensch. Um ein gesundes Misstrauen und eine Achtsamkeit bei der täglichen Arbeit mit dem Computer aufzubauen, können Schulungsunterlagen und -videos wie z. B. von der bsb.academy helfen, eine Awareness für Informationssicherheit und Datenschutz zu vermitteln. Dies schützt vor finanziellen, persönlichen und unternehmerischen Schäden.
Schützen Sie Ihr Unternehmen und Ihre Daten effektiv und umfangreich vor Angriffen durch Ransomware und andere Faktoren.
Unsere Informationssicherheits-Experten beraten Sie gern bei allen Fragen und helfen Ihnen, ein individuell für Ihr Unternehmen zugeschnittenes Sicherheitskonzept, Krisenmanagement und Backup-Konzept aufzubauen.