Ransomware
Ransomware ist Schadsoftware, die Daten oder ganze Systeme verschlüsselt oder den Zugriff darauf sperrt und für die Wiederfreigabe ein Lösegeld erpresst.
Ransomware (Erpressungssoftware) ist eine Form von Schadsoftware, die nach der Infektion eines Systems gezielt Dateien, Datenträger oder ganze IT-Umgebungen verschlüsselt und den rechtmäßigen Nutzern den Zugriff entzieht. Für die Entschlüsselung fordern die Angreifer ein Lösegeld, meist in Kryptowährung. Verbreitet ist heute zudem die sogenannte doppelte Erpressung: Vor der Verschlüsselung werden Daten exfiltriert, und die Veröffentlichung der gestohlenen Informationen wird als zusätzliches Druckmittel angedroht. Das BSI bewertet Ransomware seit Jahren als eine der größten Bedrohungen für die Informationssicherheit von Wirtschaft und Verwaltung.
Typische Einfallstore sind Phishing-E-Mails mit präparierten Anhängen oder Links, ungepatchte Schwachstellen in öffentlich erreichbaren Diensten, kompromittierte Zugangsdaten sowie unzureichend abgesicherte Fernzugänge wie RDP oder VPN. Nach dem Erstzugriff bewegen sich die Angreifer häufig lateral durch das Netzwerk, eskalieren Privilegien und deaktivieren Sicherungen, bevor die eigentliche Verschlüsselung ausgelöst wird. Wirksame Gegenmaßnahmen sind daher ein mehrschichtiger Ansatz aus Patch- und Schwachstellenmanagement, Netzwerksegmentierung, Multi-Faktor-Authentifizierung, dem Least-Privilege-Prinzip sowie getesteten, offline beziehungsweise unveränderlichen Backups nach der 3-2-1-Regel.
Aus rechtlicher Sicht berührt ein Ransomware-Vorfall mehrere Pflichtenkreise. Für Betreiber kritischer Infrastrukturen und besonders wichtige sowie wichtige Einrichtungen im Sinne der NIS2-Richtlinie gelten Risikomanagement- und Meldepflichten; ein erheblicher Sicherheitsvorfall ist binnen 24 Stunden als Frühwarnung und binnen 72 Stunden ausführlicher zu melden. Sind personenbezogene Daten betroffen, greifen zusätzlich die Pflichten aus Art. 33 und 34 DSGVO. Vom Bundesamt für Sicherheit in der Informationstechnik und von Strafverfolgungsbehörden wird ausdrücklich davon abgeraten, Lösegeld zu zahlen, da eine Wiederherstellung nicht garantiert ist und Zahlungen das kriminelle Geschäftsmodell finanzieren.
Rechtliche Grundlage
Art. 21 u. Art. 23 NIS2-Richtlinie (EU) 2022/2555; § 8b BSIG; Art. 33 u. Art. 34 DSGVO; ISO/IEC 27001 (A.8 Technologische Maßnahmen)
Praxisbeispiel
Ein mittelständischer Maschinenbauer entdeckt an einem Montagmorgen, dass Fileserver und ERP-System verschlüsselt sind; in den Verzeichnissen liegt eine Erpressernotiz mit Bitcoin-Forderung. Der Informationssicherheitsbeauftragte aktiviert den Incident-Response-Plan, trennt betroffene Segmente vom Netz und zieht das CSIRT hinzu. Weil das Unternehmen als wichtige Einrichtung unter NIS2 fällt, gibt er innerhalb von 24 Stunden eine Erstmeldung an das BSI ab und prüft mit dem Datenschutzbeauftragten die Meldepflicht nach Art. 33 DSGVO. Statt zu zahlen, stellt das Team aus offline gehaltenen, getesteten Backups wieder her und schließt die ausgenutzte VPN-Schwachstelle durch Patch und MFA.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren