Ransomware-Notfall: Diese Tipps helfen Ihnen beim Ablauf

Ransomware ist ein altbekannter Internet-Schädling, der zunächst wichtige Daten auf Ihrem PC verschlüsselt und anschließend ein Lösegeld fordert, um diese wieder freizugeben. Die Folgen können entweder sehr kostspielig sein oder zum vollständigen Verlust aller verschlüsselten Daten führen. Bei einem Ransomware-Notfall kommt es auf schnelles Handeln und einen kühlen Kopf an. Nur so haben Sie realistische Chancen, die Kontrolle über Ihre Daten zurückzugewinnen und größere Schäden zu vermeiden.

In diesem Beitrag machen wir Sie mit den ersten Maßnahmen bei einem Ransomware-Notfall vertraut. Wir zeigen Ihnen, welche Tipps und Tricks helfen, wenn Sie sich eine Erpressungssoftware eingefangen haben und diese wieder entfernen möchten. Darüber hinaus erhalten Sie wertvolle Hinweise, wie Sie unmittelbar nach einem Ransomware-Angriff effizient handeln.

Direkte Maßnahmen bei einem Ransomware-Vorfall

Sobald Sie einen Schädling auf Ihrem Computer bemerken, sollten Sie als Erstes den PC vom Internet trennen. Schalten Sie WLAN, Bluetooth und NFC sofort aus, um zu verhindern, dass sich die Schadsoftware auf andere Dateien oder Systeme in Ihrem Netzwerk ausbreitet. Verschaffen Sie sich anschließend einen Überblick darüber, was genau von der Verschlüsselung betroffen ist. In der Regel handelt es sich um zugeordnete oder freigegebene Ordner anderer Computer, Netzwerkspeichergeräte jeglicher Art, externe Festplatten, USB-Speichergeräte (USB-Sticks, Memory Sticks), angeschlossene Telefone oder Kameras. Auch cloudbasierter Speicher wie Dropbox, Google Drive und OneDrive kann betroffen sein.

Stellen Sie als Nächstes fest, ob Daten oder Anmeldeinformationen gestohlen wurden. Überprüfen Sie Ihre Protokolle und die DLP-Software auf Anzeichen von Datenabfluss. Achten Sie dabei auf unerwartet große Archivdateien (z.B. .zip und .arc), die vertrauliche Daten enthalten und als Staging-Dateien gedient haben könnten.

Suchen Sie im nächsten Schritt nach Malware, Tools und Skripten, die zum Durchsuchen und Kopieren von Daten verwendet worden sein könnten. Eines der deutlichsten Anzeichen für einen Datendiebstahl durch Ransomware ist eine Mitteilung der Angreifer, dass Ihre Daten und Anmeldeinformationen gestohlen wurden. Identifizieren Sie anschließend den Typ der Ransomware -- es gibt verschiedene Varianten wie etwa Ryuk, Dharma und SamSam. Sobald Sie den Umfang des Schadens und die Art der Ransomware kennen, können Sie eine fundierte Entscheidung über das weitere Vorgehen treffen. 5 konkrete Verhaltensregeln finden Sie auch auf der Webseite von Norton.

Gestohlene Daten und Bezahlung

Nachdem Sie nun wissen, um welche Art von Ransomware-Vorfall es sich handelt, wie viele Systeme betroffen sind und welche Daten verschlüsselt wurden, können wir in der Checkliste voranschreiten. In den meisten Fällen verfolgt die Ransomware-Bande das Ziel, ein Lösegeld für die Freischaltung Ihrer Daten zu erpressen. Alternativ bleiben die Daten ohne erkennbaren finanziellen Nutzen für die Erpresser verschlüsselt. Im Folgenden betrachten wir beide Fälle und gehen die konkreten Schritte im Detail durch.

Erpressung einer Zahlung für Ihre Daten

Auch wenn es zunächst paradox klingt: Die Zahlung für die Freischaltung Ihrer Daten ist häufig der schnellste Weg, um eine Ransomware-Infektion zu beenden. Sie überweisen innerhalb einer vorgegebenen Frist einen Betrag, der Ihnen in der Regel bereits auf dem Sperrbildschirm angezeigt wird. Mithilfe von Bitcoin erfolgen die Überweisungen anonym. Unter Umständen lassen sich Zahlungsfrist und Betrag mit der Ransomware-Bande verhandeln -- die Erwartungen sollten dabei allerdings nicht zu hoch sein.

Sobald der Computer wieder freigegeben ist, sollten Sie Ihre Dateien umgehend dezentral sichern und die Ransomware mit größter Sorgfalt entfernen. Um zu verhindern, dass Rückstände und Shadow-Dateien auf Ihrem System zurückbleiben, empfiehlt sich die Wiederherstellung aus einem Backup. Dieses Backup sollte von einem nicht befallenen Speichermedium eingespielt werden, um weitere Vorfälle zu vermeiden. Sichern Sie anschließend unbedingt sämtliche Schwachstellen Ihres Systems und Netzwerks gegen erneute Angriffe ab.

Verschlüsselung ohne Zahlung

Der zweite Fall betrifft die Verschlüsselung Ihrer Daten durch Ransomware ohne erkennbaren finanziellen Hintergrund. Die eigentliche Absicht liegt hier in der gezielten Störung von Betriebsabläufen. Dies geht häufig mit erheblichen Personalkosten und Arbeitsausfällen einher. Eine eigenständige Beseitigung ist bei dieser Variante nur schwer möglich. Wir empfehlen daher, sich auf die Wiederherstellung aus einem Backup einzustellen. Die Entschlüsselung mithilfe von Software ist ein aufwendiger Prozess, der von neueren Ransomware-Versionen bereits erfolgreich unterbunden wird.

Wenn keine Möglichkeit besteht, die Kontrolle durch eine Zahlung zurückzuerlangen, zielt die Ransomware-Bande in der Regel auf den vollständigen Verlust Ihrer Daten ab. Dem können Sie nur durch regelmäßige Backups und dezentrale Datensicherungen entgegenwirken, die nach dem Zurücksetzen Ihres Systems eingespielt werden. Bereinigen Sie Ihr System dabei gründlich und stellen Sie sicher, dass keine Ordner, Archive oder Dateien zurückbleiben, die durch die Ransomware erzeugt wurden. Auch nach diesem Schritt ist eine umfassende Absicherung im Rahmen der IT-Sicherheitsprävention dringend zu empfehlen.

Fazit: Ransomware beseitigen und Prävention betreiben

Ransomware ist eine wirkungsvolle Methode, um Ihren Computer und Teile Ihres Netzwerks lahmzulegen. Angreifer verfolgen dabei häufig zwei Ziele: den Schaden an Ihrem Unternehmen und die Erpressung von Lösegeld. Doch selbst nach der Freischaltung Ihrer Daten ist das Thema Ransomware und Incident Response noch nicht abgeschlossen. Wir empfehlen Ihnen daher ausdrücklich, regelmäßige Backups Ihres Systems zu erstellen, um den Machenschaften von Ransomware-Banden wirksam zu begegnen. Nur so bleiben Ihre Daten im Ernstfall erhalten, und Schwachstellen im System können gezielt behoben werden.

Neben dem richtigen Verhalten bei einem Ransomware-Vorfall ist auch die Prävention im eigenen Unternehmen ein zentraler Aspekt der Cybersicherheit. Computer und Geräte im Netzwerk sollten so abgesichert sein, dass eine Verschlüsselung durch Ransomware für Angreifer möglichst schwierig wird. Darüber hinaus sollten Mitarbeiter unbedingt über die Methoden und Absichten von Erpressern im Internet aufgeklärt werden. Schulungen zu IT-Sicherheit und digitalem Arbeiten sind daher für jedes Unternehmen empfehlenswert. Als Privatperson lohnt sich zudem ein gewisses Maß an Achtsamkeit beim Surfen im Internet und beim Umgang mit Downloads. Weitere Informationen zur Bedrohungslage und Prävention hat das BSI zusammengestellt.