Ransomware Erpressung: Tipps & Hilfe vom Anwalt

Bei einer Ransomware-Erpressung kommen sogenannte Schadenprogramme zum Einsatz, welche eine Verschlüsselung der Daten oder eine vollständige Blockierung des Systems anpeilen.

Emotet ist nur ein Beispiel der vielen Schadprogramme am Markt, die sich aktuell rasant ausbreiten. Die Programme agieren eigenständig und hinterlassen bleibenden Schaden am Rechner.

Wie genau Ransomware funktioniert und was Sie über die Software wissen sollten, erkläre ich Ihnen in diesem Beitrag.

Was genau versteht man unter Erpressung mit Ransomware?

Ransomware ist ein Begriff, der für eine bestimmte Art von Schadprogrammen steht. Diese Programme sind in der Lage, den Zugriff auf Daten und Systeme einzuschränken oder sogar zu unterbinden.

Sobald dies geschieht, fordern Cyber-Kriminelle vom Anwender ein Lösegeld (im Englischen „Ransom“), um den Zugriff wiederherzustellen.

Es gibt verschiedene Möglichkeiten, wie Ransomware den Zugriff einschränken kann. Zum einen kann das Schadprogramm den kompletten Zugriff auf das System blockieren, zum anderen kann es bestimmte Nutzerdaten verschlüsseln.

Am weitesten verbreitet ist die Erpressung mit Ransomware, die sich gegen Rechner von Windows stellt. Allerdings können im Prinzip alle Systeme von Ransomware betroffen sein und Lösegeld fordern.

Obwohl Ransomware heute in aller Munde ist, ist dieses Phänomen nicht neu. Bereits im Jahr 2005 tauchte mit dem Namen CryptoLocker die erste Ransomware mit Verschlüsselungsfunktion großflächig auf.

Das Schadprogramm codierte Nutzerdaten eines bestimmten Typs mithilfe von kryptografischen Arbeitsvorgängen. Dabei verschlüsseln Täter nicht nur lokale Festplatten, sondern beschädigen Netzlaufwerke, die an das betroffene System angeschlossen waren. Das verursache Schäden in ungeahnter Höhe.

Geschichtlicher Hintergrund der Ransomware

Die Erpressung mit Ransomware hat folgenden geschichtlichen Hintergrund: Die Idee kommt vermutlich aus dem Jahr 1989, als ein sogenannter AIDS-Trojaner mithilfe von Disketten an diverse Forschungsinstitute verschickt wurden. Mit der Zeit verschlüsselt der Trojaner die Daten, die sich auf der Festplatte befinden.

Laut Meldung auf dem Computer ist der Rechner nicht mehr einsatzfähig. Dafür wurde ein Firmenname zusammen mit einem Postfach in Panama bereitgestellt, um das Lösegeld zum Kauf eines Lizenzschlüssels bereitzustellen und die Daten erneut freizuschalten.

Das war auch der Grund, warum derartige Vorgänge in der Vergangenheit nicht unmittelbar als Erpressung entlarvt wurden. Die Ermittlungen wurden in der Regel aufgrund von fehlenden Informationen eingestellt und die Täter konnten problemlos verschwinden. Im Kriminalbericht der Polizei Sachsen-Anhalt aus dem Jahr 2011 wurde Ransomware ebenfalls erwähnt. Der Täter hat in diesem Bundesland mehr als 831 Nutzer von Computern erpresst.

Seit 2012 kommt es immer wieder zu unterschiedlichen Streitfällen und Erpressungen von Ransomware Trojanern. Zum Entsperren und Zurückerhalten der Daten muss auch hier wieder eine hohe Geldstrafe gezahlt werden. Diese Trojaner verschleiern in der Regel keine Daten, sondern sperren das gesamte System und legen es lahm. In den meisten Fällen können die Täter nicht zurückverfolgt werden und verschwinden im später im World-Wide-Web.

Mittlerweile werden in Untergrundforen des Darknets Tools angewendet, um die Täter schneller ausfindig zu machen. Dort fanden sich bereits zahlreiche kriminelle Hilfsmittel, um damit Ransomware zu erstellen und zu versenden.

Ransomware Erpressung Beispiel mit Zahlungsaufforderung und Frist
Ransomware Erpressung Beispiel mit Zahlungsaufforderung und Frist. Foto: AdobeStock

Welche Auswirkungen können durch Erpressung mit Ransomware entstehen?

Die Auswirkungen von Ransomware können schwerwiegend sein. Unternehmen sind in der Lage, erhebliche Verluste zu erleiden, wenn wichtige Daten aufgrund einer Erpressung verschlüsselt werden und somit unzugänglich sind.

Privatpersonen können gleichermaßen von Ransomware betroffen sein. Insbesondere dann, wenn wichtige persönliche Daten wie private Fotos oder Finanzinformationen verschlüsselt werden.

Welche Maßnahmen gibt es zum Schutz vor Erpressung mit Ransomware?

Um sich vor Ransomware zu schützen, gibt es verschiedene Maßnahmen, die ergriffen werden können. Eine Möglichkeit ist die regelmäßige Erstellung von Back-ups, um im Falle eines Angriffs schnell auf gesicherte Daten zurückgreifen zu können.

Außerdem sollten Sie aufmerksam sein, wenn Sie E-Mails oder Links von unbekannten Absendern erhalten. Es ist wichtig, Vorsicht walten zu lassen und verdächtige Nachrichten nicht zu öffnen oder darauf zu klicken.

Es empfiehlt sich zudem, eine zuverlässige Antivirus-Software zu verwenden und regelmäßige Updates durchzuführen, um potenzielle Sicherheitslücken im System zu schließen.

Back-up-Erstellung

Die Erstellung von Back-ups zählt zu einer der wichtigsten Schutzmechanismen gegen Ransomware.

Durch die regelmäßige Sicherung aller notwendigen Daten kann im Notfall auf diese zurückgegriffen werden. Dadurch wird die Lösegeldzahlung vermieden.

Ransomware wird oft über E-Mails oder befallene Links verbreitet. Sie sollten daher besonders vorsichtig sein, wenn Sie E-Mails von unbekannten Absendern bekommen, in denen sich verdächtige Links befinden.

Achten Sie auf den Absender. Handelt es sich um eine seltsame E-Mail-Adresse, sollten Sie den Link keinesfalls öffnen.

Verwendung zuverlässiger Antivirus-Software

Eine zuverlässige Antivirus-Software kann dazu beisteuern, dass Ransomware erkannt und blockiert wird, bevor sie Schaden anrichten kann.

Eine Antivirus-Software sollten Sie ausschließlich von einem seriösen Anbieter verwenden und diese regelmäßig zu aktualisieren.

Periodische System-Updates

Ransomware kann Schwachstellen im Betriebssystem oder in sonstigen Anwendungen ausnutzen. Daher ist es notwendig, regelmäßige System-Updates durchzuführen, um potenzielle Sicherheitslücken auf Ihren Rechnern zu schließen.

Nutzung von Firewalls

Mithilfe einer Firewall können Schadenprogramme blockiert werden, bevor sie in das System eindringen. Es empfiehlt sich daher, eine Firewall zu verwenden und diese auf Ihrem Rechner entsprechend zu konfigurieren.

Schulung und Unterweisung von Mitarbeitern

Wenn Sie in einem Unternehmen tätig sind, sollten die Mitarbeiter regelmäßig über die Risiken einer Ransomware Erpressung aufgeklärt werden. Hierzu gehört das Sensibilisieren verdächtiger E-Mails oder Links sowie das Vermitteln von praktischen Beispielen im Umgang mit Ransomware.

Wie verhalten Sie sich bei einer Erpressung mit Ransomware?

Ransomware-Angriffe können sehr beunruhigend sein und manchmal ist es schwierig zu wissen, wie Sie am besten darauf reagieren sollten. Hier sind einige Anhaltspunkte, die Sie im Schadensfall mit Ransomware unternehmen können:

1) Gehen Sie nicht auf die Forderungen der Erpressung ein

Wenn Sie von einer Erpressung betroffen sind, ist es oft verlockend, das geforderte Lösegeld zu bezahlen, um den Zugriff auf die eigenen Daten und Systeme wiederherzustellen. Allerdings gibt es keine Garantie, dass Sie die Daten nach der Bezahlung des Geldes tatsächlich erhalten werden.

In vielen Fällen zahlen Betroffene das geforderte Lösegeld und bekommen dennoch keinen Zugang zu ihren Daten. In diesem Fall ist es besser, dass Sie gar nicht erst auf die Forderungen der Angreifer einzugehen.

2) Machen Sie ein Bild oder einen Screenshot der Erpressungsnachricht

Damit Sie ein Beweisstück vorlegen können, machen Sie einen Screenshot oder fotografieren Sie den Bildschirm. Ransomware wird häufig als Erpressungsnachricht auf dem Bildschirm angezeigt. Für spätere Untersuchungen ist es entscheidend, diese Nachricht zu dokumentieren. Dadurch haben Sie später Beweise für die Polizei und andere Behörden.

3) Geben Sie Anzeige bei der Polizei auf

Ransomware-Angriffe sind kriminelle Handlungen und sollten von den Betroffenen direkt bei der Polizei angezeigt werden. Das Bild der Erpressungsnachricht kann als Beweismittel dienen.

Die Polizei kann anschließend bei der Untersuchung des Vorfalls unterstützend tätig werden und gegebenenfalls weitere Betroffene ausfindig machen.

4) Führen Sie eine Neuinstallation Ihres Systems durch

Wenn Sie Schaden von Ransomware erlitten haben, ist es im Regelfall sinnvoll, dass Sie das System neu installieren.

Dies bedeutet, dass Sie das Betriebssystem, alle Anwendungen und alle Programme neu aufsetzen müssen. Es ist maßgebend, dies mit einem aktuellen Back-up Ihrer Daten zu tun, um sicherzustellen, dass Sie auf alle wichtigen Daten zugreifen können.

Erpressung Ransomware: Prävention dient als Schlüssel zum Schutz vor Ransomware

Um sich optimal gegen Ransomware zu schützen, sollten Sie bereits vor dem Angriff präventive Maßnahmen ergreifen. Neben Firewalls, Löschungen auffälliger Links und regelmäßigen Schulungen können Sie folgende Schritte zur Prävention ergreifen.

1) Nutzungsrechte einschränken

Schränken Sie bereits im Vorfeld die Nutzungsrechte für Dritte auf Ihrem Computer ein. Nur Sie selbst sollten in der Lage sein, einen eindeutigen Zugang zu Ihrem System zu erhalten und anderen den unbefugten Zutritt nicht ermöglichen. Das gibt Ihnen eine erste Schutzbarriere.

2) Verschlüsselung von Passwörtern

Verschlüsseln Sie Daten und Passwörter so gut wie möglich. Je ausgefeilter Sie Ihre Passwörter wählen, umso schwieriger wird es für Ransomware auf Ihrem Computer einzudringen.

3) Laden Sie keine Dateien oder Programme unsicherer Anbieter herunter

Ransomware kann über infizierte Websites oder Downloads verbreitet werden. Wenn Sie Dateien oder Programme aus dem Internet herunterladen, sollten Sie das nur von vertrauenswürdigen Quellen tun.

Verifizierte Websites und SSL-Verschlüsselungen können sichere Downloads ermöglichen.

4) Halten Sie Ihr System auf einem aktuellen Status

Es ist wichtig, regelmäßig Sicherheitsupdates für das Betriebssystem und andere Programme zu installieren. Diese eliminieren Schwachstellen, die von Angreifern mit Ransomware ausgenutzt werden könnten.

Ransomware-Erpressung: Zu welcher Art der Prävention für Ransomware raten Experten?

Wenn ein Unternehmen von Ransomware betroffen ist, gibt es mehrere Maßnahmen, die Experten empfehlen. Zunächst einmal wird dringend davon abgeraten, das geforderte Lösegeld zu zahlen. Die Täter sind in der Regel nicht vertrauenswürdig, und selbst wenn das Lösegeld gezahlt wird, ist nicht garantiert, dass die Daten tatsächlich wiederhergestellt werden. Darüber hinaus bestärkt das Bezahlen der Forderung die Täter in ihrem Handeln und fördert weitere Angriffe.

Eine Versicherungspolice zum Schutz vor den Folgen eines Ransomware-Angriffs wird ebenfalls nicht empfohlen. IT- und Sicherheitsexperten argumentieren, dass solche Versicherungen den Versicherten eine vermeintliche Sicherheit vermitteln und oft unnötig sind. Zudem werden sie in der Regel nur dann ausbezahlt, wenn der Versicherte umfangreiche Sicherheitsmaßnahmen getroffen hat, was wiederum Angriffe erschwert.

Stattdessen wird empfohlen, auf professionelle Prävention zu setzen, um Ransomware-Attacken von Beginn an zu vermeiden. Eine effektive Prävention vermittelt ein Gefühl von Sicherheit und schützt oftmals besser als jede Versicherung.

Wenn ein Unternehmen trotz aller Vorsichtsmaßnahmen einen Angriff feststellt, empfiehlt das Bundeskriminalamt, den Vorfall bei der Zentrale für Cyberkriminalität zu melden und somit optimal gegen die Erpressung vorzugehen.

Funktionsweise der Trojaner verstehen, um sich vor Ransomware zu schützen

Erst wenn Sie die Herangehensweise der Erpresser verstehen, können Sie sich effektiv vor weiteren Angriffen schützen. Schädliche Ransomware gelangt oft über eine schwer zu kontrollierende Schwachstelle in Ihr System: Den Nutzer selbst.

Harmlose E-Mail-Anhänge werden unbesorgt geöffnet und ermöglichen Malware das Eindringen auf den Firmenrechner. Dort verschlüsselt ein Trojaner umgehend alle Daten und fordert Lösegeld. Diese Lösegeldforderung funktioniert automatisch und wird bei Verschlüsselung Tausenden Rechnern ausgespielt.

Im Falle einer Zahlungsverweigerung kommt es nicht selten vor, dass erhobene sensible Daten als Gegenmaßnahme preisgegeben werden oder damit gedroht wird. Der Lösegeldbetrag ist hoch, im Durchschnitt beträgt dieser rund 250.000 Euro.

Erpresstes Geld investieren die Täter im Anschluss in immer hochwertige Ausrüstungen. Dadurch können Ermittler die Täter im Hintergrund kaum noch ausfindig gemachen. Nicht selten zahlen Betroffene die Lösegelder und dennoch veröffentlichen die Täter sensible Daten, nur damit sich die Täter einen Spaß erlauben konnten.

Nach dem Strafgesetzbuch drohen denjenigen, die die Straftat begehen, bis zu fünf Jahre Gefängnis. Da die Täter in Gruppen organisiert sind, ist die Angst vor Bestrafung stark erhöht.

Rechtlich ist ein Angriff durch Ransomware stets als Erpressung zu qualifizieren. Im Zusammenhang mit Computersabotage und der Kombination eines Bandenangriffs verhängen Gerichte hohe Strafen für einen Angriff.

Wie groß ist die Gefahr von Cyberangriffen wie Ransomware Erpressung wirklich?

Ransomware stellt eine ernsthafte Bedrohung dar, nicht nur für große Unternehmen, sondern vor allem für kleine und mittelständische Betriebe. Die Bedrohung wird durch eine Studie des Digitalverbands Bitkom belegt, die besagt, …

… dass 84 Prozent aller befragten Betriebe bereits Opfer eines Cyberangriffs geworden sind.

Studie Bitkom

Allerdings ist die Dunkelziffer mit Sicherheit größer, da viele der Unternehmen aus Angst vor einem Rufschaden keinen Vorfall melden. Dies erschwert den Ermittlungsbehörden, die Verantwortlichen der Attacken aufzuspüren.

Ein weiterer Faktor, der die Bedrohung durch Ransomware erhöht, ist der große finanzielle Schaden, den Unternehmen durch einen Angriff erleiden können. Im Jahr 2021 schätzen Experten den Schaden für die Wirtschaft in Deutschland auf etwa 223 Milliarden. Dieser Schaden wurde vorrangig durch eine Kombination aus direkten Kosten wie Lösegeldforderungen und indirekten Kosten wie Betriebsausfällen verursacht.

Zusätzlich ist es kaum möglich, die Täter zu fassen, da die digitale Spur in den meisten Fällen in Russland oder dem Nevada endet. Eine effektive Zusammenarbeit der deutschen Behörden mit den russischen Behörden gestaltet sich schwierig, was die Ermittlungen noch weiter behindern kann.

Aus diesem Grund ist es entscheidend, dass Unternehmen Maßnahmen ergreifen, um sich vor Ransomware-Angriffen zu schützen. Hierzu gehören die Einhaltung von Sicherheitsregeln und eine intensive Schulung aller Beteiligten. Sie sollten keine Kosten vor Antivirensoftware scheuen und maßgeblich in die Sensibilisierung für die Bedrohung investieren. Das garantiert Ihnen den bestmöglichen Schutz.

Beispielhafte Ausprägungen von Ransomware

Inzwischen haben Ransomware-Kriminelle damit begonnen, nicht nur ein willkürliches System zu hacken und Lösegeld für den Erhalt der Daten zu fordern, sondern sensible Daten von Unternehmen und Kunden zu extrahieren und mit einer unschönen Veröffentlichung zu drohen. Dabei greifen die Täter in der Regel auf drei Ausprägungsstufen für die Erpressung zurück (one, double und many). Die zweite Form der doppelten Erpressung ist der Einsatz expliziter Mittel oder Forderungen an die Betroffenen, die Spionagedaten nicht zu veröffentlichen.

Ein Beispiel für zwei solcher Ransomware-Angriffe ist die Ransomware CONTI. Unter dem Namen „Conti News“ haben Täter auf einer Darknet-Website einen Blog erstellt. Die Website ist für jeden im Internet über transparente Web-Proxys zugänglich. Von August 2020 bis Juli 2022 haben Cyber-Kriminelle dort etwa 900 Einträge über betroffene Personen veröffentlicht, deren Daten sie durch die Ransomware gehackt haben. Einige von ihnen gehören zu den größten Unternehmen, die Millionen dafür zahlten, um die Daten wieder zurückzubekommen.

Etwa 50 der von Conti veröffentlichten Betroffenen waren deutsche Unternehmen, andere hatten eindeutige Verbindungen nach Deutschland. Die Täter boten den Betroffenen an, Teile der ausspionierten Daten in den Blog im Darknet hochzuladen. Experten nennen diese Art von Website, welche gefälschte Daten bereitstellt, eine Lösegeld-Website. Im Zeitraum von Juli 2020 und September 2021 schätzen Forscher die Datenmenge von CONTI auf mehr als 18 Terabyte.

In Zukunft wird diese eine solche Zahl jedoch als gering wahrgenommen werden, da neu entwickelte Ransomware weitaus höhere Datenmengen für sich nutzen kann. Durch das Posten auf Spam-Seiten hoffen die Täter, ihre Opfer zur Zahlung zu zwingen. Dafür werden in der Regel personenbezogene Daten freigegeben oder sensible Unternehmensdaten wie Schulden präsentiert, die so nicht an die Öffentlichkeit gelangen dürften.

Nach single und double erfolgt Erpressung im many-Format

Das Prinzip der einfachen und doppelten Erpressung kann erweitert werden. Um dies zu erreichen, kontaktieren Täter Drittpersonen, die mit den Daten in Verbindung stehen. Damit diese nicht über das Unternehmen veröffentlicht werden, müssen die Drittpersonen Lösegeld bezahlen.

Ein Beispiel hierfür sind sogenannte Supply-Chain-Attacks. Diese Arten von Ransomware-Erspressung sind durch dreifache und vierfache Erpressung gekennzeichnet. Je nach Inhalt der vorhandenen Daten kontaktieren die Kriminellen alle betroffenen Parteien der Daten und fordern Lösegeld von diesen ein.

Dadurch erhalten die Täter Lösegeldsummen von enormer Höhe und können die Ransomware noch schneller weiterentwickeln. Am Beispiel von CONTI wird klar ersichtlich, welche extremen Auswirkungen eine solche Erpressung mit sich führen kann.

Bei Erpressung mit Ransomware Hilfe von außen holen?

Bei einem Angriff sollten Sie stets versuchen, ruhig zu bleiben und schnell zu handeln. Durch das Einhalten der oben genannten Schritte können Sie das Risiko eines erneuten Angriffs verringern und die Wahrscheinlichkeit erhöhen, dass Sie Zugang zu Ihren wichtigen und sensiblen Daten am System zurückgewinnen. Bedenken Sie jedoch, dass mit Ransomware nicht zu spaßen ist. Im Falle einer Erpressung ist es deshalb sinnvoll, sich Unterstützung von außen zu holen.

Wenn es sich um eine Erpressung im double- oder many-Format handelt, ist es möglich, dass Ihre Daten über ein anderes Unternehmen von dem Angriff betroffen sind. Sollte das der Fall sein, kontaktieren Sie am besten einen Experten für Datenschutz und kontaktieren die Polizei.

Selbst wenn es sich um kleine Beträge handelt, sollten Sie diese keinesfalls bezahlen. Im Regelfall können Sie davon ausgehen, dass Sie die Daten nicht erhalten und Ihr Geld verschwindet. Ein Expertenrat ist auch in diesem Fall die Lösung.

Kontaktieren Sie mich und stellen eine unverbindliche Anfrage, ich unterstütze Sie gerne beim Umgang mit Ransomware. Ich kenne die Tücken des Systems und erarbeite mit Ihnen gemeinsam einen effektiven und praktikablen Lösungsansatz zum Schutz Ihrer Daten.

Suchen Sie rechtlichen Beistand wegen einer Ransomware Erpressung?

Rechtsanwalt Thomas Feil
Rechtsanwalt
Thomas Feil

FAQ Erpressung mit Ransomware

Wie funktioniert ein Ransomware-Angriff?

Bei einem Ransomware-Vorfall sperren Angreifer die Dateien auf einem IT-System durch Verschlüsselung und bieten eine Entschlüsselung nur im Austausch gegen ein Lösegeld an.Bildschirm gesperrt und Erpressung durch Ransomware

Wie gelangt Ransomware auf Ihren PC?

Wenn ein Ransomware-Angriff stattfindet, wird die Daten auf dem IT-System verschlüsselt und die Entschlüsselung nur unter der Bedingung einer Lösegeldzahlung ermöglicht. Die meisten Ransomware-Viren werden über E-Mails verschickt, die sich als nützlich oder wichtig ausgeben, beispielsweise in Form einer wichtigen Rechnung, eines interessanten Artikels oder einer kostenlosen App. Wenn Sie dann den Anhang öffnen, ist Ihr Computer infiziert.

Wie macht sich Ransomware bemerkbar?

Meistens erkennt der Anwender die Ransomware daran, dass sich der Bildschirm nicht mehr schließen lässt oder ein Erpresserbrief angezeigt wird. Einige Ransomware-Varianten können jedoch eine gewisse Zeit unbemerkt laufen, bevor Anzeichen erkennbar sind.

Kann man Ransomware entschlüsseln?

Ransomware ist eine Art Malware, die sich nach der Aktivierung im Computer-Netzwerk ausbreitet und Dateien verschlüsselt. Der Hacker kann das Gerät nur durch Bezahlung einer Lösegeldsumme wieder entschlüsseln.

Schreibe einen Kommentar

WordPress Cookie Plugin von Real Cookie Banner