Schutz vor Ransomware wie “Locky”
16.02.2016
Als Ransomware bezeichnet man Schadsoftware, die Daten (bspw. Word- oder Excel-Dokumente) auf den PCs oder Servern unbrauchbar macht. “Locky” ist nur ein aktuelles Beispiel für einen Trojaner, der Dateien verschlüsselt und für die Entschlüsselung bzw. entsprechende Entschlüsselungssoftware Geld erpresst.
Grundsätzlich sollte auf jedem IT System ein aktueller Virenschutz installiert sein. Dies alleine reicht jedoch nicht aus! In vielen Fällen werden insbesondere neue Viren nicht rechtzeitig erkannt. Eine zuverlässige Virenerkennung und –beseitigung setzt voraus, dass dem Virenschutzhersteller der Virus bekannt, dieser also schon einmal irgendwo ausgebrochen ist, wenngleich die heuristische Virensuche versucht, auch unbekannte Schadsoftware bspw. an einem für Viren typischen Verhalten zu erkennen. Besonders schwer ist die heuristische Erkennung von Ransomware, da die böswillige Verschlüsselung von Dateien dem legitimen Bearbeiten durch Benutzer ähnelt. Mit Stand vom 16.02.2016 erkennen lediglich drei der 54 bekanntesten Virenschutzlösungen “Locky” (siehe auch: Virus Total Analyse). Keine Virenschutzsoftware bietet 100%igen Schutz; ebenso wenig wie auch die beste Einbruchsmeldeanlage nicht alle Einbrüche verhindern, sondern eben nur unwahrscheinlicher und potentiell schadensärmer werden lässt.
Wie kann ich mein Unternehmen vor Ransomware wie “Locky” schützen?
Ein oft vernachlässigter Faktor sind die Computeranwender selbst, die durch das unwissentliche Öffnen von zwielichtigen Webseiten, verseuchten Emails oder USB-Sticks das Einfallstor für Schadsoftware sind. Daher empfehlen wir dringend, alle Computeranwender zu schulen, woran böswillige Emails zu erkennen sind (siehe auch: Woran erkenne ich Spam vom 19.10.2015) und welche Handlungen Gefahr für die gesamte IT Landschaft bedeuten, um bestmöglichen Schutz zu gewährleisten.
Im Falle des Verschlüsselungs-Trojaners “Locky” hilft derzeit meist nur das Zurückspielen von Backups, um die Daten schnell – und ohne die Erpresser zu finanzieren – wiederzuerlangen (Update: Ransomware entschlüsseln vom 12.07.2016). Dies setzt natürlich voraus, dass regelmäßige Backups von allen Geräten, die Daten speichern, durchgeführt und mindestens über Tage oder Wochen sicher gespeichert worden sind. Selbst die beliebte Funktion der Schattenkopien hilft nicht, da “Locky” diese klammheimlich löscht. Weiterhin sollten die Backupsysteme nicht über eine Freigabe oder USB-Festplatte mit dem zu sichernden System dauerhaft verbunden sein, da ansonsten auch die Backups selbst der Verschlüsselung zum Opfer fallen könnten. Neben zahlreichen sicheren neuen Wegen der Datensicherung (Mahr EDV Cloud Backup) bleibt die gute alte Bandsicherung auch in diesem Fall altbewährt, da die beschriebenen Bänder nach dem Auswurf nicht mehr mit dem System verbunden sind, sondern in der Regel außerhalb der Räumlichkeiten gelagert werden, um auch im Brandfalle vor einem Totalverlust geschützt zu sein.
Tatsächlich sind in den letzten Tagen zahlreiche Unternehmen von durch Ransomware unbrauchbar gemachten (verschlüsselten) Daten betroffen gewesen. Das Lukaskrankenhaus in Neuss – als eines der bekanntesten aktuellen Beispiele – muss wahrscheinlich noch immer Operationen verschieben und ohne IT „zurückversetzt in die Steinzeit“ den Alltag bestmöglich bewältigen (siehe auch: Pressemeldung vom 12.02.2016).
Daher unser stetiger Appell:
Schulen Sie schnellstmöglich Ihre Belegschaft, IT Gefahren zu vermeiden und ein Bewusstsein für das mögliche Schadensausmaß zu entwickeln. Prüfen Sie, ob auf allen Systemen aktuellste Virenschutzsoftware installiert ist und Backups aller Daten regelmäßig angefertigt werden.