Seit 2013 sorgt sogenannte Ransomware weltweit verstärkt für massive Schäden und Datenverlust. Die Idee hinter Ransomware geht auf das Jahr 1989 zurück – das Jahr, in dem der Schädling AIDS TROJAN DISK erstmals PC-Systeme mit einem „Erpressungsschreiben“ kennzeichnete und zur Zahlung aufforderte. Das Ziel ist seither gleich: in kurzer Zeit möglichst viele PC-Systeme mit der Schadsoftware infizieren, darauf gespeicherte Daten verschlüsseln und mit einem präsenten Hinweis zur Zahlung eines Lösegeldes für die Entschlüsselung auffordern. Die Vorgehensweise, mit der diese Variante der Schadsoftware verteilt wird, hat sich seither nicht verändert. Früher waren es jedoch Disketten, heute primär Mails mit Dateianhang. Entscheidend ist der schädliche Programmcode, der heute über das Internet in Echtzeit nachgeladen wird.
Möglich wird dieses Angriffsszenario durch das besondere Design der Schadsoftware. In der Regel bekommt der Anwender eine Mail mit Dateianhang (z.B. Word-Datei in Format „docx“, gern aber auch „dotm“), welche meist als wichtiges Anschreiben (z.B. als Bewerbung oder Rechnung) getarnt ist. Öffnet der Anwender den Anhang und stimmt der Ausführung von Skripten* zu, wird die tatsächliche Schadsoftware aus dem Internet nachgeladen und ausgeführt. Hierin liegt die besondere Problematik: Der Datenstrom ist meist verschlüsselt und kann daher nicht von einem installierten Virenscanner analysiert werden. Zudem findet die Ausführung des Schadsoftware-Codes nur temporär im Arbeitsspeicher statt. Dieser Bereich wird von Virenscannern aus Gründen der Performance nicht zuverlässig kontrolliert. Auch die Verschlüsselung selbst löst keinen Alarm aus, da die dafür verwendeten Programme in der Regel Bestandteil des Betriebssystems sind und daher per se als vertrauenswürdig eingestuft werden.
Neben der Möglichkeit zur Verschlüsselung von Dateien bringt Ransomware zusätzlich die unangenehme Eigenschaft mit, sich selbst auch auf andere Ziele innerhalb eines Netzwerkes verbreiten zu können. Hierfür werden meist Sicherheitslücken des Betriebssystems ausgenutzt, die es der Software ermöglichen, sich selbst auf andere PCs zu kopieren und erneut aufzurufen. Zudem wird das lokale Netzwerk auch nach Freigaben durchsucht, die von Anwendern als gemeinsame Dateiablage genutzt werden. Diese Freigaben gibt es fast in jedem Netzwerk. Anwender haben meist auf eine Reihe von Freigaben lesend/schreibend Zugriff. Die Schadsoftware hat somit leichtes Spiel und wird diese Dateiablagen ebenfalls verschlüsseln. Gleiches gilt auch für externe Datenspeicher (z.B. USB-Sticks und externe Festplatten), die zum Zeitpunkt des Ausbruchs mit den PCs verbunden sind.
Die Leistungsfähigkeit der Schadsoftware ist beängstigend und beeindruckend zu gleich. Es gibt Berichte, nach denen bis zu 10.000 Dateien innerhalb von einer Minute verschlüsselt worden sind. Da der Ausbruch zunächst erkannt werden muss, um geeignete Maßnahmen einleiten zu können, ist das Ausmaß der verschlüsselten Daten meist enorm.
Fazit: Alle für die Schadsoftware erreichbaren Dateien sind akut gefährdet. Es mag Ausnahmen zu bestimmten Dateitypen geben, verlassen darf man sich darauf jedoch nicht. Backup-Datenträger gehören grundsätzlich nicht dauerhaft mit einen Computer verbunden!
* Die Abfrage zur Ausführung von Skript-Komponenten erscheint beispielsweise in Microsoft Word ausschließlich bei standardmäßiger Sicherheitseinstellung. Der Einsatz bestimmer Branchensoftware lässt die Nutzung der Sicherheitseinstellungen meist nicht zu, so dass die sinnvollen und notwendigen Einstellungen in der Regel abgeschaltet wurden. Es ist also Vorsicht geboten!