Ransomware: Angriffe verstehen & abwehren

Die Geschichte der Ransomware beginnt 1989 mit dem "AIDS Trojan" von Dr. Joseph Popp — verteilt auf Disketten, verschlüsselte er Dateinamen und forderte 189 Dollar per Post an eine Briefkastenadresse in Panama. Harmlos im Rückblick. 2013 änderte CryptoLocker die Regeln: Bitcoin-Zahlung, echte asymmetrische Verschlüsselung, professioneller Support. WannaCry 2017 nutzte einen NSA-Exploit (EternalBlue) und befiel den britischen NHS so schwer, dass Operationen abgesagt wurden. Colonial Pipeline 2021 führte an der US-Ostküste tagelang zu Benzinmangel. Kein Waffensystem der Welt hat in Friedenszeiten mehr wirtschaftlichen Schaden angerichtet.

• 1989: AIDS Trojan — erste Ransomware, Disketten-Vertrieb, 189 Dollar Lösegeld per Post
• 2013: CryptoLocker — Bitcoin-Zahlung, echte RSA-2048-Verschlüsselung, 3 Mio. Dollar erpresst
• 2017: WannaCry — NSA-Exploit EternalBlue, 200.000 Systeme, NHS musste Operationen absagen
• 2020: Düsseldorf Uni-Klinikum — Ransomware, Notaufnahme geschlossen, Patient auf Umwegen verstorben
• 2021: Colonial Pipeline — 5,5 Mio. Dollar Lösegeld, Benzinknappheit an US-Ostküste
• 2023: MGM Resorts — 100 Mio. Dollar Schaden, Casino-Systeme tagelang offline

Moderne Ransomware-Angriffe sind keine spontanen Aktionen — sie sind mehrtägige oder wochenlange Operationen. Initial Access durch Phishing oder VPN-Schwachstelle, dann tagelange laterale Bewegung durchs Netzwerk (Reconnaissance), Privilegienerweiterung bis zu Domain-Admin, Datenexfiltration für Double-Extortion, schließlich gleichzeitige Verschlüsselung aller erreichbaren Systeme. Das Ransomware-as-a-Service-Modell hat die Einstiegshürde eliminiert: Technisch unbegabte Kriminelle buchen die Infrastruktur, zahlen 20-30 % Provision und führen die Angriffe durch. Die Entwickler bleiben im Hintergrund.

• Initial Access: Phishing-Mail, RDP-Brute-Force oder ungepatchte VPN-Schwachstelle
• Lateral Movement: Wochen-/monatelanger Aufenthalt vor Verschlüsselung — Netzwerk erkunden
• Privilege Escalation: Domain-Admin-Rechte ermöglichen Verschlüsselung aller Systeme
• Double Extortion: Erst Daten stehlen, dann verschlüsseln — Lösegeld oder Veröffentlichung
• RaaS: Ransomware-as-a-Service — fertige Infrastruktur für "Affiliates" ohne Programmierkenntnisse
• Durchschnittliche Verweildauer vor Entdeckung: 2023 noch 16 Tage (IBM Cost of Data Breach Report)

Die effektivste Ransomware-Verteidigung ist eine Kombination aus technischen Maßnahmen und organisatorischen Prozessen. Technisch sind Netzwerksegmentierung (Infiziertes System = isoliertes VLAN), Backup-Immutabilität (Backups, auf die selbst ein kompromittierter Admin nicht schreiben kann) und EDR-Lösungen die Kern-Säulen. Organisatorisch sind regelmäßige Backup-Restore-Tests (nicht nur Backups erstellen!) und ein dokumentierter Incident-Response-Plan entscheidend. Die meisten Unternehmen stellen beim ersten echten Angriff fest: Backups existieren, aber Restore-Prozeduren wurden nie getestet.

• 3-2-1-Backup-Regel: 3 Kopien, 2 verschiedene Medien, 1 offsites — davon 1 offline/immutable
• Netzwerksegmentierung: Buchhaltung, Produktion und IT in getrennten VLANs mit Firewall
• Backup-Restore testen: Mindestens quartalsweise einen vollständigen Restore proben
• Prinzip der minimalen Rechte: Kein Nutzer braucht Domain-Admin für den Alltag
• EDR (CrowdStrike, Microsoft Defender for Endpoint): Verhaltensbasierte Erkennung früh im Angriff
• Offline-Backup auf Bandlaufwerk oder Air-Gapped-NAS: Ransomware kann nicht verschlüsseln, was sie nicht sieht

Bei einer aktiven Ransomware-Infektion zählen die ersten Minuten. Das Wichtigste: Netzwerkkabel ziehen, WLAN deaktivieren, betroffene Systeme isolieren — aber nicht ausschalten (forensische Beweise im RAM). Dann sofort BSI, Staatsanwaltschaft und Datenschutzbehörde informieren (DSGVO-Pflicht: 72 Stunden). Lösegeld zahlen empfiehlt kein Sicherheitsexperte — nur 8 % der Zahlenden erhalten alle Daten zurück (Sophos State of Ransomware 2023).

• Sofort Netzwerk trennen: Kabel raus, WLAN aus — Ausbreitung im Netzwerk verhindern
• Systeme NICHT ausschalten: Forensische Beweise im RAM gehen verloren
• BSI informieren (bsi.bund.de) — Meldepflicht für Unternehmen, kostenlose Ersthilfe
• Strafanzeige erstatten — ermöglicht koordinierte Ermittlungen, auch wenn Täter im Ausland
• Lösegeld nicht zahlen: 65 % zahlen, nur 46 % erhalten alle Daten zurück (Sophos 2023)
• Backup-Restore aus sauberem Snapshot — nach vollständiger Neuinstallation des Systems