RAllgemein

Ransomware

Schadsoftware, die Daten verschlüsselt und Lösegeld fordert.

Ransomware ist eine Form von Schadsoftware, die Dateien oder ganze Systeme verschlüsselt und anschließend Lösegeld (meist in Kryptowährungen) fordert, um den Zugriff wiederherzustellen. Für kleine Unternehmen ist Ransomware besonders kritisch, weil sie Betriebsausfälle, Datenverlust und DSGVO-relevante Datenschutzvorfälle auslösen kann.

Was bedeutet Ransomware?

Der Begriff setzt sich aus „ransom“ (Lösegeld) und „software“ zusammen. Moderne Ransomware-Angriffe zielen nicht nur auf Verschlüsselung, sondern oft auch auf Datenabfluss („Double Extortion“): Angreifer drohen, gestohlene Daten zu veröffentlichen, wenn nicht gezahlt wird.

Wie funktioniert Ransomware typischerweise?

  • 1) Eindringen: Häufig über Phishing-Mails, kompromittierte Passwörter (z. B. RDP/VPN), ungepatchte Systeme oder infizierte Downloads.
  • 2) Ausbreitung: Nach dem ersten Zugriff bewegen sich Täter seitlich im Netzwerk, suchen Admin-Konten und zentrale Server (Dateiserver, Backup-Systeme).
  • 3) Vorbereitung: Sicherheitssoftware wird umgangen, Schattenkopien/Backups werden gelöscht, Daten werden ggf. exfiltriert.
  • 4) Verschlüsselung: Dateien werden verschlüsselt, Systeme teilweise unbootbar gemacht; es erscheint eine Lösegeldforderung.
  • 5) Erpressung & Verhandlung: Täter setzen Fristen, drohen mit Veröffentlichung und bieten „Entschlüsselung“ oder „Nicht-Leak“ gegen Zahlung an.

Warum ist Ransomware für KMU in Deutschland so relevant?

KMU haben oft weniger IT-Personal, heterogene IT-Landschaften und viele „Single Points of Failure“ (ein Dateiserver, ein Backup-Ziel, ein Admin). Ein erfolgreicher Angriff kann Rechnungsstellung, Produktion, Terminplanung oder Kundenservice sofort lahmlegen. Zusätzlich drohen Reputationsschäden, Vertragsstrafen und erhebliche Wiederherstellungskosten.

DSGVO & rechtliche Pflichten (Datenschutz)

Ransomware ist häufig ein Sicherheitsvorfall im Sinne der DSGVO. Sobald personenbezogene Daten betroffen sind (z. B. Kunden-, Mitarbeiter- oder Bewerberdaten), müssen Unternehmen prüfen, ob eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden erforderlich ist (Art. 33 DSGVO). Wenn ein hohes Risiko für Betroffene besteht, kann zudem eine Benachrichtigung der betroffenen Personen nötig sein (Art. 34 DSGVO). Unabhängig davon gilt die Pflicht zu angemessenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO), z. B. Backup-Strategie, Zugriffskontrollen, Patch-Management und Protokollierung.

Praktische Schutzmaßnahmen (Quick Wins für KMU)

  • 3-2-1-Backups mit Offline-/Immutable-Backup und regelmäßigen Restore-Tests (wichtig: nicht nur „Backup vorhanden“, sondern „Wiederherstellung funktioniert“).
  • Multi-Faktor-Authentifizierung für E-Mail, VPN, Admin-Accounts; Admin-Rechte strikt minimieren.
  • Patch- & Update-Management (Betriebssysteme, Firewalls, VPN, Office, Browser, Plugins).
  • Mail-Sicherheit & Awareness: Phishing-Training, Makros restriktiv, Anhänge/Links prüfen.
  • Netzwerksegmentierung und Schutz kritischer Systeme (Dateiserver, Backup-Server) vor normalem Benutzerzugriff.
  • Incident-Response-Plan: Zuständigkeiten, Notfallkontakte, externe IT-Forensik, Kommunikationsplan.

Beispiel aus der Praxis

Ein Mitarbeiter öffnet einen „Rechnungsanhang“. Die Malware stiehlt Zugangsdaten, greift auf den Dateiserver zu und verschlüsselt Projektordner. Gleichzeitig werden Kundendaten kopiert. Ergebnis: Stillstand, Wiederherstellung aus Backups, Prüfung der Meldepflicht nach Art. 33/34 DSGVO, Dokumentation und Nachbesserung der Schutzmaßnahmen.

Wichtig: Lösegeldzahlungen sind riskant (keine Garantie auf Entschlüsselung, mögliches Folge-Targeting). Priorität sollten Eindämmung, forensische Sicherung, Wiederherstellung und die DSGVO-konforme Bewertung/Meldung haben.