Ransomware: BSI-Papier zu Bedrohungslage, Prävention und Reaktion

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Themenpapier (PDF) veröffentlicht, das über Ransomware informiert und Hilfestellung zum Umgang mit dieser Bedrohung gibt. Es ist insbesondere für professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen gedacht.

Das 19-seitige Dokument widmet sich der verschärften Bedrohungslage durch Ransomware und beschreibt Angriffsvektoren sowie mögliche Schäden. Konkrete Empfehlungen und Hilfestellungen für Prävention sowie die Reaktion im Schadensfall bilden weitere Schwerpunkte.

„Die durch Ransomware verursachten IT-Sicherheitsvorfälle der letzten Wochen zeigen, wie abhängig Unternehmen und andere Institutionen von Informationstechnologie sind und welche Auswirkungen ein Cyber-Angriff haben kann“, lässt sich BSI-Präsident Arne Schönbohm dazu in einer Presseaussendung zitieren. „Das BSI ruft IT-Anwender auf, sich mit der aktuellen Bedrohungslage durch Ransomware auseinander zu setzen und entsprechende Schutzmaßnahmen zu ergreifen.“

Vor Kurzem warnten das BSI und andere Sicherheitsbehörden in einer gemeinsamen Mitteilung vor zunehmend schweren Cyberangriffen und forderten gefährdete Organisationen zu wirksamen Gegenmaßnahmen auf. Ein Anlass waren offenbar die durch Schadprogramme lahmgelegten Systeme mehrerer Kliniken in Nordrhein-Westfalen. Dabei wurde zudem Ransomware eingeschleust, die die auf Rechnern und im Netzwerk gespeicherten Daten verschlüsselte und ein Lösegeld für ihre Freigabe forderte. Laut einer Bitdefender-Studie zahlte jedes dritte deutsche Opfer solcher Erpressersoftware bereits Lösegeld. Auch die unterfränkische Gemeinde Dettelbach entrichtete 490 Euro an Cyberkriminelle, nachdem eine Variante der Ransomware Tesla-Crypt mehrere Server der Stadtverwaltung lahmgelegt hatte.

Das BSI-Papier beschreibt zunächst die Bedrohungslage und die Ransomware-Varianten. Im Mittelteil geht es ausführlich auf mögliche Maßnahmen zur Prävention ein. Dazu gehört das regelmäßige Einspielen von Sicherheitspatches und die Deinstallation nicht benötigter Software, um die Angriffsfläche zu minimieren. In Webbrowsern sollten insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt sowie Plug-ins wie Flash, Silverlight und Java – sofern nicht dringend benötigt – entfernt werden.

Organisationen wird weiterhin eine umsichtige Behandlung von E-Mails / Spam auf dem Server, die Segmentierung von Netzwerken, die Sicherung von Remotezugängen, sicherer Umgang mit Administratorkonten, ein Datensicherungskonzept sowie professioneller Virenschutz empfohlen. Nicht zuletzt gelte es, die Mitarbeiter durch Schulungen und Awareness-Kampagnen für die Gefahren zu sensibilisieren.

Etwas knapper fallen die empfohlenen Reaktionsmaßnahmen aus, sollte es dennoch zu einem Sicherheitsvorfall mit Ransomware kommen. Es gelte dabei, „ruhig zu bleiben und bedacht zu handeln“. Ausdrücklich rät das BSI, angemessen vorzusorgen, im Schadensfall auf die Vorbereitungen zurückzugreifen und keinesfalls zu zahlen. Jede Zahlung finanziere die Weiterentwicklung der Schadsoftware – und damit steige auch die Wahrscheinlichkeit für den Betroffenen, erneut infiziert zu werden. Es gebe zudem keine Garantie, dass Cyberkriminelle nach Zahlung des geforderten Lösegelds tatsächlich die Entschlüsselung ermöglichen.