Lesedauer ca. 4 Minuten

1989 war nicht nur das Jahr des Mauerfalls, sondern auch das Jahr des ersten dokumentierten Ransomware-Angriffs. Das als AIDS-Trojaner bekannte Virus wurde damals über infizierte Disketten verschickt und verschlüsselte die Dateien seiner Opfer, die anschließend aufgefordert wurden, 189 US-Dollar Lösegeld an ein Postfach zu schicken. Der Schaden hielt sich – vor allem aufgrund der geringen Computernutzung zu dieser Zeit – in Grenzen. Doch die Geschichte der Ransomware nahm ihren Lauf.

In den 1990er und frühen 2000er Jahren geriet das Modell Cyber-Erpressung zunächst in den Hintergrund, bevor es in Form von irreführender und gefälschter Software und Applikationen erneut in Erscheinung trat. Die erste Welle rollte im Jahr 2005 an, als sich Schadprogramme als legitime Software wie PC-Optimierer oder Disk-Cleaner ausgaben. Ihnen folgten Nachahmer-Versionen beliebter Antivirus-Lösungen, ehe Ransomware Locker und ihre wohl bekannteste Variante CryptoLocker auftauchten.

Die auch heute noch bekannte Version von CryptoLocker trat erstmals 2012 in Erscheinung. Sie verhindert den Zugriff auf und die Kontrolle von Dateien und Ordnern und gibt diese erst nach Zahlung eines Obolus wieder frei. Sind Unternehmen vom CryptoLocker infiziert, wird dies schnell zu einem ernsten Problem, da oft große Mengen an Daten betroffen sind und der Betriebsablauf erheblich gestört wird. Letztlich waren es Angriffe wie diese, die das Geschäftsmodell Cyber-Erpressung zum Laufen gebracht haben.

Finanzielle Rentabilität

Wie eine aktuelle Befragung des Marktforschungsunternehmens Vanson Bourne ermittelt hat, wurden 48 Prozent aller Unternehmen weltweit in den vergangenen 12 Monaten Opfer eines Ransomware-Angriffs. Immerhin 65 Prozent der betroffenen Unternehmen zahlten die geforderten Lösegeldbeträge – im Schnitt 640 Euro. Kein Wunder also, dass Cyber-Erpressung für viele Hacker ein attraktives Geschäft ist: Bleibt man bei einer Zahlquote bei 65 Prozent, ergibt sich eine lohnende Rechnung: Attackiert ein Cyber-Angreifer tausend Unternehmen und fordert 640 Euro für die Entschlüsselung, verdient er mehr als 400.000 Euro. Viel Geld für wenige Minuten Arbeit.

Ransomware-as-a-Service

Da auch die Unternehmen mittlerweile dazu gelernt haben und in der Entschlüsselung von Daten immer geschickter werden, ist von den Ransomware-Schöpfern zunehmender Erfindungsreichtum gefragt. Längst hat sich das Geschäft mit der Ransomware verändert.

In Form von speziellen Ransomware-Services oder DIY-Toolskits, die an die Bedürfnisse des jeweiligen Angreifers angepasst werden können, ist die Ransomware selbst zur Ware geworden. Das Crypto-Programm Stampado, das im DarkNet für 39 US-Dollar erworben werden kann, hat sogar einen eigenen YouTube-Channel, der für das Ransomware-as-a-Service (RaaS)- Modell Werbung macht.

Da Verschlüsselungs-Malware heute relativ unkompliziert und zu spotbilligen Preisen verkauft wird, können selbst Menschen ohne weitreichende IT-Erfahrung zum Cyber-Erpresser werden. Franchise-Modelle bieten den Ransomware-Entwicklern dabei noch größere ökonomische Vorteile, denn sie ermöglichen ihnen eine höhere Reichweite bei geringerem Risiko. Solange der Einbehalt der Franchisenehmer sinnvoll abgewogen ist, erwarten den Ransomware-Entwickler hohe Einnahmen.

Die Ransomware der Zukunft

Vorhersagen, wo Cyber-Erpresser zukünftig zuschlagen werden und wie sich die Ransomware-Techniken weiterentwickeln werden, sind kaum möglich. Alles, was wir tun können, ist vergangene Muster zu analysieren und zu spekulieren. Die Erfahrung lehrt jedoch, dass sich Cyberkriminelle ein oder zwei Jahre nach dem Höhepunkt einer Angriffsserie auf eine andere Malware-Variante konzentrieren. Es ist davon auszugehen, dass sich die Kriminellen in den nächsten Jahren vor allem auf sämtliche Art smarter vernetzter Geräte fokussieren werden. Jedes einzelne Device ist ein potenzielles Angriffsziel und kann attackiert und verschlüsselt werden. Denkt man an all die neuen IoT-Technologien – von smarten Häusern bis zu vernetzten Autos – kommen einem viele unerwünschte Angriffsszenarien in den Sinn. Immerhin 20,8 Milliarden vernetzter Geräte sollen laut Analystenprognosen bis 2020 weltweit im Einsatz sein – die Möglichkeiten für Hacker sind also schier endlos.

Ransomware wird uns also auch in den nächsten Jahren begleiten und dem einen oder anderen Cyberkriminellen eine Menge Profit bescheren. Dennoch sollte kein Unternehmen den Kampf vorzeitig aufgeben, denn nicht jeder muss Opfer von Cyber-Erpressung werden. Einige Präventionsmaßnahmen sollte jedes Unternehmen standardmäßig einsetzen, um sich und seine Daten so gut es geht zu schützen. Dazu gehört zum einen der Einsatz von Endgeräteschutz, der über die Signatur-basierte Erkennung hinausgeht. Da die Entwickler von Malware die Struktur und Codes ihrer Programme stetig verändern, bedarf es Sicherheitslösungen, die eine Verhaltensanalyse vollziehen und Malware erkennen bevor sie Schaden anrichtet. Aber auch ein regelmäßiger Backup-Prozess ist unabdingbar. Nur wer regelmäßige Sicherungskopien erstellt – in Intervallen, die zu den jeweiligen Sicherheitsmechanismen passen – ist im Falle eines Angriffs auf der sicheren Seite.