Handlungsempfehlungen zur Prävention vor Malware, insbesondere Ransomware

Besuchen Sie auch die informationstechnischen Grundlagen zur Absicherung von Computer-Systemen vor unberechtigten Fremdzugriff (Klick!)

I. Ransomware

Ransomware verhindert den Zugriff auf bestimmte Daten, Funktionen oder gar das komplette (Betriebs-)System und gibt diesen erst nach der Zahlung eines bestimmten „Lösegelds“ wieder frei.1Saeltzer, DuD 2014, 333, 339. Die Nutzung von Ransomware wird daher oftmals als „digitale Erpressung“ bezeichnet.2Wehrmann/Bluhm/Rink, IT-Sicherheit: Rechtsentwicklung, Bedrohungslage und Schutzkonzepte, in: Tagungsband Herbstakademie 2016, Smart World – Smart ...continue

Technisch werden in der Regel zwei Unterarten unterschieden.3BKA, Cybercrime Bundeslagebild 2015, S. 10. Online: ...continue

Scareware „erschreckt“ den Nutzer, indem vorgegeben wird, ein bestimmter Virus oder ähnliches sei auf dem Endgerät installiert und könne nur durch die von dem Programm angegebenen Handlungen wieder entfernt werden.4Schmidt, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 3 Rn. 243.

Wesentlich gefährlicher ist die Variante der Krypto-Trojaner, die bei ca. 95 Prozent der Angriffe verwendet wird.5BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 8. Nach der Infektion verschlüsselt der Schädling die Dateien auf dem System.

Die Infektion mit der Schadsoftware erfolgt regelmäßig über infizierte E-Mail-Attachments6So wohl auch im Fall des österreichischen Hotels, vgl. Felsberger/Macher, Hacker attackierten Hotel zum vierten Mal, in: Kleine Zeitung v. 23. ...continue oder über den Aufruf infizierter Internetseiten, wobei es bereits durch Popup-Online-Werbung zu einer sog. Drive-by-Installation7Darunter ist der unbemerkte und unbewusste Installationsvorgang der Schadsoftware auf dem Rechner des Nutzers zu verstehen, vgl. Schmidt, in: ...continue kommen kann.8Salomon, MMR 2016, 575.

 

II. Aktuelle Bedrohungslage durch Ransomware

Im Jahr 2016 war allen voran in Deutschland eine verstärkte Zunahme von entsprechenden Infizierungen zu beobachten, wobei oftmals mit ungezielten Massenangriffen gearbeitet wurde.9BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 20. Online: ...continue Kaspersky Lab gab an, dass im Jahr 2016 kein anderes Land so oft von Schad-Mails betroffen wurde wie Deutschland.10Laut Kaspersky wurden 13, 21 Prozent aller Schadmails an deutsche Mail-Adressen versandt, Kasperky Lap, Spam und Phishing im dritten Quartal 2016. ...continue Dem BSI zufolge waren im Jahr 2016 ein Drittel der befragten Unternehmen mit Ransomware konfrontiert.11BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 21. Das Geschäft ist lukrativ, da viele Opfer notgedrungen zahlen. Die generelle Bereitschaft von Unternehmen, die Zahlung vorzunehmen, liegt laut IBM bei 70 Prozent.12IBM, Pressemitteilung vom 14.12.2016. Online: https://www-03.ibm.com/press/de/de/pressrelease/51243.wss (zuletzt abgerufen am 13. Februar 2017). Dem Virenschutz-Anbieter Bitdefender zufolge sind in Deutschland 33 Prozent der Betroffenen der Zahlungsaufforderung nachgekommen, weitere 36 Prozent wären hierzu bereit.13Bitdefender, 3. März 2016. Online: ...continue

Während das FBI zur Zahlung rät,14Schirrmacher, c’t 2016, 76. empfiehlt das BSI von einer solchen Zahlung abzusehen, da eine Entschlüsselung auch nach Zahlung des Lösegeldes nicht gesichert ist und durch die Zahlung kriminelles Verhalten gefördert wird.15BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 17; BSI, Pressemitteilung vom 5. Februar 2016. Online: ...continue Aus letzterem können sich zudem strafrechtliche Konsequenzen für den Zahlenden ergeben, denn dadurch könnte der Tatbestand der Unterstützung einer kriminellen Vereinigung verwirklicht sein, was gem. § 129 Abs. 1 Var. 4 StGB strafbar ist.16Salomon, MMR 2016, 575.

1. Bedrohungslage für Unternehmen

Im unternehmerischen Bereich kann Ransomware über zwei potentielle Schwachstellen eindringen: Technische und menschliche.

Mangelnde Softwarepflege und veraltete Systeme können einerseits Einfallstor für Ransomware sein. Andererseits sind aber gerade auch die Mitarbeiterinnen und Mitarbeiter entscheidender Faktor. Insbesondere im Hinblick auf den zunehmenden Grad der Professionalisierung der Angreifer können viele Attacken von ungeschulten Augen schlicht nicht mehr erkannt werden.17BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 8. Neben dem wirtschaftlichen Schaden, der durch Ransomware verursacht wird, ist im unternehmerischen Bereich auch zu beachten, dass der Betroffene selbst unter Umständen schuldrechtlich oder deliktisch ersatzpflichtig wird.18Vgl. dazu: Mehrbrey/Schreibauer, MMR 2016, 75, 80. Im vertraglichen Bereich kommen etwa Verzugsschäden in Betracht, die entstehen können, wenn das Unternehmen auf Grund des Angriffes nicht fristgerecht liefern kann – die Nichtbeachtung von IT-Sicherheitspflichten kann zugleich einen Verstoß gegen Verkehrssicherungspflichten darstellen und somit zum deliktischen Schadensersatz führen.19Mehrbrey/Schreibauer, MMR 2016, 75, 81.

Dabei ist zu berücksichtigen, dass eine völlige Verkehrssicherung unerreichbar ist, es gilt diejenigen Maßnahmen zu ergreifen, die nach der Verkehrsanschauung erforderlich und dem Unternehmer letztlich auch zumutbar sind.20Rockstroh/Rockstroh, MMR 2017, 77, 80. Insbesondere für kleine und mittelständische Unternehmen (KMU) kann ein derartiger Angriff somit schnell zur existenziellen Bedrohung werden, da in der Summe Schäden in Millionenhöhe entstehen können. 21Zusammengesetzt aus Eigenschäden, Fremdschäden und Reputationsschäden, vgl. dazu: bitkom, Kosten eines Cyber-Schadensfalles – Leitfaden. Online: ...continue

2. Bedrohungslage für Privatpersonen

Im Hinblick auf die zunehmende Digitalisierung ist nicht mehr nur noch der heimische Rechner Opfer potentieller Ransom-Attacken. Neben dem Smartphone22Vor allem Android-Smartphones sind akut von Ransomware bedroht, vgl. Bitdefender, 12. Oktober 2016. Online: ...continue ist insbesondere das smart home als Angriffsziel denkbar. Wesentlich invasivere Eingriffe mittels Ransomware sind im Bereich smart cars beziehungsweise smart health denkbar. Insbesondere im Bereich smart health weist das US-Gesundheitsministerium mit Pressemitteilung vom 9. Januar 2017 dezidiert auf Gefahren hin, die mit der zunehmenden Vernetzung medizinischer Produkte einhergehen.23U.S. Food & Drug Administration, 9. Januar 2017. Online: http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm535843.htm (zuletzt ...continue

3. Bedrohungslage für Öffentliche Infrastrukturen

Ransomware ist eine akute Gefahr für die Einrichtungen und die Funktionsfähigkeit des Staates. Als die Stadtverwaltung der bayerischen Stadt Dettelbach mittels Ransomware attackiert wurde, zeigte sich zu Beginn des letzten Jahres, dass dies nicht nur ein abstraktes Gefahrenszenario ist.24MMR-Aktuell 2016, 376676. Im Bereich der Kommunalverwaltung entfalten Ransom-Angriffe eine doppelte Wirkung, da einerseits ein immenser Aufwand betrieben werden muss, um „zerstörte“ Daten wiederzubeschaffen, andererseits auf Grund des Datenverlusts die Gefahr besteht, dass soziale Leistungen nicht fristgerecht ausbezahlt werden können.25Gorr, VW 5/2016, 36. Zudem werden Einrichtungen der allgemeinen Daseinsvorsorge, insbesondere Krankenhäuser, vermehrt mit Ransomware angegriffen.26BSI, Pressemitteilung vom 08.03.2016. Online: ...continue Darüber hinaus sieht De Maizière in diesen Angriffen „langfristig Gefahren für die freiheitliche Gesellschaft und unsere Demokratie“, wenn zum Beispiel der Deutsche Bundestag oder die darin vertretenen Parteien zum Ziel der Hacker werden.27BSI, Die Lage der Sicherheit in Deutschland 2016, Vorwort. Neben der gezielten Beeinflussung der anstehenden Bundestagswahl28Vgl. dazu Bundesamt für Verfassungsschutz, Newsletter Oktober 2016. Online: ...continue könnte Ransomware aber auch dazu genutzt werden, Parteizentralen und vergleichbare Einrichtungen zu sabotieren29Beuth, Wenn Erpresser Kreativ werden, in: ZeitOnline v. 2. Februar 2017. Online: ...continue.

 

III. Handlungsempfehlungen

Es empfiehlt sich eine Unterscheidung zwischen Vorabmaßnahmen und Maßnahmen im Fall der Infektion.30Vgl. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 10. Die aufgezeigten Maßnahmen sind gleichsam für alle vorab benannten Gefahrengruppen empfehlenswert.

1. Schutzmaßnahmen

Eine nochmalige Differenzierung bietet sich in diesem Bereich an, wobei nach Maßnahmen im technischen Bereich sowie Schulungsmaßnahmen aufzugliedern ist.

a. Technische Maßnahmen

  • Verwendete Software ist auf dem aktuellen Stand zu halten, die Nutzung veralteter Software oder von Betriebssystemen, die nicht mehr aktualisiert werden, wie dies zum Beispiel bei Windows XP der Fall ist, ist aus IT-Sicherheitsrechtlicher Perspektive nicht hinnehmbar. Gerade im unternehmerischen Bereich ergeben sich bei einem Verstoß gegen diesen Grundsatz enorme Haftungsrisiken, da das Unterlassen der Aktualisierung jedenfalls einen Verstoß gegen Verkehrssicherungspflichten darstellen dürfte.
  • Flankierend dazu ist die Nutzung eines professionellen, aktuellen Anti-Viren-Programms dringend empfohlen. Die Virusdatenbank des Scanners ist täglich und bei Bedarf mehrmals täglich zu aktualisieren. Die Echtzeituntersuchung ist zu aktivieren. Je nach Sensibilität eines Computersystems sind zusätzliche wöchentliche oder monatliche Volluntersuchungen des Computersystems (etwa zur Nachtzeit oder in Leerlaufzeiten) vorzunehmen.
  • Der zentrale Mailserver und/oder die lokalen E-Mail-Clients sollten über einen Spamfilter verfügen, der unerwünschte und oftmals virenversuchte E-Mails nicht bis zum Nutzer durchlässt.
  • Eine Infizierung eines Computers mit Malware geschieht zum Großteil durch den Besuch gefährlicher Webseiten. Es sollte ein Browser-PlugIn auf den Unternehmens-Computern installiert werden, das vor dem Besuch gefährlicher Webseiten warnt. Auf den Webservern/Routern des Unternehmens sind solche gefährlichen Webseiten zusätzlich für die Mitarbeiter zu sperren.
  • Da eine Infektion aus technischer Sicht leider nie gänzlich ausgeschlossen werden kann, sind regelmäßig Daten-Backups durchzuführen. Diese können den Schaden im Fall eines Angriffs minimieren. Dabei ist darauf zu achten, dass diese Backups „offline“ angelegt werden, also für die Schadsoftware unerreichbar sind. Das BSI empfiehlt diesbezüglich zum Beispiel, Daten auf einem Netzwerklaufwerk zu speichern, bei dem die Zugriffsrechte auf archivierte Dateien eingeschränkt werden können.31BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 12.
  • Empfehlenswert ist zudem, die Benutzerkontosteuerung zu aktivieren, da der Nutzer hierdurch bei Veränderungen, die Administratorrechte erfordern, sofort informiert wird.32Bitdefender, So schützen Sie sich vor Ransomware – Teil III. Online: ...continue

b. Schulungsmaßnahmen

Im unternehmerischen Bereich gilt es allen voran die Mitarbeiterinnen und Mitarbeiter zu schulen und zu sensibilisieren. Dabei kann oftmals schon ein grundsätzlich kritischer Umgang mit E-Mails von Unbekannten, insbesondere bei angehängten Dateien, Werbe-Angeboten sowie zweifelhaften Internetseiten ausreichend sein, um einen Großteil der Schadsoftware fernzuhalten.

 

c. Cyber-Versicherungen

Jedenfalls im Bereich der Unternehmen ist an den Abschluss einer Cyber-Versicherung zu denken. Gerade KMU, die im Bereich der IT-Sicherheit nicht die Möglichkeiten eines Konzerns ausschöpfen können, kann eine IT-Haftpflichtversicherung vor existenziellen Gefährdungen schützen.33Schulz/Braun, VW 12/2016, 49.

Die oftmals modular aufgebauten und somit gezielt anpassbaren Versicherungen34Behrends, VW 2/2013, 24. dürfen bislang allerdings keine umfangreichen Deckungszusagen für den Fall eines Ransom-Angriffes enthalten.35Lier, VW 7/2016, 40. Der Gesamtverband der Deutschen Versicherungswirtschaft e.V. hat allerdings ein Konzept entwickelt, welches Versicherungsunternehmen voraussichtlich ab März 2017 erlaubt entsprechende Produkte anbieten zu können.36GDV, IT-Risiken für den Mittelstand erkennen, vorbeugen, versichern. Online: ...continue Grundsätzlich versicherbar sind bereits jetzt Eigen- und Fremdschäden, die durch (andere) Cyber-Angriff entstehen.37Erichsen, CCZ 2015, 247, 249. Zu beachten ist allerdings, dass Art und Umfang der Versicherungen stark variieren können, so dass die Auswahl der passgenauen Police zu Schwierigkeiten führen kann.38Wehrmann/Bluhm/Rink, IT-Sicherheit: Rechtsentwicklung, Bedrohungslage und Schutzkonzepte, in: Tagungsband Herbstakademie 2016, Smart World – Smart ...continue Speziell auf kommunale Unternehmen und Gebietskörperschaften zugeschnittene Cyberversicherungen bietet zwischenzeitlich die Versicherungsgruppe BGV an.39Gorr, VW 5/2016, 36.

2. Maßnahmen im Fall der Infektion

Aus bereits benannten Gründen ist von der Zahlung des geforderten Lösegelds dringend abzuraten. Neben der unverzüglichen Trennung des betroffenen Systems vom Netz, unter Umständen sogar durch ein hartes Abschalten,40BSI, Lagedossier Ransomware, Stand Mai 2016, S. 32. Online: ...continue empfiehlt es sich, umgehend einen Experten heranzuziehen.41BSI, Lagedossier Ransomware, Stand Mai 2016, S. 33. Zwar ist gerade der Bereich der Online-Kriminalität überwiegend international geprägt, so dass die Strafverfolgung auch unter diesem Aspekt erschwerten Bedingungen unterliegt,42Vgl. dazu Goger/Stock, ZRP 2017, 10. das BSI ruft aber dennoch dazu auf, in jedem Fall polizeiliche Anzeige zu erstatten.43BSI, Ransomware – Bedrohungslage, Prävention & Reaktion S. 17.

Referenzen   [ + ]

1. Saeltzer, DuD 2014, 333, 339.
2. Wehrmann/Bluhm/Rink, IT-Sicherheit: Rechtsentwicklung, Bedrohungslage und Schutzkonzepte, in: Tagungsband Herbstakademie 2016, Smart World – Smart law? Weltweite Netze mit regionaler Regulierung, S. 254.
3. BKA, Cybercrime Bundeslagebild 2015, S. 10. Online: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2015.html (zuletzt abgerufen am 13. Februar 2017).
4. Schmidt, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 3 Rn. 243.
5. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 8.
6. So wohl auch im Fall des österreichischen Hotels, vgl. Felsberger/Macher, Hacker attackierten Hotel zum vierten Mal, in: Kleine Zeitung v. 23. Januar 2017. Online: http://www.kleinezeitung.at/kaernten/feldkirchen/5158189/Turracher-Hoehe_Hacker-attackierten-Hotel-zum-vierten-Mal (zuletzt abgerufen am 13. Februar 2017).
7. Darunter ist der unbemerkte und unbewusste Installationsvorgang der Schadsoftware auf dem Rechner des Nutzers zu verstehen, vgl. Schmidt, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 3 Rn. 209.
8. Salomon, MMR 2016, 575.
9. BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 20. Online: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2016.pdf?__blob=publicationFile&v=3 (zuletzt abgerufen am 13. Februar 2017).
10. Laut Kaspersky wurden 13, 21 Prozent aller Schadmails an deutsche Mail-Adressen versandt, Kasperky Lap, Spam und Phishing im dritten Quartal 2016. Online: https://de.securelist.com/analysis/quartalsreport-spam/72185/spam-and-phishing-in-q3-2016/ (zuletzt abgerufen am 13. Februar 2017).
11. BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 21.
12. IBM, Pressemitteilung vom 14.12.2016. Online: https://www-03.ibm.com/press/de/de/pressrelease/51243.wss (zuletzt abgerufen am 13. Februar 2017).
13. Bitdefender, 3. März 2016. Online: https://www.bitdefender.de/news/jedes-dritte-opfer-von-erpressungssoftware-in-deutschland-hat-loesegeld-bezahlt-3151.html (zuletzt abgerufen am 13. Februar 2017).
14. Schirrmacher, c’t 2016, 76.
15. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 17; BSI, Pressemitteilung vom 5. Februar 2016. Online: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/SaferInternetDay_Ransomware_05202016.html (zuletzt abgerufen am 13. Februar 2017); Auch die Polizei Niedersachsen rät dringend davon ab, die Forderung zu begleichen. Online: http://www.polizei-praevention.de/themen-und-tipps/pc-gesperrt-ransomware.html (zuletzt abgerufen am 13. Februar 2017).
16. Salomon, MMR 2016, 575.
17. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 8.
18. Vgl. dazu: Mehrbrey/Schreibauer, MMR 2016, 75, 80.
19. Mehrbrey/Schreibauer, MMR 2016, 75, 81.
20. Rockstroh/Rockstroh, MMR 2017, 77, 80.
21. Zusammengesetzt aus Eigenschäden, Fremdschäden und Reputationsschäden, vgl. dazu: bitkom, Kosten eines Cyber-Schadensfalles – Leitfaden. Online: https://www.bitkom.org/Bitkom/Publikationen/Welche-Kosten-entstehen-bei-einem-Cyberangriff.html (zuletzt abgerufen am 13. Februar 2017).
22. Vor allem Android-Smartphones sind akut von Ransomware bedroht, vgl. Bitdefender, 12. Oktober 2016. Online: https://www.bitdefender.de/news/bitdefender-zeigt:-ransomware-wird-zur-groessten-bedrohung-fuer-android-3195.html (zuletzt abgerufen am 13. Februar 2017).
23. U.S. Food & Drug Administration, 9. Januar 2017. Online: http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm535843.htm (zuletzt abgerufen am 13. Februar 2017).
24. MMR-Aktuell 2016, 376676.
25. Gorr, VW 5/2016, 36.
26. BSI, Pressemitteilung vom 08.03.2016. Online: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Funktionsfaehigkeit_Kritischer_Infrastrukturen_08032016.html (zuletzt abgerufen am 13. Februar 2017).
27. BSI, Die Lage der Sicherheit in Deutschland 2016, Vorwort.
28. Vgl. dazu Bundesamt für Verfassungsschutz, Newsletter Oktober 2016. Online: https://www.verfassungsschutz.de/de/oeffentlichkeitsarbeit/newsletter/newsletter-archive/bfv-newsletter-archiv/bfv-newsletter-2016-3/bfv-newsletter-2016-03-11 (zuletzt abgerufen am 13. Februar 2017).
29. Beuth, Wenn Erpresser Kreativ werden, in: ZeitOnline v. 2. Februar 2017. Online: http://www.zeit.de/digital/datenschutz/2017-02/ransomware-kreative-erpressung-herzschrittmacher-autos-bundestagswahl (zuletzt abgerufen am 13. Februar 2017).
30. Vgl. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 10.
31. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 12.
32. Bitdefender, So schützen Sie sich vor Ransomware – Teil III. Online: https://www.bitdefender.de/hotforsecurity/so-schuetzen-sie-sich-vor-ransomware-%E2%80%93-teil-iii-2802.html (zuletzt abgerufen am 13. Februar 2017).
33. Schulz/Braun, VW 12/2016, 49.
34. Behrends, VW 2/2013, 24.
35. Lier, VW 7/2016, 40.
36. GDV, IT-Risiken für den Mittelstand erkennen, vorbeugen, versichern. Online: http://www.gdv.de/2016/12/it-risiken-fuer-den-mittelstand-erkennen-vorbeugen-versichern/ (zuletzt abgerufen am 13. Februar 2017).
37. Erichsen, CCZ 2015, 247, 249.
38. Wehrmann/Bluhm/Rink, IT-Sicherheit: Rechtsentwicklung, Bedrohungslage und Schutzkonzepte, in: Tagungsband Herbstakademie 2016, Smart World – Smart law? Weltweite Netze mit regionaler Regulierung, S. 259.
39. Gorr, VW 5/2016, 36.
40. BSI, Lagedossier Ransomware, Stand Mai 2016, S. 32. Online: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen am 13. Februar 2017).
41. BSI, Lagedossier Ransomware, Stand Mai 2016, S. 33.
42. Vgl. dazu Goger/Stock, ZRP 2017, 10.
43. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion S. 17.