Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Glossar

Ransomware

Ransomware ist Schadsoftware, die Daten oder ganze Systeme unbrauchbar macht und für die Wiederherstellung eine Zahlung verlangt. Der Begriff umfasst sowohl klassische Sperr-Trojaner wie den BKA-Trojaner als auch moderne, verschlüsselnde Angriffe gegen Unternehmen und Behörden.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurzdefinition

Ransomware ist Schadsoftware, die den Zugriff auf Daten oder Systeme blockiert und für die Wiederherstellung Lösegeld fordert.

Einfach erklärt

Vereinfacht gesagt nimmt Ransomware digitale Inhalte in Geiselhaft. Mal wird nur der Bildschirm gesperrt, mal werden alle Dateien verschlüsselt. In jedem Fall sollen Betroffene unter Druck eine Zahlung leisten, häufig in Kryptowährung. Eine Garantie für die Freigabe gibt es nicht.

Technische Einordnung

Technisch gehört Ransomware zur Familie der Schadsoftware (Malware). Moderne Varianten kombinieren in der Regel einen Verschlüsselungsalgorithmus (z. B. AES für Dateiinhalte, RSA für den Schlüsselaustausch) mit Persistenzmechanismen, lateraler Bewegung im Netzwerk und einer Kommunikationskomponente zu einem Steuerserver.

Häufig vorgelagert sind Phishing, kompromittierte Zugangsdaten, anfällige Fernzugriffsdienste oder Schwachstellen in Software. Vor der eigentlichen Verschlüsselung steht oft eine Phase, in der sich Angreifer im Netzwerk umsehen und Daten kopieren (siehe Exfiltration).

Beispiel im Kontext BKA-Trojaner

Der BKA-Trojaner war eine frühe, vor allem auf Einschüchterung basierende Form von Ransomware. Er verschlüsselte in der Regel keine Dateien, sondern sperrte den Bildschirm mit einer gefälschten Behördenmeldung. Moderne Ransomware geht technisch deutlich weiter und kombiniert Verschlüsselung häufig mit Datendiebstahl (Double Extortion).

Abgrenzung zu ähnlichen Begriffen

  • Scareware: arbeitet mit Angst, ohne tatsächlich Daten zu verschlüsseln
  • Screenlocker: sperrt Bildschirm oder Browser, ohne Dateien zu zerstören
  • Leakware / Doxware: droht mit Veröffentlichung gestohlener Daten (siehe Exfiltration)
  • Wiper: zerstört Daten gezielt, ohne ernsthafte Wiederherstellungsabsicht
  • Allgemeiner Trojaner: Schadsoftware ohne explizite Lösegeldforderung, etwa zum Datendiebstahl oder als Botnetz-Bot

Direkter Vergleich

  • Ransomware vs. Scareware: Ransomware sperrt oder verschlüsselt tatsächlich; Scareware täuscht den Schaden nur vor.
  • Ransomware vs. Screenlocker: Ein Screenlocker blockiert nur die Oberfläche, Verschlüsselungs-Ransomware macht die Dateien selbst unbrauchbar.
  • Ransomware vs. allgemeiner Trojaner: Beide sind Schadsoftware, aber nur Ransomware fordert ausdrücklich Lösegeld.
  • Ransomware mit und ohne Exfiltration: Moderne Double-Extortion-Angriffe kopieren Daten zusätzlich nach außen - reine Verschlüsselung tut das nicht.
  • Hilfsmittel gegen Verschlüsselung: ein passender Decryptor oder eine saubere Backup-Wiederherstellung.

Siehe auch

Relevanz für Privatpersonen

Privatpersonen sind heute eher von Phishing-Wellen, Fake-Support und Browser-Scareware betroffen als von gezielter Verschlüsselungs-Ransomware. Dennoch kann ein infiziertes Endgerät erheblichen Schaden anrichten, etwa wenn Familienfotos oder Steuerunterlagen unwiederbringlich verloren gehen.

Wichtige Schutzbausteine sind aktuelle Updates, ein zurückhaltender Umgang mit unbekannten Anhängen sowie regelmäßige, offline aufbewahrte Backups.

Relevanz für Unternehmen

Für Unternehmen gehört Ransomware zu den schwerwiegendsten IT-Risiken. Ein erfolgreicher Angriff kann den Betrieb tagelang lahmlegen, Vertragsstrafen, Meldepflichten nach DSGVO und Reputationsschäden auslösen. Zentrale Schutzmaßnahmen sind Backups nach dem 3-2-1-Prinzip, Härtung von Identitäten und Fernzugriffen, Netzwerksegmentierung sowie ein eingeübter Notfallplan.

Typische Missverständnisse

  • "Ransomware ist immer Verschlüsselung" - falsch: auch reine Sperr- oder Drohangriffe gelten als Ransomware.
  • "Ein Backup schützt vollständig" - schützt vor Datenverlust, nicht aber vor Veröffentlichung gestohlener Daten.
  • "Nach Zahlung ist alles wieder gut" - es gibt keine Garantie, oft werden Daten dennoch veröffentlicht oder erneut erpresst.
  • "Nur große Unternehmen sind Ziel" - automatisierte Kampagnen treffen auch KMU und Privatpersonen.

Häufige Fragen

Ist jede Schadsoftware Ransomware?

Nein. Ransomware ist eine spezielle Kategorie, die explizit Lösegeld fordert. Andere Schadsoftware stiehlt etwa Zugangsdaten, baut Botnetze auf oder dient der Spionage.

Soll man Lösegeld zahlen?

BSI und Polizei raten konsequent davon ab. Eine Zahlung garantiert weder die Entschlüsselung noch verhindert sie eine Veröffentlichung gestohlener Daten und finanziert künftige Angriffe.

Gibt es Hilfe ohne Zahlung?

Für viele Ransomware-Familien existieren kostenlose Decryptoren, gesammelt etwa beim Projekt No More Ransom. Zusätzlich helfen spezialisierte IT-Dienstleister bei Wiederherstellung und Analyse.

Was ist der Unterschied zu einem allgemeinen Trojaner?

Ein Trojaner ist Schadsoftware, die sich als nützliches Programm tarnt. Ransomware ist eine Unterform, deren Ziel ausdrücklich Erpressung ist. Nicht jeder Trojaner ist Ransomware.