Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Ransomware

Ransomware

Ransomware zählt heute zu den folgenreichsten Cyberbedrohungen für Privatpersonen, Unternehmen und öffentliche Einrichtungen. Im Kern geht es um Erpressung: Daten oder Systeme werden unbrauchbar gemacht, bis ein Lösegeld gezahlt wird. Diese Hub-Seite gibt einen Überblick und führt zu den passenden Vertiefungen.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurzfassung

  • Ransomware verschlüsselt Dateien oder sperrt Systeme und verlangt Lösegeld
  • Häufig wird zusätzlich mit Veröffentlichung gestohlener Daten gedroht (Double Extortion)
  • Zahlungen lösen das Problem in der Regel nicht und finanzieren weitere Angriffe
  • Schutz beruht auf Backups, Updates, Mehrfaktor-Authentifizierung und Awareness

Was ist Ransomware?

Ransomware ist eine Kategorie von Schadsoftware, deren Geschäftsmodell die Erpressung ist. Statt Daten nur zu stehlen oder zu zerstören, machen Angreifer Inhalte gezielt unzugänglich und bieten die Wiederherstellung gegen Zahlung an. Eine ausführliche Definition liefert die Seite Was ist Ransomware.

Typische Erscheinungsformen

  • Krypto-Ransomware: verschlüsselt Dateien auf Endgeräten und Servern
  • Locker-Ransomware: sperrt die Bedienoberfläche, ohne Dateien zu zerstören
  • Leakware / Doxware: droht mit Veröffentlichung gestohlener Daten
  • Double Extortion: kombiniert Verschlüsselung mit Datendiebstahl

Angriffsablauf in der Praxis

  • Initialer Zugang über Phishing, gestohlene Zugangsdaten oder ungepatchte Systeme
  • Erkundung und Ausweitung der Rechte im Netzwerk
  • Datendiebstahl vor der eigentlichen Verschlüsselung
  • Sabotage oder Löschung von Backups, soweit erreichbar
  • Verschlüsselung der Systeme und Lösegeldforderung

Wer ist betroffen?

Betroffen sind nicht nur grosse Konzerne, sondern auch Mittelstand, Handwerk, Kommunen, Krankenhäuser, Bildungseinrichtungen und Privatpersonen. Angreifer suchen einerseits gezielt nach lohnenden Zielen, nehmen andererseits Streuverluste in Kauf - jedes erreichbare System mit schwachen Zugängen ist potenziell relevant.

Was im Ernstfall zählt

Operative Schritt-für-Schritt-Hinweise stehen in den Erste-Hilfe-Seiten - für Endgeräte unter PC gesperrt und für verschlüsselte Daten unter Dateien sind verschlüsselt.

  • Ruhe bewahren, nicht überstürzt löschen oder neu installieren
  • Betroffene Geräte vom Netzwerk trennen, eingeschaltet lassen
  • Beweise sichern: Fotos der Meldung, Erpresserschreiben, Dateinamen
  • Im Unternehmen Krisenstab aktivieren, im Privatumfeld vertrauenswürdige Hilfe einbeziehen
  • Anzeige bei der Polizei erstatten

Prävention auf einen Blick

  • Aktuelle Updates für Betriebssystem, Browser und Anwendungen
  • Multi-Faktor-Authentifizierung für E-Mail, Fernzugänge und Administration
  • Backups nach 3-2-1 mit mindestens einer offline oder unveränderbaren Kopie
  • Phishing-Awareness im Privat- und Arbeitsumfeld
  • Im Unternehmen zusätzlich Netzwerksegmentierung, Logging und EDR

Wichtiger Hinweis

Diese Übersicht ersetzt keine individuelle IT-, Forensik- oder Rechtsberatung. Im akuten Vorfall sollten ein spezialisierter Dienstleister und die zuständigen Behörden eingebunden werden.

Häufige Fragen

Wie unterscheidet sich Ransomware von einem klassischen Virus?

Ein Virus kann viele Ziele haben - Daten stehlen, Botnetze aufbauen, sich verbreiten. Ransomware ist ein Geschäftsmodell mit einem klaren Zweck: Erpressung. Sie macht Inhalte unzugänglich und bietet die Freigabe gegen Zahlung an.

Bin ich als Privatperson überhaupt Ziel?

Direkt eher selten in der hochwertigen Variante, aber durchaus über Streuangriffe, Phishing-Wellen und kompromittierte Webseiten. Häufiger begegnen Privatpersonen heute Scareware und Fake-Support, technisch nahe Verwandte der klassischen Ransomware.

Wie kommt Ransomware ins Netzwerk?

Typische Wege sind Phishing-Mails mit Anhang oder Link, ungepatchte Fernzugänge wie RDP oder VPN, kompromittierte Dienstleisterzugänge und manipulierte Software-Downloads.

Reicht ein Backup als Schutz?

Ein gutes Backup ist zentral, aber kein vollständiger Schutz. Bei Double Extortion sind Daten oft bereits abgeflossen, bevor die Verschlüsselung beginnt - ein Wiederanlauf verhindert eine spätere Veröffentlichung nicht.

Soll Lösegeld gezahlt werden?

Behörden raten konsequent davon ab. Eine Zahlung garantiert keine Entschlüsselung, kann gestohlene Daten nicht zurückholen und finanziert weitere Angriffe. Details und Alternativen stehen unter Lösegeld zahlen.

Wo finde ich Hilfe zur Erkennung der Schadsoftware-Familie?

Das Projekt No More Ransom ist die zentrale Anlaufstelle. Dort helfen Polizei und IT-Sicherheitsunternehmen dabei, die konkrete Ransomware-Familie anhand der Erpressernachricht und verschlüsselter Dateien zu identifizieren. Die Webseite zeigt sofort, ob ein kostenloser Decryptor verfügbar ist. Suchen Sie dort Hilfe, bevor Sie Zahlungen in Betracht ziehen oder fragwürdige Tools aus dem Internet herunterladen.

Notfall - sofort Hilfe:
Erste Hilfe bei einem laufenden Vorfall
Für Privatpersonen | Für Unternehmen

Empfohlener nächster Schritt: Erstmaßnahmen bei verschlüsselten Dateien lesen, um Beweise zu sichern, bevor Sie eine Identifikation starten.
Für Privatpersonen: Hilfe für Privatpersonen. Für Unternehmen: Incident-Response-Checkliste.