In der Vergangenheit überschlugen sich die Meldungen über Ransomware dem Krypto-/Erpressungstrojaner, welche Daten von Unternehmen und Krankhäusern verschlüsselt und damit diese unbrauchbar machen. Nur mit einer Geldzahlung wurden diese Daten wieder freigegeben – eine Garantie gab es aber nicht.
Das Virus war effektiv, weil dieser sich geschickt getarnt in zum Beispiel Makros von Word versteckt hat und beim Öffnen der infizierten Datei zeitverzögert Dokumente und Bilder verschlüsselt hat. Dabei greift das Virus auch auf Netzlaufwerke zu und verschlüsselt die dort gefundenen Dateien und verbreitet sich sogar darüber. Dies ist besonders kritisch im Kontext der Krankenhaus-IT, da sich hier Netzlaufwerke als die zentrale Dateiablage und Schnittstelle zum Datenaustausch etabliert haben.
Einer der effektivsten Ransomware war TeslaCrypt. Die Entwickler dieser Ransomware veröffentlichten auf der Internetseite zum Bezahlen des Lösungsgeldes kürzlich den Master-Schlüssel zur Entschlüsselung von infizierten Daten. Diesen Master-Schlüsseln nutzten Sicherheitsforscher und Entwickler zur Entwicklung von Software, welche dem Opfer von TeslaCrypt die Daten entschlüsselt und wieder zur Verfügung stellt.
Jetzt durch die Veröffentlichung des Master-Schlüssels eine Entwarnung auszusprechen und Ransomware bzw. Krypto- und Erpressungstrojaner als „harmlos“ einzustufen, wäre fatal. Denn TeslaCrypt hat gezeigt, dass eine totgesagte Gattung der Makro-Viren wieder zum Leben erweckt werden können und dahinter ein „interessantes und effektives Geschäftsmodell“ sich eröffnet, in dem Daten verschlüsselt werden und diese Daten nur durch Zahlung eines Lösegelds wieder dem Opfer zur Verfügung stehen. Trittbrettfahrer könnten auf diesen Zug versuchen aufzusteigen beziehungsweise sind es bereits; wenn auch noch nicht die Effektivität von TeslaCrypt erreicht wurde.
Die Beispiele der gemeldeten Opfer zeigen auf, dass auch eine moderne und auf dem Stand der Technik agierende Krankenhaus-IT von Viren betroffen und in der Funktionsfähigkeit massiv eingeschränkt werden kann. Hier ist die IT weiterhin gefragt, die Bedrohungslage im Fokus zu halten und entsprechenden Prävention und Reaktion bereitzuhalten.
Das BSI hat dazu ein Themenpapier veröffentlicht, das Unternehmen und Behörden beim Umgang mit Schadprogrammen eine pragmatische Hilfestellung an die Hand gibt. Es steht auf der Website des BSI kostenlos zum Download zur Verfügung: Ransomware: Bedrohungslage, Prävention & Reaktion