Bedeutung
Ransomware ist eine bestimmte Form von Malware («Schadsoftware»). Die Erpresser-Software enthält im Wesentlichen Komponenten, mit denen die Angreifer Daten stehlen oder verschlüsseln. Im letzteren Fall sind die Daten nach Eingabe des privaten Schlüssels, den die Opfer nach der Lösegeldzahlung von den Ransomware-Gangs erhalten, wieder nutzbar.
Ausgangslage
Ransomware ist eine der grössten Plagen der IT-Welt, was den Schaden betrifft. Dutzende von Ransomware-Gruppen treiben in der Schweiz ihr Unwesen, weil hier besonders viel Lösegeld bei wenig Aufwand winkt. Mit Phishing und anderen Social-Engineering-Techniken sowie im Darknet gehandelten Zugangsdaten gelangen die Angreifer in die Opfernetzwerke.
Mehr als eine halbe Million kompromittierte Accounts soll es laut mehreren Studien in der Schweiz geben. Mehr als ein Drittel oder je nach Studie gar die Hälfte aller dokumentierten Cyberangriffe entfällt auf die jährlich mehr als 7000 erfolgreichen Ransomware-Attacken weltweit. Die Dunkelziffer dürfte aber weit höher sein.
Der globale wirtschaftliche Schaden wird gemäss Bundeskriminalamt Deutschland auf mehr als 150 Mrd. Euro geschätzt. Jeder Angriff kostet laut IBM und Ponemon Institute durchschnittlich fünf Millionen Franken. Laut dem Sicherheitsunternehmen Risikomonitor sind 2025 gemäss Analyse von Leak-Seiten aktiver Ransomware-Gruppen 58 Schweizer Organisationen Opfer von Ransomware-Angriffen geworden, leicht weniger als noch im Vorjahr. Die weltweit geforderte statistische Lösegeldsumme belief sich 2025 auf rund 3,5 Milliarden Euro – verhandelbar. Offiziell soll man jedoch kein Lösegeld zahlen, denn eine Garantie für die Entschlüsselung bzw. für die Rückgabe der gestohlenen Daten gibt es nicht. Zudem erhalten Lösegeldzahlungen das Geschäft der digitalen Kriminalität am Leben.
Geschichte
Alles begann 1989 mit dem sogenannten «Trojanischen Pferd» namens AIDS. Es gilt als erste Ransomware, obwohl damit keine offensichtliche Erpressung verbunden war. Ein psychisch erkrankter Biologe verschickte per Briefpost ein angeblich seriöses Tool auf Disketten an Forschungseinrichtungen. Das Programm verschlüsselte nach gewisser Zeit die Daten auf der Festplatte und forderte den Benutzer dazu auf, einen Lizenzschlüssel zu erwerben – mit der Zusendung eines Schecks an eine Postfachadresse in Panama. Niemand hatte den Lizenzvertrag gelesen, in dem die Forderung klar vermerkt war.
2005 dann der erste bekannte Versuch, Ransomware über das Internet zu verbreiten: Für die Entschlüsselung der vom Trojaner TROJ-PGPCODER.A gesperrten Dateien sollten mehrere Hundert Dollar bezahlt werden. Eine Zeit lang kursierte Malware, die vor allem als Blocker auftrat, eine primitive Frühform von Malware. Dann trat die erste Crypto-Malware in Erscheinung: 2013 nutzte CryptoLocker zudem erstmals zur Verbreitung Botnetze und forderte die Bezahlung in Bitcoin. Kryptowährungen befeuerten die Entstehung neuer Ransomware-Gangs, die sich ihrer Anonymität gewiss sein konnten. 2016 dann Petya: Die Malware zerstörte die Master-Dateitabelle der Computer, den Index für Dateien und Ordner. Der Computerwurm WannaCry gilt 2017 als weiterer zweifelhafter Meilenstein: Er befiel eine Viertelmillion Computer in 150 Ländern. Dumm für die zahlenden Firmen: Aufgrund eines Bugs war die Entschlüsselung in den meisten Fällen nicht möglich. In den folgenden Jahren öffneten sich die Schleusen für Massen-Ransomware, entstanden durch eine Kommerzialisierung des dunklen Geschäfts. Angreifer kauften immer häufiger Ransomware ein. Heute gibt es sogar «Ransomware as a Service». Ab 2020 verlegten sich die Angreifer auf eine doppelte Strategie, indem sie auch mit dem Absaugen von Daten begannen, um ihren Lösegeldforderungen Nachdruck zu verleihen.
Deep Dive
Die Komplexität moderner Sicherheitsarchitekturen ist für Organisationen der öffentlichen Verwaltungen und der Wirtschaft oft nicht mehr handelbar. Abraxas bietet mit Managed Security Services, Schwachstellenmanagement, individuellen EDR/XDR-Lösungen sowie gesicherten SaaS-Lösungen einen weitreichenden Schutz an.
Ransomware-Angriffe laufen fast immer ähnlich ab. Die Angreifer nutzen über alle Phasen hinweg eine oder mehrere von mehr als 250 bekannten Angriffstechniken.
Die sogenannte «Kill Chain» – der Lebenszyklus eines Angriffs – besteht vereinfacht beschrieben aus folgenden Phasen. Für eine effektive Verteidigung benötigen Unternehmen ein Verteidigungskonzept für jede Phase.
1. Einbruch: Der Zugriff zum Netzwerk erfolgt meist mittels Social Engineering bzw. Phishing-E-Mails. Schädliche Anhänge oder Links sind das digitale «Brecheisen». Ausgenutzt werden auch ungepatchte Sicherheitslücken oder schwach gesicherte Fernwartungszugänge.
Verteidigung: Passkeys (MFA FIDO2), die an die Hardware gebunden sind, starke Passwörter und ein schnelles Patch-Management. Dazu E-Mail-Sicherheit und Mitarbeitendenschulung (Awareness).
2. Ausbereitung: Kurz vor dem eigentlichen Schlag bereiten die Angreifer das betroffene System vor. Sie richten sich dauerhaft ein, vergeben sich wenn möglich weitere Rechte und deaktivieren Sicherheitssoftware. Sie versuchen anschliessend weitere Systeme zu erreichen, um dort die Ransomware zu verteilen.
Verteidigung: XDR-Lösungen (Extended Detection and Response), die Identitäten und den Datenverkehr überwachen. Sie sammeln Sicherheitsdaten auf allen Ebenen und verschaffen Einsicht in die laufende Attacke.
3. Datendiebstahl: Moderne Ransomware exfiltriert wertvolle Daten, natürlich vor der Verschlüsselung. Sollte das Opfer mit Backups den Schaden beheben, haben die Erpresser ein weiteres Druckmittel in der Hinterhand.
Verteidigung: EDR/XDR-Lösungen mit Verhaltensanalyse an jedem Endpunkt, Blockierung ausgehenden Traffics auf der Firewall.
4. Verschlüsselung: Heute für die meisten Ransomware-Gangs nur noch als Option eingesetzt. Meist wird eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung eingesetzt, um möglichst rasch und unentdeckt vorzugehen. Das Opfer braucht zur Entschlüsselung den privaten Key der Angreifer.
Verteidigung: Moderne Backup-Strategie.
Wirkung
Die Schäden durch Ransomware sind weitreichend:
- Betriebsunterbrechung
- Wiederherstellungskosten
- Reputationsschaden und Kundenverlust
- Konkursrisiko bis zur Geschäftsaufgabe
- Beeinträchtigung von Lieferketten
- Steigende Versicherungsprämien
- Gefährdung kritischer Infrastrukturen
- Stärkung der kriminellen Digitalwirtschaft (hohe Margen, geringes Risiko, Investitionen in Forschung und «IT-Talente») zum Schaden der ganzen Wirtschaft
Nebst dem volkswirtschaftlichen Schaden von mehreren Hundert Millionen Franken und Ausfällen von kritischen Infrastrukturen kann Ransomware auch tödlich enden. Studien zeigen, dass bei Angriffen auf Spitäler, Patienten umgeleitet und somit Notaufnahmen überlastet werden. Die Sterblichkeit steigt. Auch müssen bei einem Angriff Hunderte von Operationen abgesagt oder Patienten verlegt werden, unter Umständen mit tödlichen Folgen.
Ransomware-Angriffe abzuwehren, gleicht einem Katz-und-Maus-Spiel mit der digitalen Kriminalität. Nur wer seine IT heute umfassend absichert, kann sich einigermassen sicher fühlen. Das geht über organisatorische, technische bis hin zu risikomindernden Massnahmen. Bei letzterem handelt es sich für Versicherungsgesellschaften um ein Geschäftsfeld mit Potenzial. Gemäss dem Schweizerischen Versicherungsverband verfügen 2025 erst rund elf Prozent der Unternehmen über eine Cyberversicherung.
Alle bisher erschienenen Buchstaben im digitalen ABC
-
A
wie Artificial Intelligence
Artificial Intelligence; abgek. AI,
engl. für dt. künstliche Intelligenz, abgek. KI -
A
wie Apertus
Apertus; Kunstname für die erste in der Schweiz entwickelte KI auf Basis eines vielsprachigen grossen Sprachmodells (LLM).
-
B
wie Big Data
Big Data (von englisch big = gross und data = Daten)
-
B
wie Bug Bounty
Bug-Bounty-Programm (engl. sinng. Kopfgeld-Programm für Programmierfehler)
-
C
wie Cloud
Cloud, w.
-
C
wie CERT
CERT, Akronym für engl. Computer Emergency Response Team
-
D
wie Digitale Schweiz
1. Digitale Schweiz, w. (die digitale Transformation der Schweiz betreffend)
2. Nebenbedeutung: Teil des Markenversprechens von Abraxas. «Für die digitale Schweiz. Mit Sicherheit» -
D
wie DevOps
DevOps, Kofferwort für Development und Operations
-
E
wie E-ID
E-ID, w. (staatlich anerkannte, nationale elektronische Identität)
-
E
wie Entra ID
Entra ID, cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft; neue Bezeichnung für Azure AD.
-
F
wie Firewall
Firewall, w.
engl. für Brandmauer -
F
wie Federated Machine Learning
Federated Machine Learning,
abgekürzt FML, engl. für föderiertes Lernen. -
G
wie Graphical User Interface
GUI, s. (Abk. für engl. Graphical User Interface)
-
G
wie GitOps
GitOps,
Kofferwort für Git (Versionskontrollsoftware) und Operations -
H
wie Hermes
Hermes, m.
1. Götterbote aus der griech. Mythologie, u. a. Gott des Handels, Begleiter der Toten in den Hades
2. frz. Familienunternehmen mit Sitz in Paris für Luxus-Modeartikel
3. Abk. für «Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen», offener Standard zur Führung und Abwicklung von IT-Systemen -
H
wie Hybrid Cloud
-
I
wie IoT
IoT, s.
Abk. für engl. Internet of Things -
I
wie IAM
IAM, s.
Abk. für engl. Identity and Access Management -
J
wie Java
Java, s.
1. kleinste der Grossen Sundainseln (Indonesien)
2. systemunabhängige Programmiertechnologie, besonders für Anwendungen im Internet -
J
wie JSON
JSON,
Abk. für «JavaScript Object Notation». -
K
wie Kubernetes
Kubernetes, m.
1. Steuermann (altgriechisch)
2. Container-Orchestrierungssystem (Software) -
K
wie Kritische Infrastruktur
kritische Infrastruktur, w.
Bezeichnung für besonders wichtige und systemrelevante Infrastrukturen, ohne die die Schweiz Krisen nur schwer überleben könnte. -
L
wie Latenz
Latenz, f.
1. Vorhandensein einer noch nicht sichtbaren Sache
2. Zeit zwischen Reiz und Reaktion (Physiologie)
3. symptomfreie Zeit zwischen Ansteckung und Ausbruch einer Krankheit (Medizin)
4. Zeit zwischen Anfrage und Antwort (IT) -
L
wie LLM
-
M
wie Malware
Malware, f.
Software, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann -
M
wie Managed Workplace
Managed Workplace, m.
engl. Begriff für IT-Dienstleistungen mit externer Betreuung, erbracht von einem Managed Service Provider. -
N
wie No Code
No Code, engl. Begriff für eine bestimmte Art der Softwareentwicklung und des Programmierens.
-
N
wie New Work
New Work, n. od. f.
engl. für Neue Arbeit
Gesamtheit der modernen und flexiblen Formen der Arbeit bzw. der Arbeitsorganisation -
O
wie Outsourcing
Outsourcing, n.
engl. für Auslagerung
Übergabe von Aufgaben und / oder Strukturen eines Unternehmens an externe Dienstleister -
O
wie Outsourcing
-
P
wie Proxy
Proxy, m.
engl. für Stellvertreter
ein Vermittler von Anfragen in Computernetzwerken -
P
wie Personendaten
Personendaten, w. pl.
Fachbegriff für Daten, die eindeutig einem Menschen zugeordnet werden können. -
Q
wie Quantencomputer
Quantencomputer, m.
Aus Qubits und Quantengattern aufgebauter Computer, der die Gesetze der Quantenmechanik ausnutzt. -
Q
wie Quantensicherheit
Quantensicherheit, w.
technischer Begriff für die nächste Sicherheitsstufe von klassischen IT-Infrastrukturen -
R
wie Redundanz
Redundanz, f.
Zusätzliche technische Ressourcen als Reserve (Technik) -
S
wie Software-as-a-Service
SaaS, (ohne Artikel)
Kurzwort für englisch Software-as-a-Service = Software als Dienstleistung -
T
wie Transport Layer Security
TLS, m.,
Kurzwort für englisch Transport Layer Security (= Transportschicht-Sicherheit) -
U
wie USV
USV, w.,
Abk. für Unterbrechungsfreie Stromversorgung -
V
wie VPN
VPN, n.,
Abk. für engl. virtual private network = virtuelles privates Netzwerk -
W
wie White-Hat-Hacker
White-Hat-Hacker, m.
Ein White-Hat-Hacker (Oder White Hat, engl. für Weisser Hut) ist ein ethischer Hacker für Computersicherheit. -
X
wie XSS (Cross-Site-Scripting)
XSS, s.
Abk. für engl. Cross-Site-Scripting; dieses webseitenübergreifendes Scripting ist eine Angriffsmethode von Cyberkriminellen. -
Y
wie Y2K
Y2K,
Numeronym für das Jahr-2000-Problem, engl. Year und 2K für 2 Kilo = 2000 -
Z
wie z/OS
z/OS,
seit 2001 im Einsatz stehendes Betriebssystem für IBM-Grossrechner
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
