Ransomware

Ransomware, deutsch Erpressungstrojaner oder Verschlüsselungstrojaner: Form von Schadsoftware, die Daten auf einem infizierten System verschlüsselt und für deren Freigabe ein Lösegeld („ransom”) fordert. Die Zahlung wird in der Regel in einer Kryptowährung verlangt, meist Bitcoin, um Rückverfolgung zu erschweren.

Klassische Ransomware verschlüsselt Dateien auf der lokalen Festplatte und auf eingehängten Netzlaufwerken; moderne Varianten setzen zusätzlich auf eine zweite Erpressungsstufe, bei der zuvor exfiltrierte Daten mit Veröffentlichung gedroht wird, falls nicht gezahlt wird („Double Extortion”). Verbreitet wird Ransomware unter anderem über manipulierte E-Mail-Anhänge, infizierte Office-Dokumente mit Makros, kompromittierte Update-Server und nicht gepatchte Sicherheitslücken in Server-Software.

Internationale Aufmerksamkeit erreichten breit gestreute Wellen wie WannaCry (Mai 2017), das innerhalb weniger Tage Krankenhäuser, Industrieunternehmen und Behörden in mehr als 150 Ländern lahmlegte, sowie NotPetya (Juni 2017), das ursprünglich in der Ukraine startete und globalen Schaden in Milliardenhöhe verursachte. Spätere Kampagnen wie REvil, Conti und LockBit zielten gezielt auf Unternehmen, Kommunen und Krankenhäuser. Auch in Deutschland traf Ransomware mehrfach kritische Infrastruktur, darunter den Landkreis Anhalt-Bitterfeld 2021 und das Universitätsklinikum Düsseldorf 2020.

Sicherheitsbehörden raten in der Regel davon ab, das geforderte Lösegeld zu zahlen — eine Entschlüsselung ist nicht garantiert, und die Zahlung finanziert weitere Angriffe. Empfohlen werden regelmäßige, getrennt gespeicherte Backups, aktuelle Software-Updates, restriktive Nutzerrechte und Mehr-Faktor-Authentifizierung. Im Notfall bieten Initiativen wie No More Ransom, getragen von Europol und Sicherheitsfirmen, kostenfreie Entschlüsselungs-Tools für einige Ransomware-Familien.