SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de
SDS / Unser Unternehmen / News / News-Details

12 Tipps zum Schutz vor Ransom-Ware

von Nicholas Vollmer (Kommentare: 0)

Jeden Tag werden in Deutschland die Datenbestände von Privatpersonen und Unternehmen durch sogenannte "Ransom Ware" verschlüsselt. Unsere 12 Tipps helfen bei dieser Problematik (und schützen außerdem vor Blitzeinschlag, Wasserschaden, defekter Software und Diebstahl).

Auf die genauen Hintergründe von Ransom-Ware soll in dem hier vorliegenden Artikel nicht eingegangen werden... zu groß und komplex ist das Thema. Wir wählen hier eine "einfache" Sprache und vereinfachen manche Sachverhalte zugunsten der Lebarkeit... IT-Profis mögen das verzeihen.

Wir konzentrieren uns hier vor allem auf drei Fragen:

  1. Wie erstellt man ein Backup?
  2. Wie schützt man das Backup vor einer Verschlüsselung durch Ransom-Ware?
  3. Wie bleibt man generell im Schadensfall handlungsfähig?

Die folgenden Antworten sind geeignet für Privatpersonen und Kleinunternehmen. Wir empfehlen hier nur Produkte, die wir wirklich verstehen und die wir wirklich kontrollieren können. Das Thema "Cloud-Backup" ist aus diesem Grund für uns kein Thema.

Tipp 1: Komplettsicherung eines ganzen Computers mittels "Image"

Ein "Image" ist eine 1:1-Kopie eines kompletten Rechners (inklusive Windows, Programmen und Daten). Hierfür bietet sich insbesondere "DriveSnapshot" an, welches für kleines Geld viel Leistung bringt. In Windeseile ist ein ganzer PC kopiert. Das Image kann mit einem Passwort verschlüsselt werden und ist somit vor unbefugtem Zugriff geschützt.

Wir empfehlen die wöchentliche Komplettsicherung des Computers. Bewahren Sie die letzten vier Versionen auf. Wenn Sie von einer Ransom-Software befallen wurden, so können Sie überlegen, ob Sie einen älteren Stand Ihres Computers auf einer frischen Festplatte wiederherstellen wollen (siehe weiter unten).

Tipp 2: Backup durch Spiegelung der Daten

Erstellen Sie eine komplette Daten-Kopie ("Spiegelung") auf einem separaten Laufwerk. Das geht schnell und Sie haben den aktuellen Stand der Daten im Zugriff.

Microsoft liefert die kostenlose Software "Robocopy" (robuste Datenkopie), die wirklich sehr leistungsfähig ist. Im Internet gibt es dazu vielerlei Hilfestellung.

Erstellen Sie beispielsweise auf dem Desktop eine Batchdatei "robocopy_d.bat" mit folgendem Inhalt:

robocopy.exe "d:\daten" "f:\" /E /purge /XJ /DST /XD "d:\daten\bilder" "d:\daten\videos" /LOG+:D:\robocopy_d.log /NP /TEE /NDL
pause

Dann werden die Daten von D:\Daten gespiegelt auf das Laufwerk F:\ (hier mit Ausnahme von Fotos und Videos). Das Ziel-Laufwerk muss natürlich verschlüsselbar sein, weil RoboCopy kein Passwort kennt. In der Regel geht das ganz fix und kann theoretisch täglich erledigt werden.

Wir empfehlen eine wöchentliche Spiegelung auf einen verschlüsselten USB-Datenträger (siehe unten). Wenn Sie jeden Tag sehr viele Dateien in sehr vielen Unterverzeichnissen erstellen bzw. ändern, dann wäre eine tägliche Spiegelung angeraten, weil eine Wiederherstellung einzelner Dateien zu aufwändig wäre.

Tipp 3: Backup durch inkrementelle ZIP-Dateien

Sehr beruhigend ist es, wenn man alle zuletzt bearbeiteten Daten in einer gemeinsamen ZIP-Datei sammeln kann.

Hierfür kann man z.B. die Kommandozeilen-Funktion von "WinZip" verwenden, indem man auf dem Desktop eine Batchdatei "zippen_d.bat" erstellt mit folgendem Inhalt:

@echo off
set aktjahr=%date:~6,4%
set aktmonat=%date:~3,2%
set akttag=%date:~0,2%
set datum=%aktjahr% %aktmonat% %akttag%

set Ziel="f:/zip/%datum%.zip"
set Quelle="d:\daten\*.*"
c:\programme\winzip\wzzip.exe -i -r -p -x@zippen_exclude.txt %ziel% %quelle%

pause

Dann wird WinZip alle neuen und geänderten Dateien suchen und zippen (dies wird am "Archiv-Bit" der Dateien erkannt). Das geht ganz fix. In einer Datei "zippen_exclude.txt" kann man hinterlegen welche Dateien/Verzeichnisse ignoriert werden sollen. Man kann auch ein Verschlüsselungs-Passwort angeben, auf das wir oben aber verzichtet haben (man kann dann nämlich in allen ZIPs nach einer Datei suchen und dann die verschiedenen Versionen finden). Das Ziel-Laufwerk muss in diesem Fall natürlich verschlüsselbar sein.

Wir empfehlen ein tägliches Zippen auf einen verschlüsselten USB-Datenträger (siehe unten).

Tipp 4: Nutzung verschlüsselter USB-Datenträger

Mittlerweile gibt es seriöse USB-Datenträger mit eingebauter Tastatur für das Passwort. Hier sind die Daten sicher verschlüsselt. Durch die eingebaute Tastatur ist sichergestellt, dass kein Keylogger der Welt auf das Passwort zugreifen kann. In unserem TOM-Guide® werden verschiedene Produkte vorgestellt. Wir bei SecureDataService haben seit vielen Jahren mehrere DataShur-Sticks und sind damit in jeder Hinsicht sehr zufrieden.

Diese Datenträger werden nur dann am Computer eingesteckt, wenn das Backup erstellt wird. Danach werden sie sofort wieder getrennt. Eine Ransom-Software müsste also in diesen wenigen Minuten aktiv sein... was unwahrscheinlich ist (außerdem verfügen Sie ja über mehrere Datenträger, oder?).

Diese USB-Sticks müssen Sie natürlich geschützt vor Feuer, Wasser und Diebstahl lagern. Den DataShur-Stick kann man auch als Schlüsselanhänger nutzen (keine Angst... bei 10 Fehleingaben werden die Daten gelöscht und ein Dieb hat somit keine Chance).

Tipp 5: Verschlüsseltes Laufwerk mit eigenem Passwort

Sie können auf Ihrem Windows-PC auch einen Teil Ihrer Festplatte (oder SSD) abzwacken und damit ein neues Laufwerk (z.B. "D:") erstellen. Dieses Laufwerk wird dann mit Bitlocker verschlüsselt, wobei man hierfür ein separates Passwort verwendet. Hier können Sie dann auch ihre unverschlüsselten Datensicherungen ablegen.

Wichtig ist, dass Sie dieses Laufwerk sofort wieder "trennen", wenn Sie nicht mit den Daten arbeiten. Diesen Trennvorgang bietet Microsoft nicht an, daher sollte man auf dem Desktop eine Batchdatei "d_trennen.bat" mit folgendem Inhalt anlegen:

manage-bde.exe -lock D:
pause

Dafür muss man die Aufforderung zur Nutzung der Windows-Administrationsrechte bestätigen. Wenn die Trennung geklappt hat (weil kein Programm mehr auf die Daten dieses Laufwerks zugreift), dann erscheint die Meldung "Das Volume 'D:' ist jetzt gesperrt". Eine Ransom-Software kann auf dieses Laufwerk nicht zugreifen und es nicht verschlüsseln (möglicherweise aber auf anderem Wege zerstören, daher ist dies keine 100% sichere Lösung).

Wir empfehlen diese Lösung auch zum Schutz von lokal gespeicherten Daten vor unbefugtem Zugriff. Ein Gast-Nutzer (bzw. ein Familienmitglied) kann somit nicht auf diese Daten zugreifen.

Tipp 6: Trennen Sie Backup-Laufwerke im lokalen Netzwerk

Eine Ransom-Software durchsucht das gesamte Computernetzwerk nach Daten. Davon sind natürlich auch die kleinen NAS-Laufwerke betrofffen (sofern Sie dort angemeldet sind und Schreibrechte haben).

Doch wie trennt man ein NAS vom Netzwerk? Wir sind keine Netzwerk-Spezialisten, daher können wir nur einen ganz simplen Tipp geben: Ziehen Sie den Netzwerk-Stecker, wenn Sie nicht auf das Backup-NAS zugreifen müssen.

Wenn sich das NAS aber in einem anderen Gebäude oder sogar an einem anderen Standort befindet, dann wird es schwieriger. Möglicherweise können Sie auch hier unter Windows das Laufwerk trennen (dafür darf aber das Zugriffs-Passwort nicht in Windows gespeichert sein, sonst ist der Zugriff eventuell doch wieder möglich).

Wir sagen es ganz deutlich: Wer seine Netzwerk-Backup-Laufwerke nicht trennt macht einen SEHR SCHWEREN Fehler. Das ist unverzeihlich. Natürlich gibt es Gegenargumente wie "Aber ich sichere die Daten kontinuierlich und da muss das Laufwerk nun mal verbunden sein". OK. Dann ist dieses Laufwerk aber kein Backup im engeren Sinne, sondern nur ein Zwischenspeicher (ähnlich Tipp 5).

Wir empfehlen: Tennen Sie Netzwerk-Backup-Laufwerke. Wenn das nicht möglich sein sollte, dann erstellen Sie ein Backup von diesem Laufwerk und bewahren Sie es getrennt auf.

Tipp 7: Sichern Sie alle Passwörter und Lizenzschlüssel

In verschlüsselter Form sollten Sie alle Passwörter und Lizenzschlüssel speichern. Wir empfehlen eine einfache Textdatei, wo Sie diese Daten speichern. Natürlich nur auf einem verschlüsselten Laufwerk.

Wir nutzen die kostenlose Software "VeraCrypt", die sich seit vielen Jahren bewährt hat und die auf ihre Sicherheit erfolgreich auditiert wurde. Die Bedienung ist für Computer-Laien nicht gerade komfortabel, aber man kann sich schnell daran gewöhnen. Im Internet finden sich vielerlei Hilfestellungen.

Wir empfehlen einen verschlüsselten VeraCrypt-Container, der dann z.B. als Laufwerk "Z" eingebunden wird. Auch hier gilt die Regel: Wenn man die Inhalte nicht konkret benötigt,, dann sollte man das Laufwerk wieder trennen (dieser Tipp dürfte Ihnen mittlerweile bekannt vorkommen).

Tipp 8: Arbeiten Sie nicht unter Windows-Administratorrechten

Arbeiten Sie immer als "eingeschränkter Benutzer" oder setzen Sie unter Windows die Benutzerkontensteuerung auf "immer benachrichtigen". Dann muss die Ransom-Ware Sie um Bestätigung bitten.

Und wenn aus dem "nichts" eine solche Bestätigungs-Anfrage kommt, dann klicken Sie einfach auf "nein".

Ohne die Administrator-Rechte wird es die Software möglicherweise nicht schaffen Ihrem Computer zu schaden bzw. Daten zu verschlüsseln.

Tipp 9: Begrenzen Sie die Zugriffsrechte der Mitarbeiter

Es ist eine datenschutzrechtliche Selbstverständlichkeit, die auch hier beim Thema Ransom-Ware zum Tragen kommt.

Wenn die Mitarbeiter auf bestimmte Laufwerke und Verzeichnisse nicht zugreifen können, dann wird auch eine Schadsoftware auf deren Rechner das nicht können. So einfach ist das.

Tipp 10: Vorsicht mit E-Mail Anhängen

Sensibilisieren Sie unbedingt Ihre Mitarbeiter zum Thema "E-Mail Anhänge". Es sind insbesondere MS-Word-Dateien, die schädliche Makros beinhalten. Hier darf man nichts anklicken und muss eventuelle Schein-Warnungen vor Inkompatibilitäten ignorieren.

Keinesfalls sollte man verschlüsselte ZIP-Dateien öffnen, deren Passwort man in der E-Mail genannt bekommt. Das ist ein billiger Trick, um den Inhalt der ZIP-Datei vor der Firewall bzw. dem zentralen Virenschutz zu verbergen.

Im Rahmen von DSB-MIT-SYSTEM® gibt es den Newsletter NEWS_030 ("news_makroviren.doc"), der die Sachlage nochmals erklärt.

Tipp 11: Halten Sie einen alternativen Computer bereit

Wenn eine Ransom-Ware Ihren Rechner verschlüsselt hat, dann ist diese Kiste als Schrott zu bewerten. Sie wissen nicht, wo überall weitere Schadsoftware eingeschleust wurde. Keinesfalls sollten Sie mit diesem Computer später weiter arbeiten.

Sie können im Fall der Fälle die Festplatte aus dem Computer ausbauen und eine neue Festplatte einsetzen und Windows neu installieren. Das dauert mindestens einen Tag, wenn Sie nicht über ein Image (siehe ganz oben) verfügen.

Wenn Sie über ein Image verfügen, dann können Sie es auf eine neue Festplatte einspielen und dann den Computer sofort benutzen. Dies sollten Sie allerdings zwischendurch mal konkret ausprobieren, denn auch Images sind beim Rück-Einspielen manchmal tückisch (es kann z.B. am BIOS scheitern).

Wir empfehlen Ihnen daher: Kaufen Sie einen neuen Computer mit vergleichbarer Konfiguration und legen Sie ihn beiseite. Zwischendurch können Sie immer mal wieder ausprobieren, ob Ihre Images sich einspielen lassen. Außerdem können Sie dann ggf. auch die Backups einspielen.

Diese Vorgehensweise hat auch noch einen anderen Vorteil: Sie sind vor Widrigkeiten anderer Art geschützt. Denn

  • wenn der Blitz einschlägt, oder
  • wenn Ihr Bürostuhl so oft vor den Computer gescheppert ist, dass die Festplatte kapituliert, oder
  • wenn ein Windows-Update Ihren Computer unbrauchbar macht, oder
  • wenn der Computer gestohlen wird (weil Ihnen jemand schaden will),

dann haben Sie sofort eine handlungsfähige Alternative.

Tipp 12: Zahlen Sie kein Lösegeld

Die Polizei und die Staatsanwaltschaften fordern uns auf: Zahlt kein Lösegeld. Belohnt die Erpresser nicht.

Abgesehen davon ist ja gar nicht klar, ob man das Passwort wirklich erhält. Und selbst wenn man die Daten wieder entschlüsseln kann: Diese Daten sind doch gar nicht mehr vertrauenswürdig. Wer weiß, was da verändert wurde oder wo dort weitere Schadsoftware versteckt wurde?

Außerdem ist diese Frage völlig überflüssig, falls Sie im obigen Sinne Ihre Backups erstellt haben.

Fazit

Kümmern Sie sich HEUTE um eine Backup-Strategie. Wir garantieren Ihnen: Es ist JEDE Anstrengung wert. Sie werden sich selbst beglückwünschen und auf die Schulter klopfen, wenn Sie im Schadensfall nicht alle Ihre Daten verlieren.

Und nach diesem so ersten Thema etwas sehr unterhaltsames: Der "Backup"-Song bringt es auf den Punkt:
https://www.youtube.com/watch?v=l7-6m2cE6JM

Wir wünschen Ihnen gutes Gelingen!

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar! Der TOM-Guide® ist dazu die perfekte Ergänzung, denn er beschreibt auf über 600 Seiten viele technisch-organisatorische Maßnahmen.

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Zurück