Verschlüsselungstrojaner NotPetya – Eine reale Bedrohung für deutsche Unternehmen

Vielleicht haben Sie es schon gehört: Immer wieder treiben Verschlüsselungstrojaner ihr Unwesen und befallen sowohl private als auch Firmenrechner. Ganz aktuell ist momentan der Verschlüsselungstrojaner NotPetya, der gezielt die Daten von Unternehmen angreift. In einigen Fällen wurden komplette Konzerne lahmgelegt; tagelang ging gar nichts mehr. Die PCs waren nicht benutzbar und alle Daten unwiderruflich verschlüsselt und damit unzugänglich gemacht. Unter den Opfern befindet sich unter anderem auch ein namenhafter deutscher Konzern. Sie sehen, die Bedrohung durch NotPetya ist durchaus real.

Was ist denn eigentlich ein Verschlüsselungstrojaner?

Ein Verschlüsselungstrojaner ist ein Virus, der alle Daten auf einem PC verschlüsselt und unzugänglich macht sowie sogar das Hochfahren des PCs verhindern kann. Nochmal auf Deutsch: Ein Verschlüsselungstrojaner ist ein Einbrecher, der in Ihr Haus einbricht und alle Schränke, Türen und Fenster abschließt und Sie nicht mehr ins Haus lässt.

Man muss hier jedoch unterscheiden, da es zwei Arten von Verschlüsselungstrojanern gibt: Zum einen gibt es Erpressungstrojaner wie zum Beispiel Petya oder Goldeneye, die die Daten auf dem PC verschlüsseln und nach einem erzwungenen Neustart einen Sperrbildschirm mit Erpressernachricht anzeigen. Besorgt man sich den Schlüssel, können alle Daten auf dem PC wieder entschlüsselt und genutzt werden, wenn die Erpresser das zulassen. Hier ist allerdings anzumerken, dass geraten wird, den Erpresser nicht zu bezahlen, da nicht sicher ist, ob die Daten tatsächlich wieder entschüsselt werden oder, falls sie entschlüsselt werden, ob der Erpresser den PC nicht direkt nochmal verschlüsselt. Zum anderen gibt es dann aber auch sogenannte »Wiper« wie beispielsweise NotPetya, die prinzipiell das gleiche machen wie die Erpressungstrojaner, allerdings werden selbst nach der Bezahlung die Daten nicht wieder freigegeben, weil diese nachhaltig und unwiderruflich verschlüsselt werden. Mit anderen Worten: Handelt es sich um einen Erpressungstrojaner, dann wird der Einbrecher aus dem obigen Beispiel Ihnen nach der Bezahlung (wenn es gut läuft) den Schlüssel geben. Handelt es sich um einen Wiper, verlangt der Einbrecher ebenfalls ein Epressungsgeld, bricht aber vorher alle Schlüssel in den Schlössern ab und macht Ihr Haus unzugänglich, selbst wenn Sie bezahlen würden.

Wie gelangt dieser Trojaner überhaupt auf meinen PC?

NotPetya sucht sich seinen Weg auf die PCs seiner Opfer recht unauffällig. Der Virus verbreitet sich über ein Software-Update der ukrainischen Steuersoftware MeDoc, die in der Ukraine fast alle steuerpflichtigen Unternehmen nutzen. Ist der Virus zusammen mit dem Update heruntergeladen, sucht er gezielt nach Lücken im Windows-Betriebssystem und gelangt so auf den PC. Dort angekommen, scannt NotPetya das komplette System und infiziert gezielt alle weiteren Rechner, die er finden kann. Nach 40 Minuten beginnt dann die Verschlüsselung und die sich auf dem PC befindlichen Daten werden unzugänglich gemacht.

Sind Sie vernetzt (zum Beispiel über VPN) mit weiteren Firmenstandorten, Kunden oder Lieferanten, die sich mit diesem Virus infiziert haben, kann sich NotPetya auch auf Ihre PCs schleichen, obwohl Sie MeDoc gar nicht heruntergeladen haben. MeDoc war demnach ein Sprungbrett für NotPetya, um Zugang zu Firmenrechnern weltweit zu erhalten.

Was kann ich tun, um mich gegen einen Trojaner zu schützen?

Generell kann man sich nicht hundertprozentig vor Trojanern und Viren schützen, aber man kann Vorkehrungen treffen, um die Wahrscheinlichkeit oder die Erfolgsrate eines solchen Angriffs deutlich zu verringern.

Besonders wichtig ist, immer das aktuelle Windows-Sicherheits-Update zu installieren, da dadurch bestehende Lücken im Betriebssystem geschlossen werden und der Trojaner so weniger Möglichkeiten hat, auf den PC zu gelangen. Wichtig ist hierbei auch, möglichst das neueste Betriebssystem zu verwenden, da dieses den größtmöglichen Support für eben solche Probleme und Gefahren bietet. Bei älteren Betriebssystemen wird nach und nach der Support eingestellt und wichtige Sicherheits-Updates bleiben aus.

Des Weiteren sind ein aktueller Virenscanner sowie eine Firewall empfehlenswert, damit Viren direkt erkannt oder abgewehrt werden können. Virenscanner machen meist täglich selbstständig Updates, um Ihren PC auch vor den aktuellsten Viren schützen zu können. Vergewissern Sie sich daher, ob Sie eine aktuelle Lizenz für den Virenscanner haben, um von dessen Vorteilen zu profitieren.

Ein weiterer wichtiger Punkt ist die Datensicherung. Sichern Sie Ihre Daten regelmäßig, am besten auf einem NAS-Laufwerk; dann ist es nicht mehr so verheerend wenn, die Daten auf dem PC verschlüsselt werden, da sie in der Datensicherung ja noch vorhanden sind. Sinnvoll sind zudem auch System-Backups, d.h. man sichert nicht nur die Daten, die sich auf dem PC befinden, sondern das komplette System mit allen Daten, Programmen und Einstellungen. Dieses Backup könnte man dann beispielsweise nach einem Trojanerangriff auf den befallenen PC spielen und es wäre alles wieder da, was zum Zeitpunkt des Backups gesichert wurde. Zu Bedenken gilt nur, dass ein Backup je nach Menge der Daten viel Zeit in Anspruch nehmen kann und Sie sich deshalb überlegen sollten, in welchem Rahmen Sie Ihr Backup erstellen möchten.

Wir empfehlen ebenfalls Verhaltensregeln festzulegen, mit denen Sie das Risiko, sich einen Virus oder Trojaner herunter zu laden, verringern können. Dazu könnten folgende Regeln hilfreich sein: Öffnen Sie keine suspekten E-Mail-Anhänge und klicken Sie auf keinen Fall auf Links, wenn Sie die Herkunft dieser Links nicht kennen. Laden Sie keine Inhalte aus dem Internet herunter, bei denen Sie die Herkunft nicht kennen. Laden Sie Programme und Tools nur von den offiziellen Seiten herunter. Legen Sie solche Regeln zusammen mit Ihren Mitarbeitern fest und besprechen Sie die Dringlichkeit der Einhaltung dieser Regeln.

Im Zweifel kontaktieren Sie Ihren IT-Dienstleister und lassen Sie überprüfen, wie sicher Ihre Systeme vor einem solchen Angriff sind.

Was kann ich tun, wenn mein PC infiziert wurde?

Sollten Sie bemerken, dass sich der Trojaner NotPetya auf Ihrem PC befindet, trennen Sie das System umgehend vom Strom. So können Sie unter Umständen den Neustart verhindern. Denn startet sich der PC erstmal neu, ist die Verschlüsselung sofort aktiv. Warnen Sie auf jeden Fall alle Ihre Mitarbeiter, damit jeder überprüfen kann, ob sein oder ihr PC auch betroffen ist. Falls das kurze Zeitfenster, bevor der Trojaner aktiv wird, schon um ist und sich Ihr PC neugestartet hat, sind die Daten meist nicht mehr zu retten. Bewahren Sie trotzdem betroffene Festplatten etc. auf, denn vielleicht finden Experten irgendwann eine universelle Lösung, um die Verschlüsselung zu knacken. Des Weiteren sollten Sie auf keinen Fall auf die Erpressernachricht eingehen und unter keinen Umständen bezahlen, denn das wird Ihnen Ihre Daten nicht zurückbringen. Wir empfehlen im Fall einer Infizierung, holen Sie sich Hilfe und kontaktieren Sie Fachpersonal wie Ihren IT-Dienstleister.

Fazit

Mit dem Verschlüsselungstrojaner NotPetya ist nicht zu spaßen. Er stellt eine reale Gefahr dar und erinnert uns daran, wie wichtig Sicherheits-Updates und Datensicherung sind. Gehen Sie keine Risiken ein und überprüfen Sie die Sicherheit Ihrer Systeme. Im Zweifel holen Sie sich dafür professionelle Hilfe und überlassen Sie die Sicherheit Ihres Unternehmens nicht dem Zufall.

Vorsichtsmaßnahmen nochmal auf einen Blick

  • Windows-Sicherheits-Update
  • Aktuelles Betriebssystem
  • Virenscanner und Firewall
  • System-Backup und Datensicherung
  • Verhaltensregeln für den Umgang mit E-Mail-Anhängen und Links
  • Sicherheitscheck vom IT-Dienstleister