Prävention von Malware

I. Ransomware

Ransomware verhindert den Zugriff auf bestimmte Daten, Funktionen oder gar das komplette (Betriebs-)System und gibt diesen erst nach der Zahlung eines bestimmten „Lösegelds“ wieder frei.[1] Die Nutzung von Ransomware wird daher oftmals als „digitale Erpressung“ bezeichnet.[2]

Technisch werden in der Regel zwei Unterarten unterschieden.[3]

Scareware „erschreckt“ den Nutzer, indem vorgegeben wird, ein bestimmter Virus oder ähnliches sei auf dem Endgerät installiert und könne nur durch die von dem Programm angegebenen Handlungen wieder entfernt werden.[4]

Wesentlich gefährlicher ist die Variante der Krypto-Trojaner, die bei ca. 95 Prozent der Angriffe verwendet wird.[5] Nach der Infektion verschlüsselt der Schädling die Dateien auf dem System.

Die Infektion mit der Schadsoftware erfolgt regelmäßig über infizierte E-Mail-Attachments[6] oder über den Aufruf infizierter Internetseiten, wobei es bereits durch Popup-Online-Werbung zu einer sog. Drive-by-Installation[7] kommen kann.[8]

II. Aktuelle Bedrohungslage durch Ransomware

Im Jahr 2021 war allen voran in Deutschland eine verstärkte Zunahme von entsprechenden Infizierungen zu beobachten, wobei seit Ende 2019 verstärkt mit Veröffentlichungen der Daten auf Leak-Seiten und Schweigegeld-Erpressung gearbeitet wurde.[9] Dem BSI zufolge nimmt dabei die Höhe der Lösegeldforderungen stetig zu.[11] Das Geschäft ist lukrativ, da viele Opfer notgedrungen zahlen. Die generelle Bereitschaft von Unternehmen, die Zahlung vorzunehmen, liegt laut IBM bei 70 Prozent.[12] Dem Virenschutz-Anbieter Bitdefender zufolge sind in Deutschland 33 Prozent der Betroffenen der Zahlungsaufforderung nachgekommen, weitere 36 Prozent wären hierzu bereit.[13]

Während das FBI zur Zahlung rät,[14] empfiehlt das BSI von einer solchen Zahlung abzusehen, da eine Entschlüsselung auch nach Zahlung des Lösegeldes nicht gesichert ist und durch die Zahlung kriminelles Verhalten gefördert wird.[15] Aus letzterem können sich zudem strafrechtliche Konsequenzen für den Zahlenden ergeben, denn dadurch könnte der Tatbestand der Unterstützung einer kriminellen Vereinigung verwirklicht sein, was gem. § 129 Abs. 1 Var. 4 StGB strafbar ist.[16]

1. Bedrohungslage für Unternehmen

Im unternehmerischen Bereich kann Ransomware über zwei potentielle Schwachstellen eindringen: Technische und menschliche.

Mangelnde Softwarepflege und veraltete Systeme können einerseits Einfallstor für Ransomware sein. Andererseits sind aber gerade auch die Mitarbeiterinnen und Mitarbeiter entscheidender Faktor. Insbesondere im Hinblick auf den zunehmenden Grad der Professionalisierung der Angreifer können viele Attacken von ungeschulten Augen schlicht nicht mehr erkannt werden.[17] Neben dem wirtschaftlichen Schaden, der durch Ransomware verursacht wird, ist im unternehmerischen Bereich auch zu beachten, dass der Betroffene selbst unter Umständen schuldrechtlich oder deliktisch ersatzpflichtig wird.[18] Im vertraglichen Bereich kommen etwa Verzugsschäden in Betracht, die entstehen können, wenn das Unternehmen auf Grund des Angriffes nicht fristgerecht liefern kann – die Nichtbeachtung von IT-Sicherheitspflichten kann zugleich einen Verstoß gegen Verkehrssicherungspflichten darstellen und somit zum deliktischen Schadensersatz führen.[19]

Dabei ist zu berücksichtigen, dass eine völlige Verkehrssicherung unerreichbar ist, es gilt diejenigen Maßnahmen zu ergreifen, die nach der Verkehrsanschauung erforderlich und dem Unternehmer letztlich auch zumutbar sind.[20] Insbesondere für kleine und mittelständische Unternehmen (KMU) kann ein derartiger Angriff somit schnell zur existenziellen Bedrohung werden, da in der Summe Schäden in Millionenhöhe entstehen können.[21]

2. Bedrohungslage für Privatpersonen

Im Hinblick auf die zunehmende Digitalisierung ist nicht mehr nur noch der heimische Rechner Opfer potentieller Ransom-Attacken. Neben dem Smartphone[22] ist insbesondere das Smart Home als Angriffsziel denkbar. Wesentlich invasivere Eingriffe mittels Ransomware sind im Bereich Smart Cars beziehungsweise Smart Health denkbar.

3. Bedrohungslage für Öffentliche Infrastrukturen

Ransomware ist eine akute Gefahr für die Einrichtungen und die Funktionsfähigkeit des Staates. Als eine Landkreisverwaltung in Sachsen-Anhalt am 5. Juli 2021 zum Ziel eines Ransomware-Angriffs wurde, zeigte sich, dass dies nicht nur ein abstraktes Gefahrenszenario ist.[24] Im Bereich der Kommunalverwaltung entfalten Ransom-Angriffe eine doppelte Wirkung, da einerseits ein immenser Aufwand betrieben werden muss, um „zerstörte“ Daten wiederzubeschaffen, andererseits auf Grund des Datenverlusts die Gefahr besteht, dass soziale Leistungen nicht fristgerecht ausbezahlt werden können.[25] Zudem werden Einrichtungen der allgemeinen Daseinsvorsorge, insbesondere Krankenhäuser[26], vermehrt mit Ransomware angegriffen.[27] Neben der gezielten Beeinflussung von anstehenden Bundestagswahl[28] könnte Ransomware aber auch dazu genutzt werden, Parteizentralen und vergleichbare Einrichtungen zu sabotieren[29].

III. Handlungsempfehlungen

Es empfiehlt sich eine Unterscheidung zwischen Vorabmaßnahmen und Maßnahmen im Fall der Infektion.[30] Die aufgezeigten Maßnahmen sind gleichsam für alle vorab benannten Gefahrengruppen empfehlenswert.

1. Schutzmaßnahmen

Eine nochmalige Differenzierung bietet sich in diesem Bereich an, wobei nach Maßnahmen im technischen Bereich sowie Schulungsmaßnahmen aufzugliedern ist.

a) Technische Maßnahmen
  • Verwendete Software ist auf dem aktuellen Stand zu halten, die Nutzung veralteter Software oder von Betriebssystemen, die nicht mehr aktualisiert werden, wie dies zum Beispiel bei Windows XP der Fall ist, ist aus IT-Sicherheitsrechtlicher Perspektive nicht hinnehmbar. Gerade im unternehmerischen Bereich ergeben sich bei einem Verstoß gegen diesen Grundsatz enorme Haftungsrisiken, da das Unterlassen der Aktualisierung jedenfalls einen Verstoß gegen Verkehrssicherungspflichten darstellen dürfte.
  • Flankierend dazu ist die Nutzung eines professionellen, aktuellen Anti-Viren-Programms dringend empfohlen. Die Virusdatenbank des Scanners ist täglich und bei Bedarf mehrmals täglich zu aktualisieren. Die Echtzeituntersuchung ist zu aktivieren. Je nach Sensibilität eines Computersystems sind zusätzliche wöchentliche oder monatliche Volluntersuchungen des Computersystems (etwa zur Nachtzeit oder in Leerlaufzeiten) vorzunehmen.
  • Der zentrale Mailserver und/oder die lokalen E-Mail-Clients sollten über einen Spamfilter verfügen, der unerwünschte und oftmals virenversuchte E-Mails nicht bis zum Nutzer durchlässt.
  • Eine Infizierung eines Computers mit Malware geschieht zum Großteil durch den Besuch gefährlicher Webseiten. Es sollte ein Browser-PlugIn auf den Unternehmens-Computern installiert werden, das vor dem Besuch gefährlicher Webseiten warnt. Auf den Webservern/Routern des Unternehmens sind solche gefährlichen Webseiten zusätzlich für die Mitarbeiter zu sperren.
  • Da eine Infektion aus technischer Sicht leider nie gänzlich ausgeschlossen werden kann, sind regelmäßig Daten-Backups durchzuführen. Diese können den Schaden im Fall eines Angriffs minimieren. Dabei ist darauf zu achten, dass diese Backups „offline“ angelegt werden, also für die Schadsoftware unerreichbar sind. Das BSI empfiehlt diesbezüglich zum Beispiel, Daten auf einem Netzwerklaufwerk zu speichern, bei dem die Zugriffsrechte auf archivierte Dateien eingeschränkt werden können.[31]
  • Empfehlenswert ist zudem, die Benutzerkontosteuerung zu aktivieren, da der Nutzer hierdurch bei Veränderungen, die Administratorrechte erfordern, sofort informiert wird.[32]
b) Schulungsmaßnahmen

Im unternehmerischen Bereich gilt es allen voran die Mitarbeiterinnen und Mitarbeiter zu schulen und zu sensibilisieren. Dabei kann oftmals schon ein grundsätzlich kritischer Umgang mit E-Mails von Unbekannten, insbesondere bei angehängten Dateien, Werbe-Angeboten sowie zweifelhaften Internetseiten ausreichend sein, um einen Großteil der Schadsoftware fernzuhalten.

c) Cyber-Versicherungen

Jedenfalls im Bereich der Unternehmen ist an den Abschluss einer Cyber-Versicherung zu denken. Gerade KMU, die im Bereich der IT-Sicherheit nicht die Möglichkeiten eines Konzerns ausschöpfen können, kann eine IT-Haftpflichtversicherung vor existenziellen Gefährdungen schützen.[33]

Die oftmals modular aufgebauten und somit gezielt anpassbaren Versicherungen[34] enthalten jedoch häufig Haftungsausschlüsse, wenn die Absicherung nicht dem Stand der Technik entspricht.[35] Als ein relativ neues Produkt der Versicherungsbranche ist ein solches System dennoch interessant, da ein Cyber Angriff Unternehmen schnell finanziell beeinträchtigen kann.[36] Grundsätzlich versicherbar sind bereits jetzt Eigen- und Fremdschäden, die durch (andere) Cyber-Angriff entstehen.[37] Zu beachten ist allerdings, dass Art und Umfang der Versicherungen stark variieren können, so dass die Auswahl der passgenauen Police zu Schwierigkeiten führen kann.[38] Speziell auf kommunale Unternehmen und Gebietskörperschaften zugeschnittene Cyberversicherungen bietet zwischenzeitlich die Versicherungsgruppe BGV an.[39]

2. Maßnahmen im Fall der Infektion

Aus bereits benannten Gründen ist von der Zahlung des geforderten Lösegelds dringend abzuraten. Neben der unverzüglichen Trennung des betroffenen Systems vom Netz, unter Umständen sogar durch ein hartes Abschalten,[40] empfiehlt es sich, umgehend einen Experten heranzuziehen.[41] Zwar ist gerade der Bereich der Online-Kriminalität überwiegend international geprägt, so dass die Strafverfolgung auch unter diesem Aspekt erschwerten Bedingungen unterliegt,[42] das BSI ruft aber dennoch dazu auf, in jedem Fall polizeiliche Anzeige zu erstatten.[43]


[1] Saeltzer, DuD 2014, 333, 339.

[2] Wehrmann/Bluhm/Rink, IT-Sicherheit: Rechtsentwicklung, Bedrohungslage und Schutzkonzepte, in: Tagungsband Herbstakademie 2016, Smart World – Smart law? Weltweite Netze mit regionaler Regulierung, S. 254.

[3] BKA, Cybercrime Bundeslagebild 2015, S. 10.

[4] Schmidt, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 3 Rn. 243.

[5] BSI, Ransomware – Bedrohungslage 2022, S. 8.

[6] So wohl auch im Fall des österreichischen Hotels, vgl. Felsberger/Macher, Hacker attackierten Hotel zum vierten Mal, in: Kleine Zeitung v. 23. Januar 2017.

[7] Darunter ist der unbemerkte und unbewusste Installationsvorgang der Schadsoftware auf dem Rechner des Nutzers zu verstehen, vgl. Schmidt, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 3 Rn. 209.

[8] Salomon, MMR 2016, 575.

[9] BSI, Die Lage der IT-Sicherheit in Deutschland 2022, S. 16.

[10] Laut Kaspersky wurden 13, 21 Prozent aller Schadmails an deutsche Mail-Adressen versandt, Kasperky Lap, Spam und Phishing im dritten Quartal 2016 .

[11] BSI, Die Lage der IT-Sicherheit in Deutschland 2022, S. 16.

[12] IBM, Pressemitteilung vom 14.12.2016 .

[13] Bitdefender, Jedes dritte Opfer von Erpressungssoftware in Deutschland hat Lösegeld bezahlt, 3. März 2016.

[14] Schirrmacher, c’t 2016, 76.

[15] BSI, Die Lage der IT-Sicherheit in Deutschland 2022, S. 20.

[16] Salomon, MMR 2016, 575.

[17] BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 8.

[18] Vgl. dazu: Mehrbrey/Schreibauer, MMR 2016, 75, 80.

[19] Mehrbrey/Schreibauer, MMR 2016, 75, 81.

[20] Rockstroh/Rockstroh, MMR 2017, 77, 80.

[21] Zusammengesetzt aus Eigenschäden, Fremdschäden und Reputationsschäden, vgl. dazu: bitkom, Kosten eines Cyber-Schadensfalles – Leitfaden .

[22] Vor allem Android-Smartphones sind akut von Ransomware bedroht, vgl. Bitdefender, Bitdefender zeigt: Ransomware wird zur größten Bedrohung für Android, 12. Oktober 2016.

[23] U.S. Food & Drug Administration, Cybersecurity Vulnerabilities Identified in St. Jude Medical’s Implantable Cardiac Devices and Merlin@home Transmitter: FDA Safety Communication, 9. Januar 2017.

[24] BSI, Die Lage der IT-Sicherheit in Deutschland 2022, S. 21.

[25] Gorr, VW 5/2016, 36.

[26] BSI, Pressemitteilung vom 08.03.2016 .

[27] Vgl. dazu Bundesamt für Verfassungsschutz, Newsletter Oktober 2016 .

[29] Beuth, Wenn Erpresser Kreativ werden, in: ZeitOnline v. 2. Februar 2017.

[30] Vgl. BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 10.

[31] BSI, Ransomware – Bedrohungslage, Prävention & Reaktion, S. 12.

[32] Bitdefender, So schützen Sie sich vor Ransomware – Teil III .

[33] Schulz/Braun, VW 12/2016, 49.

[34] Behrends, VW 2/2013, 24.

[35] BSI, Ransomware: Bedrohungslage 2022, S. 8.

[36] BSI, Die Lage der IT-Sicherheit in Deutschland 2022, S. 73.

[37] Erichsen, CCZ 2015, 247, 249.

[38] Wehrmann/Bluhm/Rink, IT-Sicherheit: Rechtsentwicklung, Bedrohungslage und Schutzkonzepte, in: Tagungsband Herbstakademie 2016, Smart World – Smart law? Weltweite Netze mit regionaler Regulierung, S. 259.

[39] Gorr, VW 5/2016, 36.

[40] BSI, Lagedossier Ransomware, Stand Mai 2016, S. 32.

[41] BSI, Lagedossier Ransomware, Stand Mai 2016, S. 33.

[42] Vgl. dazu Goger/Stock, ZRP 2017, 10.

[43] BSI, Ransomware – Bedrohungslage, Prävention & Reaktion S. 17.