„All your important files are encrypted“: wer sich einen sogenannten Verschlüsselungstrojaner wie TeslaCrypt oder PadCrypt (jetzt auch – ganz im Ernst – mit Live-Support-Chat) einfängt, steht morgens nach dem Hochfahren des Rechners vor einem riesigen Problem.
Ransomware fordert Lösegeld
Wieder einmal gehen Angriffe mit Verschlüsselungstrojanern auf Praxen und Krankenhäuser durch die Schlagzeilen (siehe auch Blogbeitrag von August 2015). Solche Software wird auch als Ransomware bezeichnet, vom englischen „ransom“ – Lösegeld. Wie andere Viren auch werden Verschlüsselungstrojaner beispielsweise durch E-Mail-Anhänge eingeschleppt, die sich als PDF- oder ZIP-Dateien maskieren und von arglosen Empfängern ausgeführt werden. Der Trojaner verschlüsselt dann wichtige Daten des Benutzers (beispielsweise den Ordner „Eigene Dateien“ auf einem Privatrechner oder die Datenbank des Praxisverwaltungsprogramms auf einem Praxisrechner) und erpresst den Benutzer damit, dass diese erst nach Zahlung eines Lösegelds wieder entschlüsselt würden. Für letzteres geben die Täter natürlich keine Bankverbindung bei der Sparkasse Gelsenkirchen an, sondern fordern in der Regel eine Zahlung in Bitcoin oder einer anderen digitalen Währung, die eine Rückverfolgung des Empfängers sehr schwierig macht.
Wenn es einen selbst erwischt hat, kann man nur mit sehr viel Glück auf professionelle Hilfe hoffen: wenn ein Verschlüsselungstrojaner sich weit genug ausgebreitet hat, gelingt es Kryptographen in wenigen Fällen, die Verschlüsselung zu knacken und ein Programm anzubieten, das die Daten wieder entschlüsselt. Dies war der Fall bei TeslaCrypt 2 – den Opfern konnte ein Entschlüsselungstool angeboten werden, das die verschlüsselten Daten rettete. Die Täter ließen sich das aber nicht lange gefallen: bald wurde TeslaCrypt 2 durch den ungeknackten Nachfolger TeslaCrypt 3 ersetzt.
Wie auf Ransomware reagieren?
Sollte man das Lösegeld bezahlen? Dagegen spricht, dass es keine Erfolgsgarantie gibt: es sind sogar Verschlüsselungstrojaner im Umlauf, bei denen die Entschlüsselung der Daten des Opfers gar nicht mehr vorgesehen ist, ob mit oder ohne Lösegeldzahlung. Zudem gibt man seine Zahlungsbereitschaft zu erkennen, wenn man auf die Forderungen reagiert, so dass man in Zukunft vielleicht Opfer einer gezielten Attacke wird.
Am besten, man betrachtet das Risiko der Ransomware wie andere Risiken, die die eigenen Daten betreffen: jederzeit kann auch die Festplatte eines Praxisrechners ausfallen, es kann einen Wasserschaden oder Brand geben, einen Einbruch oder böswillige (ehemalige) Mitarbeiter. In jedem dieser Fälle hilft es nur, ein frisches Backup (Sicherheitskopie) auf Lager zu haben, mit deren Hilfe die Patientendaten wiederhergestellt werden können und der Betrieb weitergehen kann.
Backups richtig gemacht
Was ist beim Backup zu beachten? Welche Ordner und Dateien gesichert werden müssen, variiert von Praxissoftware zu Praxissoftware – Standards, die das Leben leichter machen würden, gibt es hier keine. Wichtig ist auf jeden Fall: die Daten sollten auf externe Datenträger gesichert und diese außerhalb der Praxis aufbewahrt werden! Geeignet sind zum Beispiel Magnetbänder (die Dinosaurier der Datensicherung, die auch zur gesetzeskonformen Archivierung taugen) oder externe Festplatten.
Das Gute an den erneuten Ransomware-Angriffen? Von der aktuellen Welle sind in Deutschland bisher nur einige wenige Krankenhäuser betroffen. So lange es einen selbst nicht erwischt hat, sind die schlechten Nachrichten ein guter Anstoß, um eine anständige Backup-Strategie auf den Weg zu bringen – nicht nur gegen Ransomware, sondern gegen alle anderen Unglücksfälle, die den eigenen Daten zustoßen können. Wenn man zu lange prokrastiniert, bekommt man eines Tages vom eilig angerufenen IT-Support süffisant das Sprichwort zum Thema zurück: „Kein Backup, kein Mitleid“.
