Sicherheit vor Erpressungstrojanern
Ransomware: 5 Strategien, wie Sie Ihre Daten schützen
Immer häufiger werden Anwender Opfer von Ransomware. Schützen Sie Ihre Daten mit der richtigen Strategie, dann ist der Erpresser umsonst eingebrochen!
Erpressungstrojaner (Ransomware) bedeuten seit dem Blaster-Wurm die größte Gefahr für die Rechner von Privatanwendern. Eine Vielzahl von Bösewichten spezialisiert sich darauf, denn es lässt sich schnell viel Geld mit Erpressung verdienen. Sowohl organisierte Banden als auch Einzeltäter sind im Geschäft, und die entsprechenden digitalen Tatinstrumente lassen sich kurzerhand im Internet zusammenklicken.
Die Erpressungsgelder liegen oft zwischen 1 bis 40 Bitcoins, je nachdem wie wichtig der Erpresser die Daten einschätzt. Das Bitcoin unterliegt starken Schwankungen und liegt derzeit bei 750 bis 1.000 Euro. Laut einer Umfrage von Kaspersky zahlt ein Drittel der Opfer, ein Fünftel von diesen Zahlenden bekommt jedoch keinen Schlüssel. Oft lohnt es sich für die Opfer, eine Zeitlang zu warten, denn bei vielen Trojanern gelingt über kurz oder lang der kryptologische Bruch (jüngst Teslacrypt 3). Aber Locky beispielsweise ist noch nicht besiegt.
Der beste Schutz ist, sich erst gar keinen Trojaner einzufangen, und falls dies doch geschehen sollte, ihm wenig Angriffsfläche zu bieten. Hier gelten erst einmal alle allgemeinen Sicherheitshinweise: Zeitnah alle Updates für alle Anwendungen einspielen und eine Internet Security Suite betreiben. Zwei weitere Regeln gelten ebenso ganz allgemein, haben aber im Hinblick auf Erpressungstrojaner noch an Gewicht gewonnen: Backup und Nutzerrechte einschränken. Darum soll es im Folgenden gehen:
Strategie-Tipp 1: Backup
Der klassische Trojaner ist leise und arbeitet für seinen dunklen Herrn still im Botnetz: Er versendet Spam, beteiligt sich an gemeinsamen Attacken oder schöpft Bitcoins. Dabei soll er vom PC-Besitzer möglichst spät entdeckt werden, um lange und produktiv im Einsatz zu sein.
Mit Ransomware ist alles anders: Die Gattung hat es quasi auf die schnellste, radikalste und bestmögliche Vernichtung Ihrer Daten abgesehen – mit modernsten kryptologischen Methoden. Deswegen gibt es kaum etwas Entwaffnenderes gegen Ransomware als ein gut gepflegtes Backup. Der Erpresser vernichtet sozusagen nicht das gut geschützte Original, sondern die billige, offen herumliegende Kopie. Soll er doch.
Wichtig ist, dass Sie das Backup-Medium physikalisch vom Rechner getrennt lagern: als USB-Platte oder als eigenen, nicht gemounteten Bereich in der NAS. Ferner sollten Sie eine Backup-Methode mit Versionierung wählen, sodass Sie nicht aus Versehen mit dem Backup eine beschädigte Kopie auf ein gutes Original kopieren. Empfehlenswerte Programme sind Personal Backup (personal-backup.rathlev-home.de, Freeware) oder Ashampoo Backup Pro 10 (bit.ly/2j1leNb, nicht die Vorgängerversion!, Preis: 40 Euro).
Strategie-Tipp 2: Nutzer-Accounts anlegen
Nur wenige Trojaner erringen Root-Rechte auf einem Rechner. Gerade bei Tools wie Ransomware, die auf eine breite Streuung aus sind, lohnt sich der Aufwand für den Täter nicht. Er nimmt dann lieber das nächste Opfer in Angriff. Einfach hat er es daher nur, wenn Sie eh mit Root-Rechten bei Windows arbeiten, denn dann steht dem Eindringling alles offen: Sie selbst haben ihn mit durch Tür hereingenommen! Legen Sie also zuerst einen einfachen Nutzer-Account für sich selbst an: Ab Win 8 über Einstellungen/Konten. Hier wechseln Sie zu Familie und weiterer Benutzer. Windows ab Version 8 versucht nun krampfhaft, ein Live-Konto anzulegen. Das umgehen Sie mit Ich kenne die Anmeldeinformationen für diese Person nicht und Benutzer ohne Microsoft-Konto hinzufügen.
Arbeiten Sie künftig nur noch mit diesem Account, das hat kaum Nachteile. Nur selten, zum Beispiel bei einer Installation, brauchen Sie Admin-Rechte und müssen als einfacher Anwender dann in einem Dialog das Admin-Passwort nachreichen. Der Sicherheitsgewinn hingegen ist erheblich. Ein Trojaner kann nicht auf Windows oder die Daten anderer Anwender zugreifen, sofern Sie für diese ebenfalls eigene Accounts eingerichtet haben, was ratsam ist.
Strategie-Tipp 3: Wichtige Daten trennen
Nun dröseln Sie die Datenstrukturen Ihrer anderen Nutzer auf. Die Daten in deren Eigenen Dateien sind automatisch mit den richtigen Rechten versehen. Anders, wenn Sie Daten auf einer eigenen Partition oder einem Laufwerk ausgelagert haben (was auch durchaus ratsam ist). Auf diese Daten haben bei Windows dann standardmäßig alle „authentifizierten“ Nutzer vollen Zugriff, also alle, die sich regulär angemeldet haben. Entziehen Sie dem Laufwerk zuerst die allgemeinen Schreibrechte:
Klicken Sie im Arbeitsplatz mit der rechten Maustaste auf das Laufwerk und wählen Sie Eigenschaften/Sicherheit – Sie sehen eine Liste aller zugeordneten Nutzer, meist:
- Authentifizierte Benutzer (mit Schreibrechten)
- System (Vollzugriff)
- Administratoren (Vollzugriff)
- Benutzer (ohne Schreibrechte)
Klicken Sie nun Bearbeiten, wählen Sie Authentifizierte Benutzer und entfernen Sie das Häkchen bei Schreiben in der Spalte Zulassen (die Spalte Verweigern ist mächtiger und überschreibt alle Rechte, das kann zu Problemen führen). Die Rechtevergabe gilt nun für alle Unterordner (Vererbung).
Nun weisen Sie Ihren Nutzern einzeln Rechte für deren Ordner (und automatisch deren Unterordner) zu. Wählen Sie zum Beispiel den Unterordner Daten von Alice, gehen Sie vor wie oben: Eigenschaften/Sicherheit/Bearbeiten und wählen Sie nun Hinzufügen. Ins untere Feld schreiben Sie den Kontonamen, den Sie privilegieren wollen, etwa Alice. Nun können Sie für Alice einzelne Rechte zufügen: Schreiben. Ein Ordner kann natürliche mehrere Nutzer haben, mit differenzierten Rechten, oder auch Nutzergruppen (Letzteres nur ab Windows-Pro-Version). Sinnvoll ist auch ein Austauschordner, in den alle authentifizierten Nutzer schreiben dürfen. Durch die genaue Aufsplittung der Rechte ist der Datenausfall bei einer Ransomware-Attacke auf einen Nutzer begrenzt. Das Chaso bleibt im Kinderzimmer.
Strategie-Tipp 4: Alte Daten schützen
Für die Opfer eines Erpresserangriffs ist der ärgerlichste Verlust nicht der der aktuellen Daten (die oft in Cloud-Diensten vervielfältigt sind), sondern meist der der alten Fotos. Nicht umsonst attackieren Erpresser mit Vorliebe *.jpg. Eine schützende Strategie dagegen ist nun, den Nutzern Schreibrechte für alte Daten komplett zu entziehen, denn alte Fotos werden nicht mehr bearbeitet, sondern nur noch angeguckt.
Legen Sie also einen Archiv-Ordner an und entziehen Sie allen authentifizierten Nutzer wie oben beschrieben die Schreibrechte darauf. Liegt der Ordner in Ihrem Datenlaufwerk und haben Sie diesem die entsprechenden Rechte bereits entzogen, so ist die Arbeit schon getan, solange Sie dem Ordner keine anderen Nutzer zuweisen und solange Sie selbst nicht mit Admin-Rechten am PC sitzen. Alle Nutzer außer Admins dürfen so nur lesen, was auch für die Ransomware gilt. Erweiterte Rechte brauchen Sie immer nur kurz, um Bilder ins Archiv zu schieben. Loggen Sie sich dafür kurzfristig mit dem Admin-Account ein, lassen Sie währenddessen aber den Browser zu und machen Sie keine Mail auf.
Strategie-Tipp 5: Hardware trennen
Noch ist ein Problem nicht gelöst: Ein besonders aggressiver (aber seltener) Trojaner erringt Root-Rechte auf Ihrem Rechner, dann nutzt alles Bisherige nichts, da er als Admin agiert. Dem entgehen Sie, indem Sie die Daten auf einen anderen Rechner schreibgeschützt auslagern: einen Heimserver oder eine NAS.
Lesetipp: Antivirus Test 2017
Wenn Sie einen anderen Windows-Rechner (ohne Internetanschluss) als Archiv nutzen, aktivieren Sie dort die Datenfreigabe – allerdings nicht die Freigabe von Bibliotheken (Bilder, Filme, Dokumente etc.)! Denn diese Freigaben sind automatisch mit Schreibrechten versehen. Geben Sie gezielt einen Ordner frei (zum Beispiel Medien), indem Sie mit der rechten Maustaste draufklicken und wählen: Eigenschaften/Freigabe/Erweiterte Freigabe. Setzen Sie ein Häkchen bei Diesen Ordner freigeben und wählen Sie dann Berechtigungen. Dort bestimmen Sie Jeder: Lesen (nicht Schreiben).
Sie finden den Ordner auf dem Client dann im Explorer unter Netzwerk/Servername/Medien. Am einfachsten ist es, ihn dauerhaft per Netzlaufwerk einzurichten. Kein Nutzer auf dem Client – auch kein Admin – hat nun Schreibrechte darauf. Wollen Sie aber Fotos ins Archiv auf den Server schieben, benötigen Sie dort wieder einen privilegierten Nutzer, den Sie immer nur kurzfristig verbinden: Klappe auf, Daten rein, Klappe zu. Legen Sie auf dem Server ein entsprechendes Nutzerkonto (aber ohne Admin-Rechte) an, etwa Archivar.
Den Archivar privilegieren Sie nun für Ihren Medien-Ordner: Rechte Maustaste Eigenschaften/Freigabe/Erweiterte Freigabe/Berechtigung/Hinzufügen. Hier tragen Sie unten Archivar ein und setzen ein Häkchen bei Vollzugriff. Auf dem Client-PC suchen Sie im Netzwerk Server und Ordner. Klicken Sie mit der rechten Maustaste darauf (nicht öffnen) und wählen Sie Netzlaufwerk verbinden. Das Häkchen bei Verbindung bei Anmeldung wiederherstellen kommt weg, sonst hat der nächste Trojaner leichtes Spiel.
Dafür wählen Sie Verbindung mit anderen Anmeldeinformationen herstellen. Nun öffnet sich ein kleines Login-Fenster. Hier melden Sie sich als Archivar mit dessen Zugangsdaten vom Server an, und – Voilà! – nun haben Sie Schreibzugriff zum Kopieren neuer Bilder auf den Server. Nach getaner Arbeit trennen Sie das Laufwerk. Auf der NAS gibt es ebenfalls einfache Möglichkeiten, Ordner nur lesend anzubieten beziehungsweise Nutzern die Rechte zu begrenzen. Das Vorgehen ist meist einfacher als unter Windows.
Fazit
Viele Anwender geben sich zufrieden damit, ihre Rechner abzusichern, quasi die Haustüre abzusperren – verschließen Sie im Hinblick auf Erpresser aber auch den Schrank mit den Wertsachen! Überlegen Sie sich eine Nutzerrechte- und eine Backup-Strategie. Einmal eingerichtet sind das dann Selbstläufer.
