Ransomware ist eine der gefährlichsten Bedrohungen für Deinen Computer: Diese Schadsoftware verschlüsselt Deine gesamten Dateien – Fotos, Dokumente, Projekte – und verlangt dann ein Lösegeld, meist in Bitcoin, um sie wieder freizugeben. Der Name setzt sich aus dem englischen Wort „ransom" (Lösegeld) und „software" zusammen. Und das Perfide daran: Selbst wenn Du bezahlst, gibt es keine Garantie, dass Du Deine Daten zurückbekommst.
Wie funktioniert das?
Ransomware gelangt auf verschiedenen Wegen auf Deinen Rechner. Am häufigsten passiert es über E-Mail-Anhänge – etwa eine gefälschte Rechnung als Word-Datei oder eine angebliche Bewerbung als PDF. Sobald Du den Anhang öffnest, startet die Schadsoftware im Hintergrund. Manchmal reicht auch der Besuch einer manipulierten Webseite oder ein infizierter USB-Stick.
Was dann passiert, geht meist erschreckend schnell: Die Ransomware durchsucht Deine Festplatte nach Dateien – Dokumente, Bilder, Datenbanken, Archive – und verschlüsselt sie mit einem starken kryptografischen Verfahren. Moderne Ransomware nutzt dabei eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung. Das bedeutet: Ohne den passenden Schlüssel, den nur die Angreifer besitzen, sind Deine Daten unbrauchbar.
Nach der Verschlüsselung erscheint eine Erpressernachricht auf Deinem Bildschirm. Sie erklärt Dir, was passiert ist, und nennt einen Betrag – typischerweise zwischen ein paar hundert und mehreren tausend Euro. Die Bezahlung soll über Bitcoin oder andere Kryptowährungen erfolgen, weil diese schwer zurückzuverfolgen sind. Oft gibt es einen Countdown: Wenn Du nicht innerhalb von 48 oder 72 Stunden zahlst, verdoppelt sich der Preis – oder die Daten werden endgültig gelöscht.
Die Verschlüsselung selbst ist in der Regel nicht zu knacken. Sicherheitsforscher finden zwar gelegentlich Schwachstellen in der Implementierung bestimmter Ransomware-Varianten, aber darauf sollte man sich nicht verlassen. Die Angreifer werden immer professioneller. Manche Ransomware-Gruppen betreiben sogar einen „Kundenservice" mit Chat-Support, der Dir beim Bezahlen hilft.
Ein weiteres Problem: Ransomware verbreitet sich oft im Netzwerk. Wenn ein Rechner in einem Büro infiziert wird, kann die Schadsoftware über Netzwerkfreigaben und Schwachstellen im Betriebssystem auf alle anderen Rechner im selben Netzwerk übergreifen. So werden aus einem befallenen PC schnell hunderte lahmgelegte Arbeitsplätze.
Beispiele aus der Praxis
Die Geschichte der Ransomware ist voll von verheerenden Angriffen, die zeigen, wie real diese Bedrohung ist:
WannaCry (2017) war der Weckruf für die ganze Welt. In nur 24 Stunden wurden über 230.000 Computer in 150 Ländern verschlüsselt. Krankenhäuser in Großbritannien mussten Operationen absagen, die Deutsche Bahn zeigte auf ihren Anzeigetafeln statt Zugverbindungen die Erpressernachricht. Der Gesamtschaden: geschätzt 4 bis 8 Milliarden US-Dollar. Mehr dazu in unserem Schadenbeispiel zu WannaCry.
Ryuk hatte es gezielt auf Krankenhäuser und Kommunen abgesehen. Die Angreifer nahmen sich Zeit, erkundeten das Netzwerk ihrer Opfer und schlugen dann zu, wenn der Schaden am größten wäre – oft an Wochenenden oder vor Feiertagen. Die Lösegeldforderungen lagen regelmäßig im Millionenbereich. Wie Ryuk ganze Krankenhäuser und Stadtverwaltungen lahmlegte, zeigt unser Schadenbeispiel zu Ryuk.
LockBit gehört zu den aktivsten Ransomware-Gruppen der letzten Jahre. Besonders aufsehenerregend war der Angriff auf den britischen Postdienst Royal Mail Anfang 2023, bei dem der internationale Versand wochenlang lahmgelegt wurde. LockBit operiert als „Ransomware-as-a-Service" – dazu mehr in unserem Schadenbeispiel zu LockBit und Royal Mail.
Wie schützt Deep Freeze davor?
Deep Freeze verfolgt einen radikal anderen Ansatz als klassische Antivirensoftware: Statt zu versuchen, jede einzelne Ransomware-Variante zu erkennen und zu blockieren, macht es deren Angriff schlicht wirkungslos. Deine Systemfestplatte wird beim Neustart in den ursprünglichen, sauberen Zustand zurückversetzt – jede Veränderung, die die Ransomware vorgenommen hat, wird vollständig rückgängig gemacht.
Das bedeutet: Selbst wenn eine Ransomware Deine Systempartition verschlüsselt, genügt ein einfacher Neustart, und Dein System ist wieder so, wie es vorher war. Keine Erpressernachricht, kein Lösegeld, kein Datenverlust auf der Systempartition. Die Verschlüsselung? Nie passiert. Der Trojaner, der sich eingenistet hat? Verschwunden.
Ransomware ist eine ernste Bedrohung, die jeden treffen kann – vom Privatanwender bis zum Großkonzern. Aber mit dem richtigen Schutzkonzept, das auf einer eingefrorenen Systempartition basiert, nimmst Du Erpressern ihre stärkste Waffe: die Angst vor dem Datenverlust.