Fachbeiträge
Neuigkeiten zu IT-Themen und Comp4U
Buzzwords entschlüsselt - Folge #2: Ransomware & Erpressung - Wenn Verschlüsselung nur der Anfang ist
Ransomware ist längst kein reines IT-Thema mehr, sondern ein reales Unternehmensrisiko mit direkten wirtschaftlichen Folgen. Und mit ihr taucht ein ganzes Ökosystem an Begriffen auf, die für das Verständnis moderner Angriffsketten entscheidend sind. In dieser Folge geht es um die Sprache der Erpresser: Begriffe, Rollen und Abläufe, die hinter Ransomware-Angriffen stecken.
Warum sich diese Folge lohnt
Diese Folge zeigt, dass hinter dem Begriff „Ransomware“ mehr steckt als nur Verschlüsselung. Sie beleuchtet die Rollenverteilung innerhalb krimineller Gruppen, zeigt typische Abläufe auf und vermittelt ein Verständnis dafür, wie professionell und arbeitsteilig diese Strukturen agieren – inklusive Kommunikation, Verhandlung und Zahlungsabwicklung.
Wer diese Begriffe kennt, kann Risiken früher identifizieren, Security-Maßnahmen gezielter einleiten und in der Kommunikation mit Dienstleistern und Analysten auf Augenhöhe agieren.
Grundlagen & Angriffsformen
| Begriff | Erklärung |
|---|---|
| Ransomware | Schadsoftware, die Daten verschlüsselt und Lösegeld fordert. Verbreitung erfolgt u. a. über Phishing, Exploits oder Drive-by-Downloads. |
| Extortion | Allgemeiner Begriff für Erpressung – durch Datenverschlüsselung, Drohung mit Veröffentlichung oder Betriebsunterbrechung. |
| Double Extortion | Kombination aus Verschlüsselung und Datenexfiltration – mit zusätzlichem Druckmittel der Veröffentlichung. |
| Triple Extortion | Erweiterte Drohung: zusätzlich Angriffe auf Partner, Kunden oder Öffentlichkeit. |
| Remote Ransomware | Verschlüsselung erfolgt nicht lokal, sondern von außen über kompromittierte Zugänge oder RDP-Zugriffe. |
| Drive-by-Download | Schadcode wird ohne Interaktion beim Besuch präparierter Websites geladen – meist über manipulierte Werbung oder Plugins. |
Malware-Typen im Ransomware-Kontext
| Begriff | Erklärung |
|---|---|
| Trojaner | Schadsoftware, die sich als legitimes Programm tarnt, um unbemerkt Zugriff zu erhalten. |
| Backdoor | Ein absichtlich oder böswillig geschaffener Zugriffskanal – oft versteckt im System. |
| Spyware | Software, die Nutzerdaten ohne Zustimmung ausspäht – häufig Vorstufe zu gezielten Angriffen. |
| RAT (Remote Access Trojan) | Ermöglicht Angreifern vollständigen Fernzugriff – meist dauerhaft und unbemerkt. |
| Keylogger | Zeichnet Tastatureingaben auf – häufig zur Passwort- oder Zugangsdatenerfassung. |
| Malware Framework | Baukasten für Schadsoftware – modular, anpassbar und oft Open Source. Wird von Ransomware-Gruppen professionell genutzt. |
Angriffsverlauf & Rollen
| Begriff | Erklärung |
|---|---|
| Initial Access Broker (IAB) | Liefert Zugangsdaten – verkauft kompromittierte Accounts oder VPN-Zugänge an Ransomware-Gruppen. |
| Command & Control (C2) | Infrastruktur zur Fernsteuerung infizierter Systeme – für Datenklau, Nachladen von Malware etc. |
| Leak Site / Shame Site | Plattformen, auf denen gestohlene Daten veröffentlicht werden, um Druck auszuüben. |
| Ransom Note | Nachricht mit Zahlungsaufforderung, Anweisungen und Kontaktinformationen – oft mehrsprachig. |
| Negotiator / Ransom Operator | Führt Kommunikation mit dem Opfer – professionell und psychologisch geschult. |
| Cryptocurrency Wallet / Bitcoin-Adresse | Ziel der Zahlung – meist anonym, schwer zurückverfolgbar. |
| Zahlungsweg & Kommunikation | Meist über Tor-Chats oder verschlüsselte Mails – oft mit abgestimmten Fristen und Eskalationsstufen. |
Einordnung & Analyse
| Begriff | Erklärung |
|---|---|
| MITRE ATT&CK® Framework | Standardisierte Darstellung von Taktiken, Techniken und Verfahren (TTPs) von Angreifern. |
| TTPs (Tactics, Techniques, Procedures) | Beschreiben das „Wie“ eines Angriffs – von Zugangsbeschaffung bis zur Datenvernichtung. |
| → Dual-Use-Tools | Legitimes Tool, das von Angreifern zweckentfremdet wird (z. B. PowerShell, AnyDesk). Oft schwer detektierbar. |
Ausblick auf Folge #3
In der nächsten Folge werfen wir einen Blick auf Begriffe rund um Sicherheitsarchitekturen und Prozesse – von Zero-Day über Obscurity bis zum SIEM.
Wie können wir konkret unterstützen?
Ob Awareness-Maßnahmen, Schutz vor Ransomware oder Einbindung von MITRE-Kriterien in Analyseprozesse – wir bringen Klarheit in Security-Konzepte und helfen bei der Umsetzung.
+49 6103 9707-500
