Ransomware

Ransomware sperrt die Tür zu den eigenen Daten und verlangt Geld für den Schlüssel. Das eigentlich Tückische ist nicht der Moment der Verschlüsselung, sondern alles davor: Oft ist der Angreifer schon lange im Netzwerk, bewegt sich, sammelt Daten — und schlägt erst zu, wenn er maximalen Schaden anrichten kann.

Am Anfang steht meist ein Einstieg über Phishing, eine Schwachstelle oder gestohlene Zugangsdaten. Es folgen laterale Bewegung, das Ausweiten von Rechten und oft der Abfluss von Daten über eine Command-and-Control-Verbindung. Die Verschlüsselung ist der letzte Schritt — sichtbar wird der Angriff für viele Opfer erst dann.

Weil zwischen erstem Eindringen und Verschlüsselung oft Wochen liegen, ist Früherkennung der wichtigste Hebel. Wer die vorbereitenden Schritte — ungewöhnliche interne Verbindungen, verdächtigen Außenverkehr — rechtzeitig bemerkt, kann eingreifen, bevor verschlüsselt wird. Genau diese Phase macht eine direkte Netzwerk-Sicht über NDR sichtbar.