Lieber zahlen als schützen

Deutsche Unternehmen in der Ransomware-Falle

17. Juni 2022, 17:06 Uhr | Lars Bube
© ra2 studio - AdobeStock

Noch immer wiegen sich zu viele Firmen und Einrichtungen in trügerischer Sicherheit vor Ransomware-Angriffen. Wer dann auch noch das geforderte Lösegeld überweist, bezahlt meist doppelt. 80 Prozent derjenigen, die sich den Schlüssel für ihre Daten erkaufen, werden erneut angegriffen.

Security-Experten werden nicht müde, Unternehmen eindringlich vor der wachsenden Gefahr durch Ransomware zu warnen. Wie bitter nötig das trotz der großen medialen Aufmerksamkeit durch spektakuläre Fälle wie die Erpressung des Petro-Konzerns Colonial Pipeline oder der IT-Konzerne Apple und Kaseya noch immer ist, belegt jetzt wieder eindrücklich die aktuellen Ransomware-Studie „Ransomware: The True Cost to Business Study 2022“ des XDR-Anbieters Cybereason. Der zufolge glauben 91 Prozent der deutschen Studienteilnehmer das richtige Personal zu haben, um Ransomware-Angriffe optimal zu managen. Besonders gerne setzen die hiesigen Unternehmen zur Schadensbegrenzung außerdem auf Cyberversicherungen, die fast 88 Prozent abgeschlossen haben. Konkrete Pläne und Maßnahmen für den Ernstfall haben jedoch nur 71 Prozent der Firmen vorbereitet. Schon das deutet darauf hin, dass wohl noch immer nicht in allen Köpfen angekommen ist, dass eine Ransomware-Attacke jeden treffen kann.

Genau das belegt jedoch die andere Seite der Statistik. Denn gleichzeitig wurden bereits knapp 69 Prozent der befragten Unternehmen in Deutschland und 73 Prozent weltweit Opfer mindestens eines Ransomware-Angriffs. Im Vergleich dazu waren es in der Studie von 2021 nur 55 Prozent. Oft hilft den Unternehmen dann auch die beste Versicherung nur noch wenig. Ist grobe Fahrlässigkeit im Spiel, können die Assekuranzen beispielsweise die Zahlung verweigern. Selbst im besten Fall kann sie nur finanziellen Ausgleich leisten, nicht jedoch die Daten wiederbeschaffen. Hinzu kommt meist ein bedeutender Image- und Vertrauens-Verlust, wenn die Fälle öffentlich werden oder die Erpresser auch die Kunden der Opfer direkt angehen. Dementsprechend geben knapp 37 Prozent der Befragten, die durch Ransomware Geschäftsverluste hinnehmen mussten, an, die Unternehmensmarke habe einen entsprechenden Schaden erlitten. Außerdem gehen vielen Unternehmen im Nachgang eines Ransomware-Angriffs oft wichtige Fach- und Führungskräfte verloren. Fast 40 Prozent der Unternehmen haben nach einem schädlichen Ransomware-Angriff Mitarbeiter entlassen, 37 Prozent erlitten zudem Rücktritte auf C-Level.

Das zeigt, wie gravierend die Folgen der digitalen Erpressung auch über die bekannten primären Dimensionen des Verlusts von Daten, Geld, Arbeitszeit und Produktionsausfällen hinaus sein können. Und es verdeutlicht, wie trügerisch das vor allem auf nachträgliche Maßnahmen setzende Sicherheitsgefühl ist. Stattdessen wäre es für einen wirksamen Schutz wichtig, schon vor einem Angriff schlagkräftige Erkennungs- und Präventionsstrategien einzurichten sowie konkrete Notfallpläne unter Berücksichtigung der eigenen Systemlandschaft vorzubereiten. Oft gibt es schon lange bevor die Verschlüsselung beginnt verräterische Signale, die auf einen Angriff hinweisen. Weltweit stellten 60 Prozent der Opfer im Nachhinein fest, dass die Angreifer und ihre Malware schon bis zu sechs Monate vor der eigentlichen Verschlüsselung im Netzwerk aktiv waren. Meist nutzen sie diese Zeit um Daten zu stehlen und weitere Schwachstellen zu finden. Darüber hinaus muss für eine wirksame Vorbereitung unbedingt auch über die Grenzen des eigenen Unternehmens hinweg gedacht werden. 61 Prozent der von einem Ransomware-Angriff getroffenen deutschen Unternehmen (weltweit: 64 Prozent) gehen davon aus, dass die Täter über einen ihrer Zulieferer oder Geschäftspartner in ihr Netzwerk gelangt sind.

Anbieter zum Thema

zu Matchmaker+
Schattenwährung Bitcoin
© scaliger - AdobeStock

Der mangelnde Schutz und die unzureichende Vorbereitung der Firmen spielen den Erpressern gleich mehrfach in die Hände. Nicht nur fällt ihnen der Angriff bei schlecht vorbereiteten Systemen und Mitarbeitern leichter, er wird zudem oft zu spät bemerkt und dann nicht schnell und wirksam genug ausgehebelt, etwa durch eine zentral gesteuerte Isolierung und Abschaltung betroffener Systeme. Ist der Weiterbetrieb technisch nicht durch Maßnahmen wie stabile Backup-Pläne oder Business-Continuity-Lösungen abgesichert, haben die Cyberkriminellen ihr Ziel fast schon erreicht und sitzen am deutlich längeren Hebel. Und genau an diesem Punkt begehen allzu viele Opfer den nächsten gravierenden Fehler, indem sie dem Druck nachgeben und entgegen aller Warnungen das Lösegeld bezahlen, in der Hoffnung möglichst schnell wieder an ihre Daten zu kommen und Schlimmeres zu vermeiden. Knapp ein Drittel der Befragten gibt als Grund für die Bezahlung sogar an, andernfalls durch den Ausfall von Systemen eine Gefährdung für Menschenleben befürchtet zu haben. Auch das kein Zufall, greifen die Hacker doch immer häufiger auch wichtige Infrastrukturen wie Kliniken an, um den Druck zu erhöhen.

Doch auch wenn die Aussicht auf eine schnelle Entschlüsselung der Daten verlockend oder gar unvermeidbar klingen mag, gibt es mehrere sehr gute Gründe, sie nicht freizukaufen. Das beginnt bereits damit, dass nicht gesagt ist, dass sich die Cyberkriminellen überhaupt an ihren Teil der Abmachung halten. Immer wieder liefern sie zahlungswilligen Opfern entweder gar keine oder nur unzureichende Tools, mit denen die Entschlüsselung der Datenmassen nicht zu bewältigen ist. In der Studie geben 70 Prozent der deutschen Unternehmen die ihre Daten durch eine Zahlen ausgelöst haben an, dass einige oder sogar alle Daten während des Wiederherstellungsprozesses beschädigt wurden. Den Angreifern indes ist das herzlich egal. Ihnen verschafft das erhaltene Lösegeld neuen finanziellen Spielraum und zusätzliche Motivation für weitere digitale Raubzüge. Diese gefährden nicht nur andere Unternehmen, sondern richten sich entgegen der Beteuerungen der Erpresser immer häufiger erneut gegen die Bezahlenden, die sich ihnen damit als willfähriges Opfer regelrecht für Wiederholungstaten anbieten. „Nachdem sie das erste Mal von einem Ransomware-Angriff getroffen wurden, brauchen Unternehmen Zeit, um ihre Sicherheitslage zu bewerten, die richtigen Tools zu bestimmen und dann das entsprechende Budget aufzutreiben, um sie zu bezahlen. Die Ransomware-Banden sind sich dessen bewusst, und das ist der Hauptgrund, warum sie schnell wieder zuschlagen“, erklärt Lior Div, CEO und Mitbegründer von Cybereason. Knapp 82 Prozent der deutschen Unternehmen die der Forderung nachgegeben hatten, wurden in der Folge erneut angegriffen. Weltweit wurden 80 Prozent von den digitalen Erpressern heimgesucht.

Selbst diese bittere Erfahrung hält manche Unternehmen aber nicht davon ab, dann eben erneut zu bezahlen – meist mehr als beim ersten Angriff. 70 Prozent der deutschen Firmen, die sich auf ein zweites Lösegeld eingelassen haben, mussten dabei noch tiefer in die Tasche greifen. Die logische Konsequenz war allzu oft der dritte Angriff. Bei dem hat dann immerhin keines der betroffenen deutschen Unternehmen mehr bezahlt, während international 10 Prozent der Opfer auch noch ein drittes Lösegeld an die Verbrecher transferierten. „Ransomware-Angriffe sind traumatische Ereignisse, und wenn die Angreifer innerhalb weniger Wochen ein zweites, drittes oder viertes Mal zuschlagen, kann dies ein Unternehmen in die Knie zwingen“, warnt Div.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Cybereason

Weitere Artikel zu RZ-Dienstleistung

Weitere Artikel zu Betriebs-Sicherheit

Weitere Artikel zu Datensicherheit

Matchmaker+