Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält Ransomware-Angriffe für die derzeit größte Bedrohung aus dem Cyber-Raum. Diese hätten oftmals schwerwiegende Folgen für die Betroffenen und könnten zudem gravierende Auswirkungen auf Dritte haben, heißt es von Seiten des BSI. Bei einem Ransomware-Vorfall verschlüsseln Angreifer die Daten eines Unternehmens, nachdem sie sich Zugang zu dessen Netzwerk verschafft haben. Erst gegen ein Lösegeld geben sie diese dann wieder frei.
Durch die fortschreitende Digitalisierung steigt das Risiko. Wenn zum Beispiel auch die Produktionsumgebung bei Fertigungsunternehmen vernetzt wird, können auch die dortigen Daten zur Beute von Cyber-Kriminellen werden.
Studien bestätigen die Gefahr. Laut einer IDC-Untersuchung vom vergangenen Herbst waren 70 % der Unternehmen in den vorangegangenen zwölf Monaten Opfer von Ransomware-Attacken. Nur gut die Hälfte konnte den Angriff abwehren oder rechtzeitig isolieren. Befragt wurden Security-Verantwortliche aus 206 Firmen mit mehr als 100 Mitarbeitern.
Für die Cyber-Kriminellen ist das ein einträgliches Geschäft. Denn mehr als die Hälfte (52 Prozent) der Unternehmen waren oder sind bereit, das verlangte Lösegeld zu zahlen. Unter den bereits Angegriffenen ist dieser Anteil besonders hoch. Den meisten der Opfern geht es dabei darum, möglichst schnell wieder handlungsfähig zu sein.
Dieser Wunsch ist verständlich. Doch die Bereitschaft, auf die Forderungen einzugehen, steigert die Attraktivität von Ransomware-Attacken. Das BSI rät grundsätzlich davon ab, Lösegeld zu bezahlen. „Lösegeldzahlungen befeuern ein kriminelles Geschäftsmodell und bieten keine Garantie, dass das betroffene Netzwerke wiederhergestellt werden kann“, so ein Sprecher des Bundesamtes. Zudem müsste das Netzwerk ohnehin gründlich untersucht werden, um die für den erfolgreichen Cyber-Angriff genutzten Schwachstellen schließen zu können.
Unterschiede in der Zahlungsbereitschaft
Eine Studie des IT-Sicherheitsanbieters Trend Micro, in der das kriminelle Vorgehen analysiert wurde, kommt zu dem Schluss, dass die Zahlung eines Lösegelds häufig nur die Gesamtkosten eines Vorfalls in die Höhe treibt, ohne Vorteile zu bringen. Zudem gebe es Unterschiede bezüglich der Zahlungsbereitschaft der Unternehmen – abhängig von Branche und Land. So ist diese laut Studie zum Beispiel im Finanzsektor besonders hoch. Die Untersuchung zeigt aber auch: Branchen und Länder, in denen die Organisation eher bereit sind, Lösegeld zu bezahlen, werden mit größerer Wahrscheinlichkeit auch zum Ziel eines Angriffs. Wer zahlt, hält also das Geschäft mit Ransomware am Laufen.
Von staatlicher Seite wächst der Druck, dieses Geschäft zu unterbinden. So gehen die USA und Großbritannien beispielsweise gegen die russischen Mitglieder der Cybercrime-Gruppe Trickbot vor. Firmen, deren Daten von dieser Gruppe gekapert wurden, müssen juristische Konsequenzen fürchten, wenn sie sich freikaufen. Das Zahlen von Lösegeld an diese Cyber-Kriminellen ist verboten. „Es ist zu erwarten, dass westliche Behörden ihren Druck auf weitere Ransomware-Gruppen ausweiten werden“, sagt Wolfgang Huber, Leiter der DACH-Region beim Datenmanagement- und sicherheitsanbieter Cohesity.
Auch das BSI äußert sich auf Anfrage zu dem Thema. „Mit Blick auf ein Verbot von Lösegeldzahlungen geht es aus Sicht des BSI weniger darum, ob Lösegeldzahlungen erfolgen dürfen oder nicht, sondern welche Kriterien angelegt werden, wann dies sinnvoll ist.“ Da bei Ransomware-Erpressungen häufig mit der Veröffentlichung großer Mengen personenbezogener Daten gedroht werde, sei dabei auch das Schutzbedürfnis Dritter zu betrachten. „Hier erscheint das in den USA praktizierte Verfahren, Lösegeldzahlung grundsätzlich zu verbieten und nur in Abstimmung mit Behörden als Ausnahme zu erlauben, als ein zielführender Weg.“
Versicherungen können keine Schäden verhindern
„Von Ransomware betroffene Firmen werden ihre gekaperten Systeme auf mittlere Sicht kaum noch freikaufen können, ohne massive juristische Risiken fürchten zu müssen“, glaubt Huber. „Ein Teil der Cyberversicherung, der mögliche Ransomware-Zahlung abdeckt, verliert damit seinen Mehrwert.“
Laut IDC-Studie gibt es daran aber ein verstärktes Interesse. Insgesamt vier von fünf Firmen sind bereits versichert oder planen es innerhalb der kommenden zwölf Monate zu sein. Vor allem diejenigen ohne erfolgreiche Ransomware-Abwehr haben oder planen häufig eine Versicherung. „Das lässt vermuten, dass viele in Cyber-Versicherungen einen Ersatz für Security-Maßnahmen sehen“, heißt es in der Studie. Die IDC-Experten warnen jedoch davor, so zu denken. Denn Cyberversicherungen könnten Schäden nicht verhindern, sondern nur die wirtschaftlichen Einbußen mindern oder ausgleichen. „Verlorenes Vertrauen und Reputation können Versicherungen nicht ersetzen.“ Die Analysten von IDC halten Investitionen der Unternehmen in eigene Sicherheitsmaßnahmen grundsätzlich für sinnvoller – zumal eine Bezahlung von Lösegeld kein Garant für eine erfolgreiche Entschlüsselung sei.
Solche Maßnahmen erfordern ein Zusammenwirken verschiedener Methoden und Technologien. Dazu zählen unter anderem strikte Zugriffsregeln sowie ein so genanntes Zero-Trust-Konzept. Der gesamte Netzverkehr wird dabei überwacht und alle Anwender oder Dienste müssen sich authentifizieren. Hinzu kommen außerdem IT-Lösungen, mit denen die wichtigsten Daten zu Schwachstellen – etwa in der Firmware von Geräten – regelmäßig erfasst werden, um darauf mit entsprechenden Schutzmaßnahmen reagieren zu können.
Abwehrmauern um die IT allein reichen nicht aus
Solche Maßnahmen sind wichtig und wirksam. Es gibt jedoch keinen hundertprozentigen Schutz vor einem Angriff. Daher sollten Unternehmen sich nicht ausschließlich darauf konzentrieren, hohe Abwehrmauern um ihre IT zu errichten. Der Großteil der Ausgaben für IT-Sicherheit ist in den meisten Unternehmen jedoch genau darauf ausgerichtet. Nur ein kleiner Teil wird dagegen für Maßnahmen verwendet, den Schaden nach einer erfolgreichen Attacke zu begrenzen.
Hubers Kollege Pascal Brunner sieht dies kritisch. „Es ist wichtig, dass sich die Verantwortlichen in den Unternehmen stärker auf die Cyber-Resilienz konzentrieren“, so Brunner, der Cohesity als Field Technical Director für die Region EMEA tätig ist. Damit ist die Fähigkeit gemeint, auch während eines gerade erfolgreich laufenden Angriffs diesen analysieren und gleichzeitig die wichtigsten Elemente im Betrieb aufrecht erhalten zu können.
Cohesity setzt dabei laut Brunner auf das Standardregelwerk NIST. Dieses enthält eine Reihe an Best Practices und Richtlinien, um die IT-Security im Unternehmen zu verbessern. Es orientiert sich dabei an den fünf Punkten Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Eine wichtige Rolle spielen dabei Backups, die nicht nur die Daten sichern, sondern auch die Basis für Analysen bilden, um die Attacke zurückzuverfolgen.
Sich wirksam vor Ransomware zu schützen, ist aber nicht nur eine Sache der Technik. Es erfordert auch die richtige Kultur im Unternehmen. Und an der fehlt es offensichtlich in vielen Fällen. So gaben in der IDC-Studie beispielsweise 55 Prozent der Befragten an, dass die Dringlichkeit für Security-Maßnahmen meist nur in den Security-Abteilungen und nicht im Vorstand empfunden wird. Zudem haben zwar 75 Prozent der Unternehmen eine vollständige Sicherheitsstrategie, aber nur bei weniger als der Hälfte wird sie auch einheitlich in der gesamten Organisation umgesetzt.
Aus Sicht der IDC-Experten sind daher in vielen Betrieben weitere Anstrengungen zum Aufbau einer Security-Kultur und von entsprechendem Leadership nötig. Denn eines ist sicher: Die Gefahr, Opfer eines Erpressungsversuches aus dem Cyber-Raum zu werden, wird so bald nicht verschwinden.
Die meisten Unternehmen waren oder sind bereit, Lösegeld nach einem Ransomware-Angriff zu zahlen – vor allem, um schnell wieder handlungsfähig zu sein, so eine IDC-Studie. Um sich abzusichern, stehen bei den Firmen entsprechende Versicherungen hoch im Kurs.Grafik: IDC
Reale Gefahr
Die meisten deutschen Unternehmen sind bereits Opfer von Cyberkriminalität geworden, so eine globale Studie des IT-Anbieters Cisco. 55 Prozent der Befragten berichten von einem Vorfall in den vergangenen zwölf Monaten, jeder zweite davon (49 %) verursachte einen Schaden von mindestens 300.000 US-Dollar. Zum Vergleich: Weltweit bemerkten 60 Prozent einen Vorfall, der bei 54 Prozent der Betroffenen einen Schaden von mindestens 300.000 US-Dollar anrichtete. In Deutschland erwarten 77 Prozent (weltweit: 82 %) in den kommenden zwölf bis 24 Monaten eine Störung ihres Geschäftsbetriebs durch Cyberkriminalität. Um dies zu verhindern, planen 81 Prozent der deutschen Unternehmen (weltweit: 86 %), ihr Budget für Cybersicherheit in den kommenden 12 Monaten um mindestens 10 Prozent zu erhöhen.
Für den so genannten Cybersecurity Readiness Index 2023 von Cisco wurden 6.700 Führungskräften in 27 Ländern befragt, die in ihren Unternehmen für Cybersicherheit zuständig sind.
Webinar zum Thema
In einem Webinar erklärt Security-Spezialist Sophos, warum IT-Sicherheit Geschäftsführersache ist und wie man sich mit Hilfe von externen Services vor Cyber-Gefahren schützen kann.
Hier geht´s zum Webcast: http://hier.pro/tQLNv
Markus Strehlitz, Redaktion IndustrieanzeigerBild: Tom Oettle
Den Teufelskreis durchbrechen
Dass Unternehmen bereit sind, nach einem Ransomware-Angriff das verlangte Lösegeld zu zahlen, ist verständlich. Schließlich kann eine solche Attacke existenzbedrohend sein. Doch je mehr Firmen auf die Forderungen von Cyber-Erpressern eingehen, desto attraktiver wird das Geschäftsmodell Ransomware. Und umso größer wird die Zahl der Angreifer, was wiederum mehr Firmen zu potenziellen Opfern macht. Ein Teufelskreis. Dieser lässt sich wohl nur durchbrechen, wenn solche Zahlungen künftig in Deutschland verboten werden.
