Erfolgreiche Ransomware-Angriffe auf Rekordniveau: So werden Sie gar nicht erst zum Opfer
von Tina Siering
Die Bedrohung durch Ransomware ist auf dauerhaft hohem Niveau. Laut einer Prognose von Cybersecurity Ventures müssen Unternehmen alle elf Sekunden damit rechnen, Opfer von Lösegeldforderungen zu werden – Tendenz steigend. Dabei gehen Cyberkriminelle immer gerissener und aggressiver vor, indem sie ihre Opfer gleich in mehrfacher Hinsicht erpressen und mit Attacken auf Supermärkte, Benzin-Pipelines, Kommunen oder Krankenhäuser sogar Teile des öffentlichen Lebens und der kritischen Infrastruktur lahmlegen. Die direkten Folgen für die betroffenen Unternehmen und Organisationen können existenzbedrohend sein.
Zwei Drittel der deutschen Unternehmen von Ransomware betroffen
Dass sich auch deutsche Unternehmen mittlerweile geradezu in einem “Ransomware-Minenfeld” bewegen, bestätigt die aktuelle Studie „State of Ransomware 2022“ des britischen Sicherheitssoftware-Herstellers Sophos. Demnach ist 2021 nicht nur die Anzahl der Ransomware-Attacken in Deutschland dramatisch angestiegen, sondern auch die Höhe der gezahlten Lösegelder.
Wir haben für Sie die wichtigsten Ergebnisse der Studie zusammengefasst:
Signifikante Zunahme der Ransomware-Angriffe
67 % der befragten deutschen Unternehmen (weltweit 66 %) wurden 2021 Opfer eines Ransomware-Angriffs – das sind 21 % mehr als im Jahr davor.
Deutlicher Anstieg der gezahlten Lösegeldsumme
Das durchschnittlich in Deutschland gezahlte Lösegeld lag 2021 bei 253.160 Euro und war damit im Vergleich zu 2020 fast doppelt so hoch. Immerhin 9 % der deutschen Unternehmen (weltweit 11 %) haben eine Lösegeldsumme in Höhe von mindestens 925.789 Euro (also 1 Million US-Dollar) bezahlt – im Jahr davor hat dies kein Unternehmen getan. Mit weniger als 9.257 Euro (also 10.000 US-Dollar) sind hingegen nur noch 13 % der betroffenen Unternehmen davongekommen.
Erhöhte Bereitschaft zur Zahlung von Lösegeld
Obwohl Sicherheitsexperten immer wieder dringend davon abraten, den Forderungen der Erpresser nachzugeben, waren 2021 42 % der deutschen Unternehmen (weltweit 46 %) dazu bereit, das Lösegeld zu zahlen.
Erhebliche finanzielle Folgen nach einer Ransomware-Attacke
Im Jahr 2021 haben deutsche Unternehmen durchschnittlich 1.601.615 Euro für die Wiederherstellung ihrer Daten ausgegeben (weltweit 1,4 Millionen US-Dollar bzw. 1.296.105 Euro) und einen Monat benötigt, um sämtliche Folgeschäden zu beheben. Mit einer verminderten Betriebsfähigkeit hatten 92 % der betroffenen deutschen Unternehmen (weltweit 90 %) zu kämpfen, mit geschäftlichen und/oder finanziellen Einbußen immerhin 84 %.
Keine vollständige Kostenübernahme durch Cyberversicherungen
80 % der befragten deutschen Unternehmen (weltweit 83 %) gaben an, eine Cyberversicherung zu besitzen, die auch Ransomware-Angriffe umfasst. Zwar haben die Versicherer in 98 % der in Deutschland verübten Fälle einen Teil oder die gesamten entstandenen Kosten gezahlt, jedoch lediglich bei 41 % der Vorfälle die gesamte Lösegeldforderung übernommen. Dem Empfinden der meisten Neuversicherten nach hätten sich die Versicherungspreise und -bedingungen in den vergangenen zwölf Monaten zudem zu ihren Ungunsten verändert.
Dass Ransomware die größte Gefahr für Ihre Cybersicherheit darstellt, belegt auch der BSI-Lagebericht 2021. So war im Berichtszeitraum ein deutlicher Zuwachs der Ransomware-Attacken und -Varianten zu verzeichnen. Im Vergleich zum Lagebericht 2020 hat die Anzahl der neu registrierten Malware-Varianten um 22 % auf 144 Millionen zugenommen. Die Lage sei mittlerweile „angespannt bis kritisch“.
Der Siegeszug von Ransomware: Wie konnte es so weit kommen?
Bei all diesen Erkenntnissen stellt sich die Frage: Wie konnten Cyberkriminelle mit Erpresser-Schadsoftware überhaupt eine derart große Erfolgsstory schreiben? Ohne Zweifel haben Kryptowährungen eine ganz zentrale Rolle bei der starken Zunahme von Ransomware-Angriffen gespielt. Denn Bitcoin und Co. machten es überhaupt erst möglich, dass die Angreifer Lösegeldzahlungen völlig unkompliziert abwickeln konnten – anonym, nicht rückverfolgbar und international durchführbar. Ransomware 1.0 war geboren.
Diese erste Generation von Ransomware begnügte sich noch damit, lediglich Produktionsdaten zu verschlüsseln. Doch der Erfolg der Methode war nicht von Dauer: Unternehmen setzten Backup-Systeme ein, mit denen sie ihre Daten im Angriffsfall schnell selbst wiederherstellen konnten, sodass die Erpresser leer ausgingen. Die Antwort der Cyberkriminellen ließ nicht lange auf sich warten: Bald schon wurden auch Backup-Daten und -Systeme zur Zielscheibe von Ransomware-Angriffen. Dies war die Geburtsstunde von Ransomware 2.0.
Cyberkriminelle gehen in ihren Attack-Chains heute mehrstufig vor und entwickeln immer ausgeklügeltere Strategien. Nachdem sie die Daten verschlüsselt haben, bedrängen sie bspw. ihre Opfer mit weiteren Erpressungen. Was in der Privatwirtschaft als Outsourcing bekannt ist, nämlich eine Arbeitsteilung und die Auslagerung von einzelnen Bestandteilen einer Aufgabe, wird auch bei Cyberkriminellen immer beliebter. Cybercrime-as-a-service; auf bestimmte Techniken spezialisierte Hackergruppen übernehmen hier als Auftragsarbeit Teile eines komplexen Cyberangriffs, während andere Gruppierungen abgegriffene Daten auf extra eingerichteten Leak-Seiten veröffentlichen. Die geleakten Daten wiederum können bequem von weiteren Angreifern eingekauft und für neue Cyberangriffe genutzt werden.
Der Verkauf von sensiblen Daten stellt die nächste Stufe in der Angreiferstrategie dar und führt zum Aufkommen von Ransomware 3.0.; die Datenexfiltration hebt die Bedrohung hier nochmals auf eine neue Ebene.
Angesichts einer solch listigen Taktik ist es nicht weiter verwunderlich, dass viele Betroffene keinen anderen Ausweg sehen, als die hohen Lösegeldforderungen zu zahlen. Unsere Empfehlung in diesem Zusammenhang: Zahlen Sie niemals das geforderte Lösegeld - denn damit geben Sie den Hackern genau das, was sie wollen. Und werden mit Sicherheit in naher Zukunft erneut Ziel dieser Form von Cyberangriffen.
Vorsicht ist besser als Nachsicht: So schützen Sie Ihr Unternehmen proaktiv
Eines sollten Sie sich immer vor Augen führen: Im Vergleich zu den finanziellen Schäden, die Ihnen durch Lösegeldzahlungen, Betriebsausfällen und Wiederherstellungsmaßnahmen drohen können, sind die Ausgaben für eine gute Sicherheitslösung überschaubarer. Da ein Ransomware-Angriff durchschnittlich über Monate hinweg in mehreren Phasen abläuft und die Verschlüsselung erst am Ende der dreistufigen Kill Chain (Endgame Phase) ausgeführt wird, sind etablierte Sicherheitslösungen wie Firewalls und Virenschutz als alleinige Sicherheitslösung schlichtweg unzureichend.
Einen effektiven Schutz vor Erpressungstrojanern kann nur ein Angriffsfrüherkennungssystem gewährleisten – beispielsweise der Active Cyber Defense (ACD) Service von Allgeier secion. Die Threat-Hunting- und Incident-Response-Software scannt alle Aktivitäten innerhalb des Netzwerks proaktiv und kontinuierlich nach Auffälligkeiten und deckt eine Kompromittierung so frühzeitig auf. So bleibt Ihnen genügend Zeit, um die eigentliche Attacke abzuwenden oder den Schaden zu begrenzen. Dabei ist das Netzwerk-Monitoring nicht nur auf Server und Workstations beschränkt, sondern inkludiert auch Drucker, Smartphones und IoT-Geräte.
Folgende Tipps zum Schutz vor Ransomware-Angriffen sollten Sie außerdem beherzigen:
- Führen Sie fortlaufend Backups durch und unterteilen Sie Ihr Netzwerk in mehrere Subnetzwerke.
- Richten Sie für alle Mitarbeiter Ihres Unternehmens eine wirkungsvolle Mehrfaktor-Authentifizierung ein.
- Sensibilisieren Sie Ihre Mitarbeiter mit Schulungen, Handbüchern und Maßnahmenkatalogen für Ransomware.
Fazit
Ransomware gehört zu den gefährlichsten Formen der Cyberkriminalität. Durch den enormen Druck, den Cyberkriminelle heutzutage mit mehrschichtigen Angriffen auf ihre Opfer ausüben, sehen sich immer mehr Unternehmen gezwungen, die hohen Lösegeldforderungen zu zahlen. Ganz zu schweigen von den horrenden Folgekosten, die sich nicht selten im Millionenbereich bewegen. Lassen Sie es gar nicht erst so weit kommen, dass Sie vor die Frage gestellt werden: Lösegeld zahlen oder nicht?
Unterbinden Sie derartige Angriffe aktiv und nutzen Sie die Zeit, in denen die Cyberkriminellen häufig über Wochen und Monate unentdeckt im Netzwerk sind, aktiv für das Detektieren auffälligen Verhaltens. Denn Zeit ist der kritische Faktor bei Entdeckung und der erfolgreichen Ausschaltung von Cyberbedrohungen wie Ransomware.
Der große Erfolg von Ransomware ist nicht dabei nicht nur auf die cleveren Erpressungsstrategien der Angreifer zurückzuführen, sondern auch auf den Einsatz von unzureichenden Sicherheitslösungen. Für einen effektiven Schutz vor Ransomware sollten Sie auf Lösungen für eine Angreiferfrüherkennung setzen. Der ACD-Service von Allgeier secion bietet ein solches Frühwarnsystem, welches präventives Sicherheitsmonitoring betreibt und Auffälligkeiten in Ihrem Netzwerk unmittelbar identifiziert. Nur wenn Sie schnell reagieren können, schaffen Sie es, dem Angreifer immer den entscheidenden Schritt voraus zu sein!