Ransomware – zahlen oder nicht zahlen?

Zahlen oder nicht zahlen: Die große Ransomware-Debatte

von Frank Kölmel

Ransomware ist mittlerweile für so gut wie jedes Unternehmen zu einem Problem geworden. Die Auswirkungen sind so schwerwiegend wie weitreichend und schließen Umsatzverluste, Rufschädigung und Entlassungen aufgrund finanzieller Engpässe ein.

Noch bis vor wenigen Jahren waren externe Datensicherung und Lösungen zur Wiederherstellung ein probater Schutz vor den Folgen einer Ransomware-Attacke. Im Falle eines Angriffs konnte man es also durchaus riskieren, eine Lösegeldforderung zurückzuweisen und sich auf Schadensbegrenzung und die Wiederherstellung der Systeme aufgrund von Backups verlassen. Das war lange eine durchaus verlässliche Strategie. Inzwischen haben sich Taktik und Methoden der Cyberkriminalität aber rasant weiterentwickelt. Wurde früher primär ein Lösegeld gefordert,  setzen die Angreifer zahlungsunwillige Opfer zunehmend damit unter Druck, die erbeuteten Daten zu veröffentlichen. Bei dieser als „Double Extorsion“ bezeichneten Methode arbeiten inzwischen auch mehrere Ransomware-Gruppen zusammen.

Gastautor: Frank Kölmel, VP CEUR bei Cybereason
(Bildrechte: Cybereason)

Im Rahmen einer jüngst von Cybereason in Auftrag gegebenen Studie wurden insgesamt 1.300 Sicherheitsfachleute befragt. Über die Hälfte von ihnen war bereits Opfer einer Ransomware-Attacke geworden. Von den in Deutschland befragten Unternehmen, die sich entschieden, der Lösegeldforderung nachzukommen, wurden über 80 % erneut angegriffen, oftmals sogar von ein und demselben Angreifer.

Ein weiterer Befund der Studie: Von den in Deutschland befragten Unternehmen, die sich für die Zahlung eines Lösegelds entschieden, um wieder auf ihre verschlüsselten Systeme zugreifen zu können, räumten über 40 % ein, dass einige oder sogar alle Daten während des Wiederherstellungsprozesses beschädigt wurden.

Warum zahlen sich selten lohnt

Offensichtlich ist die Zahlung eines Lösegelds keine Garantie dafür, dass ein Unternehmen wieder auf seine Daten zugreifen oder den Geschäftsbetrieb schnell wieder aufnehmen kann. Geschweige denn schützt die Zahlung vor weiteren Angriffen, eher im Gegenteil. Über die Hälfte der in Deutschland befragten Unternehmen erlitt zudem signifikante Umsatzeinbußen in Folge einer Ransomware-Attacke, verglichen mit 47 % in UK und rund 49 % in den USA. Ebenfalls über die Hälfte der in Deutschland befragten Unternehmen räumten ein, dass sowohl die Marke selbst wie auch der Ruf des Unternehmens infolge eines erfolgreichen Ransomware-Angriffs Schaden genommen haben. Auch die Zahl der Führungskräfte, die als direkte Folge eines Ransomware-Angriffs ihren Posten räumen mussten, steigt, ebenso wie die Zahl von Entlassungen und Firmenschließungen. Über 20 % der befragten deutschen Unternehmen sahen sich beispielsweise gezwungen, ihre Geschäftstätigkeit nach einem Ransomware-Angriff komplett einzustellen.

Ob ein Unternehmen Lösegeld zahlen soll oder nicht, ist eine der wichtigsten Entscheidungen nach einem Ransomware-Angriff. Wie bei jedem anderen erfolgreichen Geschäftsmodell, ist das Ziel der Angreifer Gewinnmaximierung. Solange Unternehmen weiterhin Lösegeldsummen bis in schwindelerregende Höhen zahlen, werden die Forderungen kaum zurückgehen. Die Tatsache, dass CNA Insurance ein Lösegeld in Höhe von 40 Millionen US-Dollar, JBS mehr als 11 Millionen US-Dollar und Colonial Pipeline immerhin noch 4,4 Millionen US-Dollar, gezahlt haben, erhöht nur den Anreiz.

Die Ergebnisse unterstreichen deutlich, warum es sich nicht lohnt, die Angreifer zu bezahlen. Firmen sollten sich stattdessen auf Präventionsstrategien konzentrieren, um Ransomware-Angriffe zum frühestmöglichen Zeitpunkt zu beenden – also bevor kritische Systeme und Daten überhaupt in Gefahr geraten.

Ransomware und die Deutschen

Trotzdem fühlen sich mehr als 80 % der deutschen Unternehmen nach eigenen Aussagen „gut“ gegen Ransomware-Angriffe gewappnet und „ausreichend“ vorbereitet. In den letzten 24 Monaten wurden über zwei Drittel aller Unternehmen in Deutschland mit Ransomware angegriffen, wobei es einem Gutteil der betreffenden Unternehmen gelungen ist, sich erfolgreich zu wehren. Das hat zwar seinen Preis – wie Downtime, Umsatzeinbußen beziehungsweise hohe Kosten für die Wiederherstellung. Aber immerhin ist es den Firmen gelungen, die Daten überhaupt wiederherzustellen und die Geschäftstätigkeit aufrechtzuerhalten. Der finanzielle Aufwand ist allerdings immens. Und, was vielfach gerne vergessen wird, sind Geschäftsführer und CISOs direkt in der Verantwortung, wenn die Schutzmaßnahmen nicht greifen. Das gilt für alle präventiven Maßnahmen einschließlich der technischen Vorkehrungen.

Inzwischen hat zusätzlich das RaaS-Modell (Ransomware-as-a-Service – wie von Gruppen wie Darkside verwendet) umfassend Einzug gehalten. Dank dieses Franchise-Systems wächst die Zahl der Angreifer exponentiell. Man muss also zwangsläufig davon ausgehen, dass sich damit auch die Anzahl der Angriffe vervielfacht – ausgehend vom aktuell ohnehin hohen Ausgangsniveau. Im RaaS-Modell wird die Grundausstattung „vermietet“ – man braucht also vergleichsweise wenig Expertise, um selbst einen Ransomware-Angriff zu lancieren. Auch wenn in Deutschland annähernd 60 % der Unternehmen es nicht in Betracht ziehen zu zahlen, die restlichen tun es oder denken wenigstens darüber nach.

Viel hilft das nicht. Denn zwei Drittel der Unternehmen, wurden dann erneut angegriffen. Etliche, sogar von ein und denselben Angreifern. Und wie wir gesehen haben, lassen sich die erbeuteten Daten mehrfach nutzen. Werden dabei sensible Kundeninformationen weitergegeben, wird es richtig teuer.

Grundsätzlich lässt sich ein überproportionaler Anstieg von Betroffenen unter den mittelständischen Unternehmen beobachten. Sie sind selten optimal geschützt und bieten aufgrund der großen Anzahl und vorgehaltenen Daten ein riesiges Angriffspotential. Ansonsten rücken ebenso Behörden, Universitäten und Krankenhäuser mehr und mehr in den Fokus.

Was tun?

Grundsätzlich scheint aber gerade in Deutschland noch eine Mentalität vorzuherrschen, erst dann in wirksame Sicherheitsmaßnahmen zu investieren, wenn der Schadensfall bereits eingetreten ist. Oder bestenfalls dann, wenn beispielsweise ein Geschäftspartner angegriffen wurde. Es ist längst an der Zeit, „Legacy“-Systeme wie Antivirenlösungen oder Standardtools, die in Betriebssystemen wie Microsoft enthalten sind,  gegen moderne Technologien und (Managed-)Defense Strategien auszutauschen. Man muss sich bewusst sein, dass wir hier von Gruppen sprechen, die Erpressung und die daran anschließenden Methoden zu einem einträglichen Geschäftsmodell entwickelt haben.

Daher ist es wichtig, dass Unternehmen eine gründliche Ransomware-Risikobewertung in Zusammenarbeit mit Rechtsberatern, Versicherungspartnern und Strafverfolgungsbehörden durchführen. Um solche Angriffe überhaupt zu erkennen, kommt man um eine kontinuierliche und umfassende Schulung aller Mitarbeiter nicht herum. Die meisten Angriffe werden nach wie vor über Remote Access Services, E-Mails und Mobilgeräte lanciert. Das Arbeiten aus dem Homeoffice oder in hybriden Modellen ist hier ein ganz großes Thema. Wichtig ist es, Detection und Response- Technologien einzusetzen und, wenn man nicht selbst über ein SOC oder ein Team von Sicherheitsspezialisten verfügt, sich fachlichen Rat und Unterstützung zu holen. Und zwar bevor der Schadensfall eintritt. Firmen sollten innerhalb ihrer Vorbereitung sämtliche Prozesse berücksichtigen. Eine aktuelle Datensicherung ist immer noch extrem wichtig, um im Fall des Falles, die Systeme schnell säubern und wiederherstellen zu können. Zudem sollte man sich keinesfalls scheuen, den Vorfall zu melden und eng mit den entsprechenden Behörden zusammenzuarbeiten. Nur diese Transparenz hilft, andere Unternehmen vor dem gleichen Angreifer zu schützen.

https://www.cybereason.com/de/

Aufmacherbild / Quelle / Lizenz
Photo by Nohe Pereira on Unsplash

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.