Startseite > Security > Fertigungsindustrie ist das Top-Ziel von Ransomware-Attacken

Arctic Wolf Threat Report

Fertigungsindustrie ist das Top-Ziel von Ransomware-Attacken

11. März 2025, 7:00 Uhr | Jörg Schröper

Ransomware-Taktiken entwickeln sich offenbar weiter und nehmen gezielt Industrien mit geringer Toleranz für Ausfallzeiten ins Visier. Dies geht aus einem Report von Arctic Wolf hervor, der soeben erschien.

Arctic Wolf, weltweit tätiger Anbieter von Security Operations, hat seinen jährlichen Arctic Wolf Threat Report veröffentlicht. Die Ergebnisse der neuesten Auflage des Berichts zeigen, wie Cyberkriminelle ihre Methoden anpassen, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen: Sie setzen bei Ransomware-Attacken verstärkt auf Datendiebstahl, statt Daten nur zu verschlüsseln, verfeinern BEC-Betrügereien (Business E-Mail Compromise) und nutzen bekannte Schwachstellen aus, um Unternehmen weltweit zu infiltrieren.

Der Industriesektor ist besonders anfällig für solche Angriffe und steht vor der Herausforderung, proaktive Maßnahmen zu ergreifen, um sensible Daten sowie die Produktion vor Ausfallzeiten und den damit verbundenen Kosten und Imageschäden zu schützen.

Der Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gebe tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeige weltweite Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen, so Arctic Wolf weiter.

Trotz verstärkter Strafverfolgung machen Ransomware-Attacken mit 44 Prozent den größten Teil der erfassten IR-Fälle aus. Da Unternehmen immer bessere Backup-Strategien aufbauen und so eine schnellere Recovery möglich ist, haben Cyberkriminelle ihre Strategie angepasst und setzen bei ihren Angriffen nahezu immer auch auf Datenexfiltration. So stahlen die Angreifer in 96 Prozent der analysierten Ransomware-Fälle Daten. Die Täter können die erbeuteten Daten dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen.

Mit fast 19 Prozent macht die Fertigungsindustrie den größten Anteil der erfassten Ransomware-IR-Fälle aus. Die Fertigungsbranche ist traditionell ein besonders attraktives Angriffsziel für Cyberkriminelle: Zum einen gibt es vielfältige Supply-Chain-Verflechtungen und eine potenziell große Angriffsfläche, zum anderen stehen Fertiger unter dem Druck, Ausfallzeiten auf ein Minimum zu reduzieren. Da die Kapazitäten von Fertigungsstrecken nicht beliebig skaliert werden können, drohen Produktionsausfälle, die nicht mehr aufgeholt werden können – von Vertragsstrafen, Lieferengpässen und Reputationsverlusten ganz abgesehen.

Außerdem verfügen Hersteller oft über wertvolle Informationen über industrielle Prozesse und Kunden, was sie anfällig für Datenerpressung macht.
Die durchschnittlichen Lösegeldforderungen betragen ähnlich wie im Vorjahr 600.000 Dollar – ein lukratives Geschäft für Cyberkriminelle. Gleichzeitig haben die Auswertungen gezeigt, dass Opferunternehmen die geforderten Beträge mit Hilfe von professionellen Ransom-Verhandlern deutlich senken können. So mussten Unternehmen, die mit Arctic Wolf zusammenarbeiten, durchschnittlich nur 36 Prozent des ursprünglich geforderten Betrags zahlen.

„Ransomware-Gruppen haben ihr Geschäftsmodell weiterentwickelt: Selbst, wenn es eine gute Backup-Strategie gibt, setzt die Drohung, gestohlene Kunden- und Geschäftsdaten zu veröffentlichen oder weiterzuverkaufen, Unternehmen massiv unter Druck – oft mit verheerenden finanziellen und reputativen Folgen“, sagte Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Diese Taktik macht klassische Backups als alleiniges Schutzmittel wirkungslos. Unternehmen müssen daher verstärkt auf umfassende Bedrohungserkennung, Zero-Trust-Strategien und proaktive Security-Operations-Ansätze setzen, um Angriffe frühzeitig zu identifizieren und Datenabflüsse zu verhindern.“

BEC: Angreifer folgen dem Geld

Business E-Mail Compromise ist eine spezielle Form des E-Mail-Phishings, bei der Angreifer versuchen, Unternehmen zur Überweisung von Geld oder zur Herausgabe vertraulicher Daten zu bewegen – etwa durch Account-Kompromittierung oder CEO-Fraud. BEC Incidents machen 27 Prozent der beobachteten IR-Fälle aus und sind damit weiterhin die zweithäufigste Betrugstaktik.

Im Fokus dieser Art des Cyberbetrugs stehen Organisationen, die im großen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungsbranche entfielen 26,5 Prozent der BEC-IR-Fälle, etwa doppelt so viele wie auf die zweitplatzierte Branche Rechtswesen und Verwaltung. Auch die Fertigungsindustrie ist von dieser Art der Cyberkriminalität betroffen – sie folgt mit 12 Prozent auf Platz drei.

„Phishing und kompromittierte Zugangsdaten bleiben die Hauptursachen für BEC-Angriffe. KI ermöglicht Bedrohungsakteuren immer raffiniertere, personalisierte Attacken, sodass Awareness-Trainings allein nicht ausreichen, allen Vorfällen vorzubeugen – sie helfen aber, die Vielzahl unsauber ausgeführter Angriffe schnell zu erkennen. Unternehmen sollten deshalb neben Schulungen auch auf starke Zugangskontrollen setzen. Eine Kombination aus Passwortmanagement und moderner Multi-Faktor-Authentifizierung, etwa biometrischen Verfahren oder physischen Sicherheitsschlüsseln, ist entscheidend, um den unbefugten Zugriff effektiv zu verhindern“, erklärte Dr. Schmerl.

Intrusions waren mit 24 Prozent die dritthäufigste Ursache der aufgezeichneten IR-Fälle – ein deutlicher Anstieg gegenüber dem Vorjahr (14,8 Prozent). So wurden 2024 über 40.000 Sicherheitslücken verzeichnet. Auch bei den kritischen und schwerwiegenden Schwachstellen gab es einen Anstieg um 134,46 Prozent. Auch hier gehört die Fertigungsindustrie zu den Top-5-Angriffszielen.

In 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus, von denen alle bereits bekannte Sicherheitslücken waren, für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Die meisten dieser Vorfälle standen in Verbindung mit Remote-Access-Tools und von außen zugänglichen Systemen und Services. In einigen Fällen nutzten die Angreifer beispielsweise Fehlkonfigurationen wie offene Ports, von außen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten aus, um sich Zugang zu verschaffen. Dies zeige deutlich, wie wichtig proaktives Patch-Management ist.

„Viele Unternehmen zögern mit der Implementierung von Patches, obwohl Schwachstellen längst bekannt und Updates verfügbar sind. Oft fehlen klare Prozesse, es gibt Bedenken wegen möglicher Betriebsunterbrechungen oder personelle Engpässe bestehen. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle“, so Dr. Schmerl. „Ein effektives Schwachstellen-Management mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren. Fehlen die internen Ressourcen, um dies abzudecken, können Unternehmen mit Security-Partnern wie Arctic Wolf zusammenarbeiten, die sie langfristig dabei unterstützen, ihre Sicherheitslage zu verbessern.“