Gründe, nicht zu zahlen

Wann kommt es zu einer Ransomware-Attacke? IT-Abteilungen wissen, dass es längst nicht mehr darum geht, ob es zu einem Angriff mit Ransomware auf ihr Unternehmen kommt, sondern nur noch wann. Vier Gründe, warum man Ransomware-Erpressern kein Lösegeld zahlen sollte.

Der Artikel liefert unter anderen Antworten auf folgende Fragen:

• Wie ist die aktuelle Cyber-Bedrohungslage für Unternehmen?
• Wie gestalten sich die Angriffe?
• Wie läuft eine Lösegeldforderung in der Regel ab?
• Wie viele Unternehmen zahlen Lösegeld bei Ransomware-Angriffen und warum?
• Warum sollten Unternehmen nicht Lösegeld zahlen, wenn sie erpresst werden?

Immer deutlicher wird, wie gefährlich Ransomware für Unternehmen und Behörden ist. Das auf Risiko- und Finanzberatung spezialisierte US-Unternehmen Kroll konstatierte für das letzte Quartal 2022¹ ein Wiederaufleben der Ransomware-Angriffe. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) stufte Ransomware als die größte Cyberbedrohung für europäische Unternehmen ein². Und der „State of Ransomware“-Bericht 2022 des Anbieters für Sicherheits-Software Sophos³ unterstreicht die zunehmende Effizienz dieser Angriffe. 2021 gelang es den Angreifern in zwei Dritteln der Fälle, die Daten ihrer Opfer zu verschlüsseln, während dies 2020 nur bei knapp über die Hälfte der Fall war.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Zunehmende Raffinesse der Angriffe

Der tägliche Schlagzeilenrummel um Cyberangriffe lenkt leicht davon ab, wie raffiniert und zerstörerisch Ransomware-Angriffe geworden sind. Das Cybersicherheitsunternehmen Fortinet hat in der ersten Hälfte des Jahres 2022 mehr als 10.000 neue Varianten festgestellt⁴. Das Bundesamt für Sicherheit in der Informationstechnik teilt diese Einschätzung in seinem BSI-Lagebericht 2022⁵ – und sieht in Ransomware die größte Cybergefahr für Unternehmen.

Die Angriffe werden so sorgfältig vorbereitet und durchgeführt, dass viele unter dem Radar der unternehmenseigenen IT-Abwehr bleiben und es dem Opfer unmöglich machen, das Ausmaß des Angriffs zu erkennen oder rechtzeitig zu reagieren. Cyberkriminelle nehmen sich oft Wochen und Monate Zeit, um in die Netzwerke eines Unternehmens einzudringen. Nach und nach verschlüsseln oder beschädigen sie eine große Anzahl von Dateien und Dateisystemen, um sicherzustellen, dass kein ungewöhnliches Verhalten entdeckt oder überwacht wird, bevor sie ihre Forderung stellen.

Das Lösegeld könnte nur der Anfang sein

Die zunehmenden Möglichkeiten von Ransomware bedeuten auch, dass die anfängliche Lösegeldforderung oft nur eine „Nebenforderung“ in einer eskalierenden Erpressungsspirale ist. Sekundäre Angriffe sind keine Seltenheit: Nachdem sie die Daten eines Unternehmens gesperrt oder gestohlen haben, drohen die Kriminellen anschließend damit, diese Informationen weiterzugeben, wenn keine größere Summe gezahlt wird. Und bei tertiären Angriffen können Kriminelle damit drohen, sensible Informationen wie Bankkonten oder Krankenakten der Kunden des Unternehmens preiszugeben und so Geld in potenziell großem Umfang direkt von den Dienste-Nutzern selbst zu erpressen.

Angesichts der direkten Auswirkungen der Angriffe oder der ungewissen Kosten für Wiederherstellungsprogramme, die Wochen, Monate und manchmal Jahre in Anspruch nehmen können, glauben viele Unternehmen, dass die Zahlung des Lösegelds und die schnellstmögliche Wiederaufnahme des Tagesgeschäfts eine einfachere Option sein könnte, als zu versuchen, ihre IT-Systeme selbst zu bewerten und vollständig wiederherzustellen. Selbst wenn die Cyberabwehr der Unternehmen Jahr für Jahr besser wird und die USA und andere westliche Regierungen einige der berüchtigtsten Banden mit Strafmaßnahmen belegt haben, entscheiden sich schätzungsweise vier von zehn Unternehmen für eine Zahlung des Lösegelds⁶, da sie davon ausgehen, dass die Rückkehr zur Normalität zu den Bedingungen der Kriminellen ein Preis ist, den es sich lohnt zu zahlen.

Gründe, nicht zu zahlen

Tatsächlich gibt es vier gute Gründe, warum Unternehmen, die sich mit Erpressungen konfrontiert sehen, niemals das Lösegeld eines Kriminellen zahlen sollten.

1. Erstens garantiert ihnen niemand, dass sie Ihre Daten auch tatsächlich zurückbekommen, wenn Sie das Lösegeld zahlen.
2. Zweitens könnte das Unternehmen, das zahlt, diese Kriminellen damit ermutigen, erneut anzugreifen.
3. Zum Dritten finanziert jeder, der das Geld zahlt, eine kriminelle Organisation und deren Aktivitäten. Nach der Verhängung von Sanktionen gegen bestimmte Cyberbanden könnten Unternehmen, die Lösegeldforderungen auf diese Weise nachkommen, gerichtlich belangt werden.
4. Viertens: Die jüngsten technologischen Fortschritte ermöglichen es smarten Unternehmen, sich schnell von den Folgen eines Ransomware-Angriffs zu erholen, ohne zu bezahlen. Der neueste Ansatz zum Schutz vor Ransomware konzentriert sich auf die Dateisysteme von Unternehmen und speichert unveränderliche Versionen aller Dateien mithilfe von Objektspeichern in der Cloud. Wenn es zu einem Vorfall kommt, genügt es, dass das IT-Team nur die Dateien und Ordner identifiziert und wiederherstellt, die während des Angriffs verschlüsselt wurden. Dafür muss es lediglich das Dateisystem auf die unverschlüsselten Versionen der Dateien in der Cloud ausrichten.

Solche forensischen Ansätze machen eine langwierige, manuelle Bewertung des Schadens und des Wiederherstellungsbedarfs überflüssig und reduzieren die Dauer der Wiederherstellung auf wenige Minuten. Diese vorhersehbare Wiederherstellungsfähigkeit – und die damit verbundene geringere Belastung der Unternehmensressourcen – könnte dazu beitragen, das Fortbestehen eines Unternehmens zu sichern, sollte es im Jahr 2023 Opfer eines Ransomware-Angriffs werden.

Besserer Schutz und bessere Wiederherstellung

Viele Unternehmen in Deutschland sind nach wie vor anfällig für Ransomware, weil sie ihre Dateien weiterhin mit Hilfe herkömmlicher Backups schützen, die bei der Wiederherstellung von Daten oft langsam und unzuverlässig sind. Unternehmen in Deutschland – und überall sonst – benötigen leistungsfähigere Schutzmechanismen und mehr forensische Wiederherstellungsoptionen, um die Risiken immer raffinierterer Ransomware-Angriffe einzudämmen.

Markus Warg, Field Technical Director EMEA, Nasuni

^{1 https://www.kroll.com/-/media/kroll-images/pdfs/q4-2022-threat-landscape-report.pdf
2 https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
3 https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf
4 https://www.fortinet.com/blog/threat-research/fortiguard-labs-threat-report-key-findings
5 https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/221025_Lagebericht.html
6 https://blog.chainalysis.com/reports/crypto-ransomware-revenue-down-as-victims-refuse-to-pay/}

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu Managed Security

Secureworks, Services, Sales AI

Sophos zeigt auf Roadshow, wohin die Reise geht

Stärkung des MSP-Geschäfts

Proofpoint übernimmt Hornetsecurity

MSP Elevate

Sophos erweitert Partnerprogramm für MSPs

Cyber Protection für die Industrie

Acronis setzt auf Partner- statt Punktlösungen

Cybersicherheit im Public Sector

Warum NIS2 mehr ist als Regulierungsdruck