Lange Zeit stand das so genannte Phishing bei Cyberkriminellen ganz hoch im Kurs. Dabei stellt das Absaugen von Kreditkarten- und Kontozugangsdaten eine direkte finanzielle Bedrohung dar, denn sie haben einen unmittelbaren Marktwert.
Da es sich dabei aber um klar identifizierbare Daten handelt, die im Vergleich zum Gesamtdatenbestand nur einen Bruchteil ausmachen, können sie mit vertretbarem Aufwand gut vor Missbrauch geschützt werden.
Der überwiegende Teil der auf Desktop-PCs, Servern und mobilen Geräten gespeicherten Daten hat jedoch für Angreifer keinen Wert. Sehr wohl aber für den Besitzer der Daten.
Und daraus entwickelte sich ein neues Geschäftsmodell: Erpressung.
Ransomware
Ransomware (engl.: ransom = Lösegeld) nutzt dieses Prinzip der Erpressung aus: Sie sperrt den Zugriff oder verschlüsselt die Inhalte von PCs und/oder Servern (auch und verstärkt Backup-Appliances) und gibt diese erst nach Zahlung einer „Gebühr“ wieder frei. Oft behaupten die Angreifer, dass offizielle Behörden (FBI, Bundespolizei) den Zugang aufgrund illegaler Tätigkeiten sperren (Kinderpornographie, illegale Downloads, etc.).
Neuerdings kommt eine weitere Bedrohung hinzu, die oft mit der Verschlüsselung kombiniert wird. Erpresser drohen damit, Daten aus den Systemen im Internet zu veröffentlichen, wenn nicht sofort gezahlt wird. In Zeiten von drohenden Millionenstrafen bei DSGVO-Verstößen ist diese doppelte Erpressung ein wirksames Mittel.
Zielgruppe: 100%
Die Zielgruppe für derartige Angriffe vergrößert sich auf nahezu 100% aller möglichen Ziele, da die gespeicherten Daten für den Besitzer beliebig wertvoll sind. Auch wenn sie für andere so gut wie keinen Wert darstellen. Für Unternehmen sind bestimmte Daten oft überlebenswichtig. Öffentliche Einrichtungen können ohne entsprechende Daten oft tagelang nicht oder nur eingeschränkt operieren.
#faktencheck Was kostet Sie ein Ransomware-Angriff?
Problem Geldübergabe? Gelöst!
Eine weitere Entwicklung spielt dabei den Angreifern in die Hände. Anonymer Zahlungsverkehr ist durch die Einführung von Crypto-Währungen wie Bitcoins sehr viel einfacher geworden. Es ist so gut wie unmöglich, diese Zahlungen nachzuverfolgen und den Empfänger ausfindig zu machen.
Durch diese beiden Rahmenbedingungen ändert sich die Situation für Schadsoftware entscheidend. Dass Betriebssysteme jedes Jahr über mehrere tausend Schwachstelle angreifbar sind, ist nicht neu. Dass damit sofort und bei jedem erheblicher Schaden mit finanziellen Konsequenzen droht, schon!
Folgen und Schutz
Die unmittelbare Folge eines erfolgreichen Angriffs ist der fehlende Zugang zu (oft) wichtigen Daten. Was im privaten Umfeld hauptsächlich emotionalen Schaden anrichtet, kann bei Unternehmen schnell zu Produktionsstopp und Ausfall der Logistik führen und Kosten Milliardenhöhe verursachen.
Wenn sich dann betroffene Daten nicht wiederherstellen lassen, steht womöglich das Überleben der Firma auf dem Spiel.
Da unter anderem das BSI dringend rät, nicht auf Lösegeldforderungen einzugehen, drohen neue Varianten nun damit, sensible Daten zu veröffentlichen, die im Zuge des Angriffs erbeutet wurden. So erhöht sich der Zeitdruck für Unternehmen, der eine Zahlung quasi unausweichlich macht. Damit steigen nicht nur die unmittelbaren Kosten der Lösegeldforderungen, sondern vor allem die drohenden Folgekosten für Ausfall, Datenschutz-Verletzungen und Strafzahlungen z. B. durch DSGVO-Verletzungen sowie verlorenes Vertrauen in die Firma, massiv an.
Viele Experten gehen davon aus, dass kompletter Schutz vor einem Ransomware-Angriff quasi unmöglich ist. Cyberkriminelle verfeinern Verfahren, Taktiken und Techniken stetig. Und Ransomware ist nicht zuletzt basierend auf dem „Ransomware-as-a-Service“-Modell (RaaS) einfach verfügbar und nutzbar. Die erfolgreichen Angriffe und erfolgte Lösegeldzahlungen der letzten Jahre bestätigen die Cyberkriminellen und den Erfolg ihres „Geschäftmodells“.
Was können Sie also tun?
Um die finanziellen Folgen möglichst gering zu halten, ist eine komplette, moderne Backup-Strategie unverzichtbar. Diese sichert die Daten nach Wichtigkeit und Dringlichkeit gestaffelt, schützt besonders sensible Daten explizit und beinhaltet als „last line of defense“ Air-Gap-fähige Komplett-Backups.
Für die Daten, die für einen unmittelbaren Betrieb des Unternehmens, der Behörde oder Einrichtung erforderlich sind, empfiehlt es sich dringend, Daten „On Premise“ und nicht über einen Cloud-Dienst zu speichern. Schließlich ist die erste und wichtigste Maßnahme nach Feststellen eines Angriffs die Trennung jeglicher Internetverbindungen. Kalte Backups, also Datensicherung ohne direkte Verbindung ins aktive Netzwerk, gelten als entscheidender Baustein heutiger Backup-Konzepte.
Bei der Umsetzung der Datensicherung ist entscheidend:
- Wie müssen die Daten gesichert sein, die eine möglichst schnelle Rückkehr zum Normalbetrieb ermöglichen?
- Welcher Datenverlust oder -Missbrauch kann weitere Folgekosten nach sich ziehen?
- Welche Daten sind zum Überleben der Organisation essenziell?
Eine Analyse erfordert die komplette Klassifizierung der im Unternehmen genutzten bzw. erzeugten Daten und die entsprechende Anpassung der Datensicherung.
Welche Kosten wirklich auf Sie zukommen können?
Seien Sie gewarnt und sorgen Sie vor: Am Ende bleibt es also nicht bei einem Lösegeld, das Sie womöglich zahlen. Die Folgekosten eines erfolgreichen Ransomware-Angriffs sind für betroffene Unternehmen weitaus höher.
Weiterführende Leseempfehlung: Im Faktencheck – Ransomware haben wir die fünf großen Kostenfaktoren unter die Lupe genommen, um zahlreiche konkrete Beispiele, Zahlen und Statistiken ergänzt und interessante Hintergründe und Links recherchiert.
www.fast-lta.de