Ein Ransomware-Angriff kann ein ganzes Unternehmen ruinieren und sollte daher insbesondere auch auf Managementebene ernst genommen werden.
Es gilt, die nötigen Grundlagen und Vorbereitungen zu treffen, um die Auswirkungen einer Cyberattacke nicht nur in der IT, sondern für das gesamte Unternehmen auf ein Maß zu senken, das dem Business im besten Fall nicht schadet. Was IT-Verantwortliche und Manager konkret beachten sollten, hat Sophos in diesem Artikel zusammengefasst.
Ransomware ist eine reale Bedrohung für Organisationen aller Größen und hat das Potenzial, diesen beträchtlichen Schaden zuzufügen. Mehr noch, durch Ransomware-as-a-Service (RaaS)-Angebote sind Cyberkriminelle sämtlicher Kenntnis- und Fähigkeitsstufen jetzt in der Lage, ihre Angriffe aus einem Baukastensystem zusammenzustellen, wirkungsvoll in Unternehmen einzuschleusen und ihre Ransomware-Forderungen zu erhöhen. Im neuen Sophos 2022 Threat Report wird die Entwicklung der Gefahrenlage und die Aussichten für 2022 und darüber hinaus von den Spezialisten der Sophos Labs, der Rapid Response Teams und von SophosAI, deutlich beschrieben. Das Resümee: Die Gefahrenlage spitzt sich weiter zu. Allerdings kann man mit modernster Security und mit menschlichen Spezialisten jetzt den Cyberkriminellen einen entscheidenden Schritt voraus sein.
Der erste und wichtigste Schritt zur Gegenwehr ist es, die Bedrohungslage für das Unternehmen individuell zu verstehen und zu analysieren: Was bedeutet Ransomware für das Business? Wieviel kostet sie dem Unternehmen und wie kann es sich schützen? Welche anderen Cybergefahren lauern im Internet, im internen Netzwerk oder auf den digitalen Geräten den Mitarbeiter?
Vorbereitung ist das A&O, um nicht unvorbereitet von der Wucht einer Ransomware oder anderer Bedrohungen getroffen und handlungsunfähig zu werden.
Schritt 1: Ransomware verstehen
Streng genommen ist Ransomware eine schadhafte Software, entwickelt, um den Zugang zu einem Computersystem zu blockieren, und zwar so lange, bis eine bestimmte Geldsumme bezahlt wird. Sie sperrt den Zugriff, so dass sämtliche Daten auf einen Computer (zuhause oder im Büro) sowie Daten auf dem verbundenen Netzwerk unerreichbar sind – es sei denn, ein Geldbetrag fließt an die Cyberkriminellen (zumeist in Form von Kryptowährung). Der Angriff erfolgt entweder von Einzeltätern oder – wahrscheinlicher – durch eine Gruppe von Cyberkriminellen, die das Eigentum bei Bezahlung (vielleicht) wieder freigeben. Zumindest in der Theorie.
In den letzten Monaten sahen die Forscher von Sophos allerdings eine Reihe neuer Variationen dieses Modells. Bei typischen Ransomware-Angriffen verschlüsseln die Kriminellen die Daten und machen sie damit unbrauchbar. Einzig durch Zahlung eines Lösegeldes sind sie bereit, die Daten per Entschlüsselung wieder freizugeben. Nun aber zeigen sich immer öfter Angriffe, bei denen Angreifer Systeme infiltrieren und die Daten kopieren, statt diese zu verschlüsseln. Das Opfer hat weiterhin Zugang auf die Systeme und Daten. Die Bedrohung der Täter ist eine andere, nämlich die Veröffentlichung der gestohlenen Daten im Internet bei Nichtzahlung. Im Idealfall (für den Angreifenden) bringt die Bekanntmachung privater Daten das Opfer in große Schwierigkeiten. Wenn es schlecht läuft, sind darunter sehr sensible Informationen, wie zum Beispiel personenbezogene Daten, Betriebsgeheimnisse oder Krankenakten im Falle von Krankenhäusern.
Auch wenn die erpresserische Variante bislang noch einen geringen Anteil an Ransomware-Attacken ausmacht, so lässt sich doch ein Wachstumstrend verzeichnen. Sophos hat in seinem State of Ransomware Report 2021 einen Anstieg von 3 Prozent in 2020 auf 7 Prozent in diesem Jahr festgestellt.
Neben der Tatsache, dass Ransomware mittlerweile auch als Baukasten in Form von Ransomware-as-a-Service (RaaS) für Cyberkriminelle immer leichter verfügbar ist, trägt zu diesem Wachstum auch bei, dass die Angriffe immer ausgefeilter und schwieriger abzuwehren sind. Von den 62 Prozent der Organisationen weltweit, die im letzten Jahr von Ransomware verschont blieben, erwarten 47 Prozent einen zukünftigen Angriff allein aus dem Grund, weil die Attacken viel zu ausgefeilt sind, um sie stoppen zu können.
Zudem sind den Sophos-Forscher:innen bereits private Ransomware-Gruppierungen bekannt, die zunehmend die Taktiken von Nationalstaaten übernehmen und Angriffsmethoden wie Zero-Day-Schwachstellen, speicherinterne Angriffe und Anschläge auf kritische Punkte in Verteilungssystemen und in Lieferketten einsetzen. Bei den Angreifern handelt es sich nicht um Amateur-Hacker, sondern um professionelle kriminelle Organisationen.
Schritt 2: Die Kosten von Ransomware
Laut dem Sophos State Of Ransomware-Report 2021 steigen die Ransomware-Forderungen kontinuierlich. Die durchschnittlichen Kosten zur Erholung nach einer Ransomware-Attacke hat sich in den letzten zwölf Monaten weltweit mehr als verdoppelt – von 656.492 Euro (US-Dollar 761.106) auf 1.595.810 Euro (US-Dollar 1,85 Millionen). Im Mittel beträgt allein die Lösegeldzahlung über 146.642 Euro (US-Dollar 170.000), wobei die Summen von 8.626 Euro (US-Dollar 10.000) bis hin zu 2.587.800 Euro (US-Dollar 3 Millionen) variieren.