Die beste Verteidigung gegen potenzielle Ransomware-Angriffe ist eine gute Vorbereitung. Was aber, wenn das nichts genützt hat und Angreifer sich unerlaubt Zugriff auf Unternehmensdaten verschafft haben? Wir haben IT-Fachkräfte nach ihren Erfahrungen gefragt.
In diesem Artikel
- Anstieg von Ransomware-Angriffen: Über die Hälfte der Attacken erfolgte in den letzten zwei Jahren
- Locker oder Krypto: Ransomware-Arten, von denen Unternehmen betroffen sind
- Warum Lösegeldzahlungen häufig keine Lösung sind
- Die Bedeutung von Backups als Schutz gegen Ransomware
- Jeder Zweite sieht verlorene Zeit und Produktivität als problematischste Folge von Ransomware-Angriffen
- Wie Unternehmen auf Ransomware-Angriffe reagieren
- Die beste Verteidigung gegen Ransomware-Angriffe: Eine gute Vorbereitung
Längst sind es nicht mehr nur Großkonzerne, die von Ransomware-Angriffen betroffen sind, wie der Fall der Unterhaltungselektronik-Riesen MediaMarkt und Saturn, die im November 2021 für Aufsehen gesorgt haben, vermuten lassen. Auch für kleine und mittelständische Unternehmen gehört die Sorge um eine potenzielle Attacke mittlerweile zum Tagesgeschäft und Cyberattacken insgesamt heute so bedrohlich wie noch nie, die Rekordschäden in der deutschen Wirtschaft verursachen.
Aus diesem Grund hat GetApp eine Umfrage mit insgesamt 637 IT-Fachleute aus Deutschland (203 Teilnehmer), Frankreich und der UK durchgeführt. Im ersten Teil dieser Serie stellten wir Fragen wie: Welche Sicherheitsmaßnahmen setzen KMU ein, welche Softwareprogramme verwenden sie, um ihr Unternehmen zu schützen und Ransomware abzuwehren, und haben sie einen Notfallplan für den Fall eines Ransomware-Angriffs?
Im zweiten Teil interessierte uns unter anderem: Von welcher Art von Ransomware waren KMU betroffen? Haben sie Lösegeld gezahlt und wenn ja, wie viel? Welche Änderungen gab es in Unternehmen nach einem erfolgten Angriff?
Bis auf die Vergleiche mit französischen und britischen KMU beziehen wir uns im Artikel auf die deutschen Daten. Die vollständige Methodik findest du am Ende.
Anstieg von Ransomware-Angriffen: Über die Hälfte der Attacken erfolgte in den letzten zwei Jahren
Etliche Quellen wie zum Beispiel eine diesjährige Statistik von Statista berichten davon, dass die Häufigkeit von Cyberangriffen, worunter auch Ransomware-Angriffe fallen, Jahr für Jahr steigen. Überraschend ist das vermutlich nicht, wenn man bedenkt, dass technologischer Fortschritt üblicherweise mit Anstrengungen einhergeht, ihn für kriminelle Zwecke zu missbrauchen. Bill Conner, President und CEO von SonicWall, erklärt: „Je mehr wir von Informationstechnologien abhängig sind, desto attraktiver werden Cyberattacken für Hacker und desto katastrophaler die Folgen für die Betroffenen“. Dies bestätigen auch die Ergebnisse unserer Umfrage. Demnach gaben 52 % der befragten IT-Fachkräfte an, dass ihr Unternehmen schon einmal einen Ransomware-Angriff erlebt hat. Dabei war mehr als ein Drittel (37 %) bisher einmal Opfer eines solchen Angriffs und 15 % sogar mehrfach. Dagegen berichteten 48 %, dass sie noch nie Opfer eines Ransomware-Angriffs waren.
Auffällig ist, dass die Anzahl von Ransomware-Attacken besonders seit 2020 und dem Beginn der Pandemie angestiegen sind. Davor warnt auch das Bundeskriminalamt (BKA) und rät zur erhöhten Sensibilität gegenüber potenziellen Angriffen durch Ransomware. Dass Ransomware-Attacken insbesondere in den vergangenen zwei Jahren zugenommen haben, spiegelt sich in den Ergebnissen unserer Umfrage wider. Die Mehrheit (56 %) derjenigen, die bereits einen oder mehrere Ransomware-Angriffe erlebt haben, gab an, dass diese seit 2020, bzw. seit Beginn der Pandemie geschehen. 37 % gaben “vor 2020 und der Pandemie” als Zeitraum an, in dem die Attacke stattfand und bei 8 % erfolgten die Angriffe sowohl vor als auch nach Beginn der Pandemie.
Dies deckt sich zum großen Teil auch mit den Ergebnissen aus Frankreich und der UK. Wie in Deutschland gibt jeweils die größte Gruppe der Teilnehmer an, dass ihr Unternehmen seit 2020, bzw. seit Beginn der Pandemie Opfer eines Ransomware-Angriffs geworden sind. In der UK sind es 44 %, in Frankreich 50 %.
Locker oder Krypto: Ransomware-Arten, von denen Unternehmen betroffen sind
Zwei der gängigsten Arten von Ransomware sind die Krypto- und Locker-Ransomware:
- Krypto-Ransomware: Verschlüsselt wichtige Dateien auf einem Computer, sodass sie unbrauchbar werden. Nach der Zahlung eines Lösegelds versprechen die Angreifer, den für die Wiederherstellung des Zugriffs nötigen Entschlüsselungscode bereitzustellen.
- Locker-Ransomware: Verschlüsselt die Dateien nicht, aber sperrt das Opfer von seinem Gerät aus, sodass kein Zugriff auf Dateien oder Anwendungen mehr möglich ist.
Die Angaben der Teilnehmer zu der Art von Ransomware-Angriff, von denen ihr Unternehmen betroffen war, halten sich die Waage. So waren 48 % von Locker-Ransomware betroffen, 47 % von Krypto-Ransomware. 5 % erklärten, dass sie von beide Arten von Ransomware in Mitleidenschaft gezogen wurden.
Warum Lösegeldzahlungen häufig keine Lösung sind
Ist ein KMU Opfer eines Ransomware-Angriffs geworden, stellt sich die Frage: Lösegeld zahlen, ja oder nein? Einerseits scheint es die einfachste Lösung zu sein, um Unternehmensdaten zurück zu bekommen, ohne viel Aufsehen zu erregen und schlechte PR zu riskieren, andererseits spricht vieles dagegen. Jedes Unternehmen, das sich von Hackern erpressen lässt, trägt dazu bei, dass diese Form der Cyberkriminalität profitabel bleibt. Außerdem gibt es keine Garantie dafür, dass die Cyberkriminellen dem Unternehmen tatsächlich wieder den Zugriff auf ihre Daten und Geräte zurückgeben, zudem können sich die Hacker der Taktik der doppelten oder sogar dreifachen Erpressung bedienen.
Stellt man Deutschland, Frankreich und die UK einander gegenüber, scheint es, als ob deutsche Firmen der Forderung nach Lösegeld weniger häufig nachgeben als französische und britische Unternehmen. Von den befragten deutschen IT-Fachleuten, die angaben, Opfer eines Ransomware-Angriffs geworden zu sein, sagten 59 %, dass ihr Unternehmen das Lösegeld nicht bezahlt hat, aber ihre Daten wiederherstellen konnten.
Dieselbe Antwort gaben 48 % der französischen und 38 % der britischen Teilnehmer. Demgegenüber bezahlten insgesamt 59 % der britischen KMU das geforderte Lösegeld, während deutsche Unternehmen mit 35 % wesentlich seltener einer Lösegeldforderung nachgaben. Mit 44 % bewegen sich französische KMU im Mittelfeld. Auffällig ist, dass nur 6 % der deutschen Befragten kein Lösegeld zahlten und alle Daten verloren, während 8 % der Lösegeldforderung nachgaben und ihre Daten trotzdem nicht wieder zurück bekamen. Folglich kann man annehmen, dass die Zahlung des Lösegelds nicht unbedingt zu besseren Ergebnissen führt.
Dass britische Unternehmen eher bereit sind, Lösegeld zu zahlen, kann mit einer erhöhten Aussicht auf Erfolg bei der Datenrückgewinnung zusammenhängen. Demnach berichteten 23 % der britischen Befragten, dass ihre Firma das Lösegeld gezahlt und alle Daten zurückbekommen hat. In Deutschland machten dagegen nur 5 % der KMU diese Erfahrung.
Die deutschen Unternehmen, die Lösegeld gezahlt haben, gaben an, dass die Beträge sich hauptsächlich zwischen 5.000 und 40.000 € bewegten. Davon lagen:
- 27 % zwischen 10.001 und 20.000 €
- 22 % zwischen 5.001 und 10.000 € und
- 22 % zwischen 20.001 und 40.000 €
Wir wollten auch wissen, wie hoch der ihrem Unternehmen durch den Ransomware-Angriff verursachte Schaden war, einschließlich Lösegeld, Ausfallzeiten, Arbeitsstunden, Gerätekosten, Netzwerkkosten und verlorenen Gelegenheiten. Als entstandenen Schaden gaben
- 32 % 10.001 bis 20.000 € an
- 24 % 50.001 bis 100.000 € und
- 19 % 20.001 bis 50.000 €
Die größten Risiken bei der Verhandlung oder Zahlung von Lösegeld
Wie oben bereits erwähnt gibt es viele Gründe, die gegen die Zahlung von Lösegeldern nach einem Ransomware-Angriff sprechen, doch was halten KMU für das größte Risiko bei der Verhandlung oder Zahlung des Lösegelds, sollte es zu einem Angriff kommen?
40 % aller Teilnehmer der Umfrage wählten die Tatsache, dass es keine Garantie für die Rückgabe der Daten gibt, als größtes Risiko. 26 % dagegen glauben, dass die Verhandlung oder Zahlung von Lösegeld das Unternehmen anfällig für zukünftige Angriffe und dass dies das größte Risiko darstellt. Weitere 16 % sehen als größtes Risiko, dass die Angreifer die Daten dennoch an die Öffentlichkeit geben, 10 % fürchten, es könne den Ruf des Unternehmens schädigen und 8 % sind der Meinung, es könnte dazu führen, dass solche Angriffe weltweit häufiger durchgeführt werden.
Die Bedeutung von Backups als Schutz gegen Ransomware
Cyberkriminelle wissen, dass Backups das letzte Bollwerk für Unternehmen ist, um sich vor Erpressbarkeit zu schützen. Mit Backups versuchen Firmen, Daten wiederherzustellen, die beispielsweise durch einen Ransomware-Angriff unbrauchbar gemacht wurden, und so der Zahlung eines Lösegelds zu entgehen. Deshalb suchen Angreifer gezielt nach Backups, um sie zu verschlüsseln oder zu löschen. Sind diese online, besteht die Gefahr, dass auch sie vom Angriff betroffen sind.
Wie groß ist die Gefahr, dass Backups von Ransomware-Angriffen betroffen sind? Bei 39 % der deutschen KMU, die bereits Opfer von Ransomware-Angriffen waren, war dies schon einmal der Fall.
3 Tipps für eine erfolgreiche Backup-Strategie:
– Intervall festlegen: Mit der Festlegung des Recovery Point Objective (RPO) bestimmt ein Unternehmen den Zeitraum, der zwischen zwei Datensicherungen liegen darf. Das Ziel ist, nach einem Ausfall immer die aktuellste Version der Daten verfügbar zu haben.
– Regelmäßig testen: Mit regulären Tests können Unternehmen die Wiederherstellbarkeit ihrer Daten prüfen. Viele Backup-Softwares können dies automatisiert.
– 3-2-1-Regel beachten: Sie gilt als goldene Regel der Datensicherheit. Drei Kopien, die auf zwei unterschiedlichen Speichermedien gespeichert werden, wobei eine der Kopien an einen externen Standort geschickt wird.
Jeder Zweite sieht verlorene Zeit und Produktivität als problematischste Folge von Ransomware-Angriffen
Die Folgen von Attacken durch Ransomware sind vielfältig. Neben dem Datenverlust und potenziellen Lösegeldzahlungen verlieren Unternehmen zudem Arbeitszeit sowie Umsatz.
Die Mehrheit der deutschen Befragten, die bereits einen Ransomware-Angriff erlebt haben, sagte, dass verlorene Zeit und Produktivität eine der größten problematischsten Auswirkungen des Ransomware-Angriffs für ihr Unternehmen war (55 %). An zweiter Stelle steht der Datenverlust (52 %), an dritter der finanzielle Verlust (48 %).
Die Rangordnung der Antworten sieht in den Ergebnissen aus der UK ähnlich aus, wobei die einzelnen Prozentzahlen allerdings höher ausfallen. Hier teilen sich die beiden Antwortoptionen “finanzieller Verlust” und “verlorene Zeit und Produktivität” mit jeweils 63 % den ersten Platz. Darauf folgt der Datenverlust mit 57 %. Die Rufschädigung ist für britische KMU offenbar ein größeres Problem als für deutsche Unternehmen, was wiederum das vergleichsweise hohe Resultat für die Antwort “Verlust von Kunden” erklärt, wie in der folgenden Grafik zu sehen ist.
Wie Unternehmen auf Ransomware-Angriffe reagieren
Erfolgreiche Ransomware-Angriffe können ausgeprägte Lücken in der IT-Sicherheit aufdecken und dafür sorgen, dass Unternehmen massive Änderungen vornehmen. Welche Maßnahmen werden nach einer Ransomware-Attacke am häufigsten neu eingeführt, die es vorher nicht gab? Dies sind laut unserer Befragten, die in der Vergangenheit einen Angriff erlebt haben, die fünf wichtigsten:
- Installation von Antivirus-Software (53 %)
- Installation von Anti-Malware-Software (42 %)
- Installation eines VPN (42 %)
- Installation von Anti-Spam-Software (36 %)
- Installation einer Daten-Backup-Infrastruktur (33 %)
Die Installation von Antivirus-Software ist bei französischen und britischen Unternehmen ebenfalls auf Platz eins. So führten 53 % der britischen und 43 % der französischen KMU diese Maßnahme nach einem Ransomware-Angriff neu ein. Im weiteren Vergleich zwischen den übrigen Ergebnissen der drei Länder gibt es keine signifikanten Abweichungen, bis auf eine. Der Verbesserung der Sicherheit von Endpunktgeräten wird in der UK offenbar eine höhere Bedeutung beigemessen als in Deutschland. Während 52 % der britischen KMU es als neue Maßnahme eingeführt haben, war dies bei nur 25 % deutscher Firmen der Fall. Insgesamt sagten nur jeweils 1 % der deutschen und französischen KMU und 2 % der britischen, dass sie keine neuen Maßnahmen eingeführt haben. Dies deutet darauf hin, dass diese Angriffe die Unternehmen aufrütteln und dazu bringen, Schritte für eine bessere IT-Sicherheit zu unternehmen.
Die beste Verteidigung gegen Ransomware-Angriffe: Eine gute Vorbereitung
Die Ergebnisse der Umfrage zeigen, dass die Bedrohung durch Ransomware-Angriffe real ist und für KMU stetig zunimmt. Die Zahlung von Lösegeld nach einem erfolgreichen Angriff birgt zahlreiche Risiken, wie zum Beispiel, dass die Cyberkriminellen die Daten trotzdem nicht zurückgeben oder sie dennoch öffentlich machen und damit den Ruf des Unternehmens schädigen. Daher ist die beste Verteidigung eine gute Vorbereitung auf potenzielle Attacken, damit Firmen sich erst gar nicht erpressbar machen. Die folgende Checkliste soll dabei eine Hilfestellung geben.
- Effektive Sicherheit-Software verwenden
- Software permanent aktualisieren
- Backups einrichten
- In regelmäßige Mitarbeiterschulungen zur IT-Sicherheit investieren
Methodologie:
Um die Daten für diese Studie zu erheben, hat GetApp im März 2022 eine Online-Umfrage durchgeführt. Als Teilnehmer wurden insgesamt 637 IT-Fachkräfte zum Thema Ransomware in ihrem Unternehmen befragt, 203 davon in Deutschland, 200 in Frankreich und 234 in der UK. Weitere Auswahlkriterien waren:
- Wohnsitz in Deutschland, Frankreich oder UK.
- Zwischen 18 und 65 Jahre alt.
- Zielgruppe: IT-Spezialisten.
- Aktuell in einem KMU beschäftigt.
- Unternehmensgröße: 2 bis 250 Mitarbeiter.
HINWEIS: Dieser Artikel soll unsere Leser über geschäftsbezogene Belange in Deutschland informieren. Er ist in keiner Weise dazu gedacht, Rechtsberatung zu leisten oder eine bestimmte Vorgehensweise zu befürworten. Ziehe für eine Beratung deiner individuellen Situation Rechtsbeistand hinzu.
