Schadensausmass nach Ransomware

Hierzu werden immer wieder abstrakte Zahlen veröffentlicht, die sich an der allgemeinen Wirtschaftslage ausrichten. So findet sich beispielsweise bei der Bitkom die Aussage: „…Neun von zehn Unternehmen werden Opfer von Datendiebstahl, Spionage oder Sabotage…“ und „…Der deutschen Wirtschaft entsteht ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage…“. Diese durch Studienergebnisse belegten Fakten sind alarmierend. Aber was bedeuten sie im Einzelfall?

Um die Konsequenzen für Unternehmen berechenbar zu machen, führte das Marktforschungsunternehmen Sapio Research im Mai/Juni diesen Jahres im Auftrag von Trend Micro eine Umfrage durch. Insgesamt 2958 (Deutschland: 101) Unternehmen mit jeweils mehr als 250 IT-Arbeitsplätzen in 26 Ländern nahmen daran teil.

Verschlüsselung und Backup
Auf die Frage, ob sie in den letzten drei Jahren durch Ransomware angegriffen wurden, antworteten 67 % der weltweiten und 65 % der deutschen Unternehmen mit „Ja“. Weltweit zahlten 28 % (DE 16 %) der Opferunternehmen das geforderte Lösegeld. Laut dem neuesten Bericht der Allianz AGCS „Cyber: The Changing Threat Landscape“ werden die durchschnittlich höchsten Summen im Bereich der industriellen Produktion mit etwa zwei Millionen US Dollar je Vorfall bezahlt. Aber diese Summe stellt nur einen Teil des Schadens dar. Laut Umfrage wurden bei 85 % (DE:71 %) der erfolgreich angegriffenen Unternehmen auch Daten verschlüsselt, die in 45 % (DE:47 %) der Fälle nicht oder nur teilweise wiederhergestellt werden konnten. Erfolgreiche Wiederherstellung aus Backup-Systemen war insgesamt nur in 47 % der Fälle Grund für die Rückgewinnung. In allen anderen wurden Entschlüsselungsverfahren verwendet, die entweder die Angreifer selbst bereitstellten oder durch Knacken der Verschlüsselung erreicht wurden.

Doppelte und dreifache Erpressung
Double Extortion“ bezeichnet einen weiteren Angriffsmechanismus krimineller Banden. Dabei werden Unternehmensdaten vor der Verschlüsselung „gestohlen“ und die Betroffenen dann nicht nur damit erpresst, nicht weiterarbeiten zu können, sondern auch, dass die Daten veröffentlicht würden. Zum einen entsteht so mehr Druck auf die Opfer, zum anderen stellt der Handel mit den gestohlenen Daten auch eine mögliche zusätzliche Einnahmequelle für die Kriminellen dar. In der Studie gaben 74 % (DE 68 %) der Angegriffenen an, auf diese Art erpresst worden zu sein. Gestohlen wurden dabei vor allem technische Informationen 61 % (DE: 58 %) und auch Kundendaten 58 % DE: (51 %. Leider geben sich Täter auch hiermit nicht zufrieden. Um den ohnehin schon hohen Stress der Betroffenen weiter zu eskalieren, untersuchen die Akteure die gestohlenen Daten auf Kontaktinformationen und informieren Geschäftspartner des ursprünglichen Opfers über den Verlust. Abhängig von den gestohlenen Daten erpressen sie diese dann ebenfalls – sogenannte „Triple Extortion“. 67 % (DE: 74 %) der Ransomware-Opfer erklärten, dass die Cyberangreifer ihre Geschäftspartner über den Vorfall informierten oder damit erpressten. Für weitere 24 % (DE: 15 %) gab es „nur“ die Androhung. Unabhängig davon, ob Unternehmen ein Lösegeld bezahlten oder nicht, veröffentlichten die Kriminellen in 74 % (DE: 55 %) der Fälle mindestens ein Teil der Daten.

Arbeitsstillstand
Zu den grössten Herausforderungen im Fall eines Ransomware-Angriffs zählen die Probleme, die entstehen, wenn Geschäftsprozesse ganz oder teilweise betroffen sind. Eines der jüngsten Beispiele dafür ist der Lebensmittel Grosshändler Metro. Statistisch gesehen, gelingt es Angreifern in 29 % (DE: 21 %) der Vorfälle, ein Unternehmen zum kompletten Stillstand zu zwingen. Bei weiteren 57 % (DE: 53 %) sind „nur“ Teile der Geschäftsprozesse betroffen. Lediglich 13 % (DE: 24 %) der Betroffenen gaben an, keine Beeinträchtigung ihrer Arbeitsabläufe gehabt zu haben. Knapp ein Viertel (DE: 27 %) der Angegriffenen konnten ihre Arbeitsabläufe innerhalb von Stunden wiederherstellen. 50 % (DE: 55 %) der Unternehmen benötigten dafür mehrere Tage, 21 % (DE: 20 %) gar Wochen. In wenigen Fällen (5 %) dauerte die Herstellung der Geschäftsprozesse mehrere Monate (DE: 0 %). Das Land, in dem die Wiederherstellung am längsten dauerte, ist dabei die Schweiz. Hier gaben 26 % an, Wochen benötigt zu haben sowie 14 % Monate. Nur 20 % konnten innerhalb von Stunden ihre Geschäftsprozesse wiederherstellen.

Eintrittswahrscheinlichkeit
Die Eintrittswahrscheinlichkeit eines Cybervorfalls hängt sowohl von internen als auch externen Faktoren ab. Während Unternehmen den Einsatz und die Qualität von Security-Technologie und -prozessen weitestgehend selbst entscheiden, sind andere Faktoren wesentlich schwerer zu bestimmen. So machen Branchenzugehörigkeit, Unternehmensgrösse und Einbindung in Lieferketten Unternehmen attraktiver für Cyberkriminelle. Auch diese „vertikalisieren“ sich zunehmend und kennen sich unter Umständen sogar mit eingesetzter Spezialsoftware bestens aus (z.B. Kaseya-Angriff 2021). Trotz vielfacher Warnung aus der Sicherheitsbranche, dem Lagebericht des BSI und ähnlichen Informationen ist die Zuversicht bei Unternehmen, die bisher noch nicht erfolgreich angegriffen wurden, sehr hoch. 63 % gehen davon aus, sich gut gegen Ransomware verteidigen zu können. 31 % fürchten allerdings, in einem solchen Fall eher Schwierigkeiten zu haben. Ohne zynisch klingen zu wollen — eine falsche Einschätzung der eigenen Resilienz ist einer der häufigsten Gründe für die Notwendigkeit des Einsatzes unseres Incident Response Teams. Trend Micro kann bei der Feststellung der individuellen Eintrittswahrscheinlichkeit unterstützen und diese kontinuierlich überwachen. So stellten wir beispielsweise fest, dass von knapp 5000 mit dieser Technik unterstützten Unternehmen 86 % offene, von Hackern derzeit verwendete Softwareschwachstellen haben. Diese sind zum überwiegenden Teil nur im Inneren angreifbar. Für Cyberkriminelle bedeutet dies, dass sie erst einen Zugang (Access) zum Unternehmen haben müssen. Das Legen dieser Zugänge ist heutzutage ein Serviceangebot im Untergrund.

Das „Schlachtfeld“ der IT-Sicherheit
Viele Unternehmen missverstehen die Bedeutung von E-Mailsicherheit (bzw. grundsätzlich Perimeterverteidigung) und die damit im Zusammenhang stehenden technischen Lösungen und Schulungen. Zusammengenommen senken diese die Eintrittswahrscheinlichkeit eines Cybervorfalls deutlich. Es sollte aber ebenfalls klar sein, dass auf der anderen Seite ein vollautomatisierter Prozess existiert. Dadurch wird die Bedeutung erfolgreich abgewehrter Cyberangriffe negiert – für den Ransomware-Akteur entstehen keine Kosten. Er wird es einfach weiter versuchen, bis er Erfolg hat. Dadurch entsteht eine statistisch paradoxe Situation, denn obwohl immer mehr (weit über 99,99 %) aller Cyberangriffe abgewehrt werden, steigt die Wahrscheinlichkeit stetig, doch Opfer zu werden.
Das Schlachtfeld der IT-Sicherheit konzentriert sich in vielen Unternehmen auf diese erste Barriere. Gelingt es dem Angreifer dann irgendwann durchzukommen, entscheidet sich erst, ob man sich wirklich wirkungsvoll verteidigen kann. Hier muss es gelingen, den Angreifer rechtzeitig und vor allem vollumfänglich (eXtended) zu erkennen (Detection) und dann Gegenmassnahmen zu definieren (Response). Ohne entsprechende technologische und/oder organisatorische Massnahmen ist dies äusserst unwahrscheinlich. Das ist der Hauptgrund, warum so viele Unternehmen Opfer werden und sehr oft keine Alternative sehen, als das Lösegeld zu bezahlen.