Grundsatzfrage 12.01.2022, 06:03 Uhr

Bei Ransomware-Angriffen zahlen oder nicht zahlen?

Es kann wirklich jeden treffen. Security-Experten sagen, wie Unternehmen bei Ransomware-Angriffen reagieren sollten.
(Quelle: Shutterstock / Carlos Amarillo)
Es dauert in der Regel nur Sekunden: Eine Datei wird geöffnet, manchmal läuft ein Script ab, die Ransomware führt sich aus und startet sofort die Verbreitung im Unternehmensnetzwerk. Selbst wenn es für dieses Worst-Case-Szenario ein Notfall-Protokoll geben sollte – die Zahlung eines Lösegelds wäre darin nicht vorgesehen.
Viele Unternehmen gehen irrtümlich davon aus, sie seien gut gegen solche Angriffe gerüstet. Sie überschätzen ihre Security-Systeme oder ihr Personal – das gilt für KMUs wie für grössere Firmen. Im Mai 2017 konnte sogar das ganze Land einen Angriff miterleben, als auf fast jedem neueren Display der Deutschen Bahn die Zahlungsaufforderung der Ransomware WannaCry eingeblendet war.
Die meisten Angriffe haben natürlich weniger Publikum. Aber dank der DSGVO und der Pflicht, eine Attacke, bei der wahrscheinlich Daten abgeflossen sind, anzuzeigen, sind Meldungen fast an der Tagesordnung.

Jeder kann Opfer werden

Ob gut oder schlecht vorbereitet: Jedes Unternehmen ist potenzielles Ziel von Ransomware-Kriminellen. Nach einem erfolgreichen Angriff stellen sich Unternehmen immer wieder die gleichen Fragen: Was können wir jetzt machen? Sollen wir zahlen? Spätestens wenn neben den Security-Leuten auch Manager und Finanzexperten mit am Tisch sitzen, wird die Frage nach der Lösegeldzahlung zur ökonomischen Entscheidung. So geschehen etwa beim US-Pipeline-Betreiber Colonial im Mai dieses Jahres. Damals waren so viele Steuerungssysteme der Pipeline verschlüsselt, dass man den Betrieb einstellen musste. Offizielle Aussage: Man könne den Systemschaden nicht einschätzen. Daher lasse sich nicht sicher sagen, wann die Pipeline wieder ans Netz gehen könne. Mit dieser Begründung zahlte Colonial Pipeline 4,4 Millionen Dollar in Form von Bitcoins. Doch die von den Erpressern gelieferten Entschlüsselungs-Tools behoben den Schaden nur zum Teil. Daher konnte die Pipeline nur im Notbetrieb wieder hochfahren. Weitere Kosten für die Reparatur der Steuerungssysteme standen an.
Wie im Fall von Colonial Pipeline entscheiden sich hinter den Kulissen immer wieder von Ransomware betroffene Unternehmen für die Zahlung des Lösegelds, da sie dies für das kleinere Übel halten. Oft kalkulieren besonders kühne Rechner im Unternehmen mit spitzem Bleistift den Schaden, der entsteht, wenn bestimmte Daten verloren sind, man diese neu erfassen muss oder Teile des laufenden Geschäfts nicht abwickeln kann. Dem wird dann die Summe des Lösegelds gegenübergestellt. Dass solche Berechnungen meist Unsinn sind, mussten einige Unternehmen bereits schmerzlich erfahren. Denn in ihrer Rechnung hatten sie vergessen, dass sie ein kompromittiertes System flickten, um bald festzustellen, dass die Angreifer immer noch vollen Zugriff auf das System hatten. Ein Umbau und das Neuaufsetzen des gesamten Unternehmensnetzes waren unausweichlich.
Dass es auch anders geht, zeigte der irische Gesundheitsdienst HSE. Ebenfalls im Mai dieses Jahres verschlüsselten Hacker wichtige Daten, sodass Krankenhäuser zahlreiche Behandlungstermine absagen mussten. Die Verantwortlichen von HSE fuhren die Systeme herunter, machten sich daran, die Systeme und die Daten wiederherzustellen – und verkündeten öffentlich, keinerlei Lösegeld zu zahlen, sondern das Geld lieber für die Wiederherstellung und den Umbau der Systeme zu nutzen. Experten zufolge ist durch diese Entscheidung eine weitere Ransomware-Attacke auf HSE wesentlich unwahrscheinlicher geworden. Denn Angreifer suchen sich primär solche Ziele aus, bei denen sie vermuten, dass sie Lösegeld bekommen.

Null-Lösegeld-Forderung

Inzwischen ist das Problem Ransomware auch in der Politik angekommen. Man hat verstanden, dass jeder bezahlte Dollar, Euro oder Bitcoin neue Attacken finanziert. Daher fordert die Politik, damit müsse Schluss sein. Den ersten Schritt in Richtung einer Null-Lösegeld-Strategie machte vor Kurzem US-Präsident Biden. So wurde festgelegt, dass eine gemeldete Ransomware-Attacke einem Terrorangriff gleichgesetzt wird. Diese Einstufung lässt einen erweiterten Zugriff auf Ressourcen zum Schutz der nationalen Sicherheit zu. Auch in Grossbritannien werden die Stimmen lauter, die zu einer Null-Lösegeld-Strategie raten. Sprecher des Cybersecurity-Zentrums des Geheimdienstes GCHQ fordern sogar ein gesetzliches Verbot von Lösegeldzahlungen an Hacker, weil mit dem Lösegeld das organisierte Verbrechen finanziert werde.
In Deutschland gibt es zwar politische Gespräche zu dem Thema, aber noch keine konkreten Schritte. Nötig wäre das, wie ein Artikel auf «Zeit Online» vom Juni 2021 belegt: Mindestens 100 deutsche Ämter, Regierungsstellen, Kliniken, Stadtverwaltungen und Gerichte wurden in den vergangenen sechs Jahren von Ransomware-Banden attackiert.
Computerworld hat einen grossen Kreis von Experten und Herstellern der Security-Branche befragt, wie Unternehmen im Fall einer Ransomware-Attacke reagieren sollten. Im Folgenden ihre Statements.

Kaspersky

Christian Funk, Leiter des Forschungs- und Analyseteams bei Kaspersky: «Die Schäden, die durch Ransomware entstehen, haben sich in den vergangenen zwei Jahren laut Digitalverband Bitkom mehr als vervierfacht. Unsere Analysen zeigen, dass etwa 20 cyberkriminelle Akteure vor allem hochrangige Organisationen zielgerichtet angreifen und seit 2019 ein zusätzliches Druckmittel einsetzen und mit der Veröffentlichung von Daten drohen, sollte den Lösegeldforderungen nicht nachgekommen werden. Dies wird heute als ,Big-Game-Hunting‘ bezeichnet. Solche zielgerichteten Attacken sind um 767 Prozent von 2019 zu 2020 angestiegen. Die Pandemie drängte viele Unternehmen zur schnellen Einrichtung und Erweiterung adäquater Zugänge für Heimarbeitsplätze. Daraus resultierten oft schwach gesicherte oder fehlerhaft konfigurierte Systeme, die als Einfallstore von Angreifern ausgenutzt werden können und einen Treiber für den deutlichen Anstieg dieser Ransomware-Offensive darstellen.
“Betroffene sollten kein Lösegeld zahlen. Es ist nicht garantiert, dass die verschlüsselten Daten wieder hergestellt werden – jedoch werden Cyberkriminelle in ihrem kriminellen Tun bestätigt.„
Christian Funk, Leiter des Forschungs- und Analyseteams in der Region DACH bei Kaspersky
Betroffene sollten kein Lösegeld zahlen. Es ist nicht garantiert, dass die verschlüsselten Daten wieder hergestellt werden – jedoch werden Cyberkriminelle in ihrem kriminellen Tun bestätigt. Um einem potenziellen Datenverlust vorzubeugen, sollten regelmässige Sicherheits-Updates durchgeführt werden, um Schwachstellen schnellstmöglich zu beseitigen. Eine effektive Sicherheits-Software für alle Endgeräte sichert zudem Computer und Server vor Ransomware und Malware, verhindert die Ausnutzung von Exploits und ist im Idealfall mit bereits installierten Sicherheitslösungen kompatibel. Zudem sollten stets in sinnvollen Abständen Backups erstellt werden.»

Sophos

Michael Veit, Security-Experte bei Sophos: «Immer wieder sind Unternehmen geneigt, aus der Notsituation heraus hohe Lösegeldsummen an Ransomware-Angreifer zu bezahlen. Es gibt viele Beispiele, bei denen sich Manager gezwungen sahen, auf die Forderungen einzugehen, da die vermeintlich rettenden Backups verschlüsselt oder beschädigt waren. Sie wollen die IT-Infrastruktur so schnell wie möglich wieder einsatzfähig haben oder entscheiden sich für die Zahlung, weil sie billiger scheint als die Kosten für die Wiederherstellung. Oft wollen sie auch verhindern, dass gestohlene Daten verkauft oder öffentlich zugänglich gemacht werden.
Doch die Bezahlung von Lösegeldern ist nicht nur aus rechtlicher Sicht kritisch zu bewerten. Man sollte sich der Tatsache bewusst sein, dass sie keinerlei Garantie für die Wiederherstellung der Daten bietet. Im ,State of Ransomware Report 2021‘ stellt Sophos fest, dass Unternehmen nach der Bezahlung von Lösegeld im Durchschnitt nur 65 Prozent ihrer Daten wiederherstellen konnten. Nur 8 Prozent der Unternehmen bekamen alle ihre Daten wieder und 29 Prozent konnten weniger als die Hälfte durch die Bezahlung retten. Zusätzlich zum Lösegeld müssen die hohen Begleit- und Folgeschäden einberechnet werden. Die Durchschnittskosten allein für die Wiederherstellung nach einem Ransomware-Angriff haben sich in nur einem Jahr mehr als verdoppelt, in Deutschland von rund 390.000 Euro auf 970.000 Euro in 2021.
“Wer zahlt, sollte sich der Tatsache bewusst sein, dass das keinerlei Garantie für die Wiederherstellung der Daten darstellt.„
Michael Veit, Security-Experte bei Sophos
Die kriminelle Intensität, Kreativität und Intelligenz der Angreifer werden sich nicht eindämmen lassen, die Entwicklung der letzten Jahre beschreibt eher das Gegenteil. Allerdings existieren viele und oft nicht genutzte Möglichkeiten, um das Gefahrenpotenzial zu senken. Es sollte nicht erst ein Angriff nötig sein, damit ein Unternehmen oder eine Organisation eine stärkere Position im Bereich der Cybersecurity einnimmt. Man sollte sich jetzt die Zeit und die Ressourcen nehmen, die Sicherheitslage zu bewerten, um im Anschluss sofort und mit höchster Kompetenz – sowohl intern als auch mit externen Spezialisten – eine bessere und frühzeitige Abwehr wo immer möglich zu etablieren.»

Trend Micro

Udo Schneider, IoT Security Evangelist Europe bei Trend Micro: «Ein wirksamer Ransomware-Schutz sollte sowohl auf Netzwerkebene als auch am Endpoint ansetzen und drei grundlegende Funktionen erfüllen: präventiv vor Angriffen schützen, verdächtige Vorfälle schnell erkennen und persistent den Betrieb aufrechterhalten.
Neben der IT wird auch das IoT immer häufiger Opfer von Erpressungs-Software. Eine Studie von Trend Micro zeigt, dass Varianten der Malware-Familien Ryuk, Nefilim und Sodinokibi für fast die Hälfte der Ransomware-Infektionen von industriellen Steuerungssystemen im Jahr 2020 verantwortlich waren. Deshalb ist es entscheidend, dass IT-Sicherheits- und OT-Teams enger zusammenarbeiten, um wichtige Systeme und Abhängigkeiten wie Betriebssystemkompatibilität und Laufzeitanforderungen zu identifizieren und so effektivere Sicherheitsstrategien zu entwickeln.
Ein sofortiges Patchen der Schwachstellen steht dabei an erster Stelle. Geht das nicht, sollten Unternehmen auf Netzwerksegmentierung und Virtual Patching zurückgreifen. Zudem gilt es, Netzwerkfreigaben einzuschränken und starke Benutzername- und Kennwort-Kombinationen durchzusetzen. So wird Unbefugten der Zugriff durch Brute-Forcing von Anmeldeinformationen verwehrt. Auch sollten Unternehmen nach dem Prinzip der geringsten Rechte für Netzwerkadministratoren und -betreiber vorgehen. Für Ransomware-Attacken gibt es kein Patentrezept. Daher ist ein Sicherheitskonzept, das mehrere Ebenen umfasst, entscheidend.»
Die in Deutschland bekannteste Attacke: die Lösegeldforderung von WannaCry war 2017 auf fast jedem Display der Deutschen Bahn zu sehen.
Quelle: Sophos

Bitdefender

Daniel Clayton, Vice President of Global Security Operations and Support bei Bitdefender: «Ein Blick in die Schlagzeilen erweckt den Eindruck, dass Ransomware-Angriffe alltäglich sind. Die Daten der Bitdefender-Telemetrie in unserem ,Consumer Threat Report‘ vom April 2021 belegen dies: 2020 stieg die Zahl der Angriffe mit erpresserischer Malware im Vergleich zu 2019 um 715 Prozent. Zunehmend drohen die Kriminellen nicht mehr nur, die Daten zu verschlüsseln, sondern auch, sie zu verkaufen und offenzulegen. Letzteres ist schon durch die Meldepflicht in der DSGVO und anderen Regularien eine wirksame Drohung. IT-Verantwortliche sollten sich daher bewusst sein, dass ihr Unternehmen früher oder später Opfer einer erpresserischen Attacke werden kann. Diese Angriffe können eher einfach sein, sind aber oft auch komplex. Auch nach einer Lösegeldzahlung ist dann die Gefahr gross, dass sich die Hacker im Netzwerk eingenistet haben und eine Folgeattacke vorbereiten.
Sollte man Lösegeld zahlen? Klare Antwort: nein. Die Zahlung macht einen solchen Angriff erst erfolgreich und neue Attacken wahrscheinlicher. So lange Unternehmen Lösegelder zahlen, werden die Hacker neue Erpressungen starten. Und gerade deshalb sind Vorbeugen, Managed Detection & Response und die Minimierung möglicher Schäden durch Backups und Wiederherstellung entscheidend. Hacker merken sich Unternehmen, die einmal gezahlt haben, als gute Ziele. Die Wahrscheinlichkeit einer Wiederholungstat ist bei einem nicht zahlenden Opfer wesentlich geringer.»
“Die Zahlung eines Lösegelds macht einen Angriff erst erfolgreich und neue Attacken wahrscheinlicher.„
Daniel Clayton, Vice President of Global Security Operations and Support bei Bitdefender

AV-TEST

Maik Morgenstern, CTO von AV-Test: «Wir registrieren über 400.000 neue Schädlinge täglich. Jedes Unternehmen kennt das: Man wird stets und ständig angegriffen. Ransomware ist dabei seit einigen Jahren eines der ,erfolgreichsten‘ Geschäftsmodelle für Kriminelle. Solche Angriffe sind vergleichsweise einfach durchzuführen. Angreifer kaufen sich fertige Ransomware as a Service ein, nutzen Spam-Dienstleister und attackieren mit einem Schlag ohne Aufwand viele Firmen. Dazu kommen der hohe Leidensdruck bei den Opfern und die direkte Umwandlung einer erfolgreichen Infektion in bare Münze.
“Auch wenn immer wieder geraten wird, nicht zu zahlen, bleibt manchem Unternehmen gar keine Wahl. Deswegen kann die Notwendigkeit von Prävention gar nicht stark genug betont werden.„
Maik Morgenstern, CTO bei AV-Test
Auch wenn immer wieder geraten wird, nicht zu zahlen, bleibt manchen Unternehmen gar keine Wahl. Deswegen kann die Notwendigkeit von Prävention gar nicht stark genug betont werden. Neben regelmässigen und vollständigen Backups sowie stets aktuellen Schutzprodukten auf Client und Gateway muss auch der Faktor Social Engineering betrachtet werden. Alle Nutzer sollten über die Art der Angriffe und die richtige Reaktion auf potenzielle Spam- und Malware-Mails in regelmässigen Schulungen vorbereitet werden.»

Bitglass

Anurag Kahol, CTO Bitglass: «In ihrer Verteidigung gegen Ransomware konzen­trieren Unternehmen sich in erster Linie darauf, jegliche Angriffsvektoren zu schliessen. Dafür nutzen sie intelligen­te Security-Lösungen, die verdächtige E-Mails kennzeichnen und blockieren, Malware an Endpunkten und in der Cloud schützen und unberechtigten Zugriff auf Unternehmensressourcen absichern. Für eine umfassende Strategie gegen Ransomware stellt das Verhindern eines Befalls jedoch nur eine Seite der Medaille dar. Einen Massnahmenplan für die nächste Eskalationsstufe – einen erfolgreichen Angriff – gibt es eher selten. Dabei liegen die Prioritäten dafür auf der Hand: Zunächst geht es um die Aufrechterhaltung oder möglichst schnelle Wiederaufnahme des Geschäftsbetriebs. Dafür müssen Unternehmen die Relevanz einzelner Bestandteile ihrer IT-Systeme für den Geschäftsbetrieb bewerten, diverse Ausfallszenarien durchspielen und entsprechende Vorkehrungen für den Notfallbetrieb treffen. Ebenfalls bedeutend ist der Schutz sensibler Unternehmensdaten, denn es besteht die Gefahr, dass Cyberkriminelle diese entwenden und für ihre Zwecke missbrauchen. Diesem Szenario können Unternehmen mit der kontinuierlichen Verschlüsselung sensibler Daten vorbeugen. Wenn alle Massnahmenebenen ineinandergreifen – die Abwehr von Ransomware-Infektionen, Vorkehrungen für die Aufrechterhaltung des Geschäftsbetriebs, beständiger Schütz der wertvollsten Unternehmensdaten –, können Unternehmen ihre Resilienz gegen Ransomware-Angriffe deutlich erhöhen.»

Digital Guardian

Tim Bandos, Chief Information Security Officer bei Digital Guardian: «Jedes Jahr entwickeln Ransomware-Betreiber und -Entwickler ihr Handwerk und ihre Technologie weiter. Das professionelle Geschäftsmodell der Gruppe Darkside, die hinter dem Colonial-Pipeline-Hack steckt, macht das deutlich: Die Kriminellen bieten Opfern technischen Support, verfolgen einen ‚ethischen‘ Ansatz bei der Auswahl ihrer Ziele, stehlen Daten zu Erpressungszwecken und vieles mehr.
Es gibt eine Vielzahl von Lösungen, die helfen können, Ransomware-Infektionen zu verhindern. Antiviren-Software und Firewalls können zumindest dazu beitragen, bekannte und verbreitete Malware-Stämme zu blockieren. Für zusätzlichen Schutz sollten Unternehmen Advanced Threat Protection (ATP) und Endpoint-Detection-and-Response-Lösungen (EDR) in Betracht ziehen, um das Erkennen und Blockieren von Ransomware zu optimieren. Managed Detection and Response (MDR) kann zudem eine gute Alternative für Unternehmen sein, für die es schwierig ist, EDR aufgrund begrenzter interner Ressourcen selbst umzusetzen.
Weiterhin sollten Whitelisting-Lösungen für Anwendungen verwendet werden, um die Ausführung von bösartigem Code zu unterbinden. Auch sollte auf die korrekte Verfolgung von Berechtigungen geachtet werden. Jeder Mitarbeiter, der Zugang zu Systemen erhält, schafft eine potenzielle Schwachstelle für Ransomware. Mit einem mehrschichtigen Sicherheitsansatz aus Mitarbeiteraufklärung, kontinuierlichen Update- und Backup-Praktiken sowie Sicherheitstechnologien lässt sich das Risiko eines Ransomware-Angriffs deutlich verringern.»

Fore Nova

Paul Smit, Director Professional Services bei Fore Nova: «Es geht nicht mehr um das Abwehren einzelner Angriffe, sondern um den Kampf gegen organisierte Banden. Denn Ransom­ware ist organisierte Kriminalität geworden. Das verlangt eine entsprechende Abwehr. Angesichts der Ransomware-Gefahr ist Vorbeugen unverzichtbar. Backups sichern Daten und können einen Datenverlust ausschliessen, nicht aber das Offenlegen und den Verkauf von Informationen. Für die Abwehr ist es zentral, einen Angriff so früh wie möglich zu erkennen. Dafür muss aber der ganze Datenverkehr innerhalb des Netzes und von innen sowie nach aussen beobachtet werden. So lassen sich KI-gestützte Verhaltensmuster, wie verdächtige Lateral Movements, Angriffe auf Sicherheitslücken oder Malware-Installationen sowie das böswillige Eindringen, ein auffälliger Datenabfluss oder das unmittelbare Vorbereiten des Verschlüsselns bemerken. Betroffene Systeme lassen sich blockieren und Angriffe schnell eindämmen, bevor sie Schaden anrichten.
“Nichts spricht dafür, ein Lösegeld zu zahlen.„
Paul Smit. Director Professional Services bei Fore Nova
Sollte man bei Ransomware-Angriffen zahlen? Nichts spricht dafür, ein Lösegeld zu zahlen. Denn eine Garantie, die Daten entschlüsselt wieder zu erhalten, hat niemand. Der Schaden durch Ausfallzeiten, bis die Systeme wieder laufen, bleibt in jedem Fall. Einmal abgeflossene Informationen lassen sich zudem immer noch gewinnbringend verkaufen oder veruntreuen. Und die Hintertür für den nächsten Angriff ist eventuell schon wieder einen Spalt offen.»

Radar Cyber Security

Ali Carl Gülerman, CEO and General Manager bei Radar Cyber Security: «Unternehmen befinden sich heutzutage in einem permanenten Kampf gegen Infiltration. Cybersecurity muss deshalb aus dem Schatten der IT heraustreten und zur strategischen Entscheidungsvorlage für den Vorstand werden – ähnlich wie Personal oder Forschung & Entwicklung. Cybersicherheit ist längst Teil der Wertschöpfungskette geworden.
Für eine umfassende Prävention gegen Cyberattacken, inklusive Ransomware, sollten Unternehmen ein eigenes Cyber Defense Center oder CDC as a Service in Betracht ziehen, da sie hierdurch ihre Cyber-Resilienz massiv stärken können. Es hilft Unternehmen, die riesige Anzahl von Warnungen, neuen Bedrohungen und Anomalien zu analysieren, die die technische Sicherheitsinfrastruktur identifiziert.
Ein Cyber Defense Center – auch als Security Operations Center (SOC) bekannt – verbindet IT-Sicherheitsexperten, Prozesse und Technologien. Im CDC untersuchen geschulte Fachkräfte Internetverkehr, Netzwerke, Desktops, Server, Endgeräte, Datenbanken, Anwendungen und andere IT-Systeme kontinuierlich auf Anzeichen für einen Sicherheitsvorfall. Das CDC ist als Security-Kommandozentrale eines Unternehmens damit für die permanente Überwachung der Sicherheitslage verantwortlich, um Angriffe zu verhindern und im Fall eines Sicherheitsverstosses angemessene Gegenmassnahmen einzuleiten.»

Barracuda Networks

Klaus Gheri, General Manager Network Security bei Barracuda Networks: «Lösegeld zahlen oder nicht zahlen? Die politisch korrekte Antwort ist, nicht zu bezahlen, weil das die eigene Attraktivität als zukünftiges nochmaliges Ziel reduziert. In der Praxis liegt der Fall natürlich anders. Wenn wesentliche Daten nicht mehr zugänglich beziehungsweise mit vernünftigem Aufwand wiederherstellbar sind, dann bleiben einem Unternehmen nicht mehr viele Optionen. Das ist somit weniger eine moralische als eine kaufmännische Entscheidung. Die Zahlung entbindet natürlich nicht von der Notwendigkeit einer forensischen Aufarbeitung und Aufräumaktion im Nachgang zusätzlich zu neu zu tätigenden Schutzmassnahmen, die gegen Wiederholung absichern. Umso mehr ist es angeraten, in Prävention zu investieren, solange man noch kann.
Ist ein Ransomware-Angriff geglückt, hilft in der Regel nur noch eine Radikalkur: Systeme abschalten, neu installieren und ein Backup einspielen – immer mit der Hoffnung, dass das Ransomware-Paket nicht bereits Teil eines Backups war. Bevor aber das Backup wieder eingespielt werden kann, muss das Einfallstor bekannt sein und das Netzwerk quasi mit digitalen Dampfstrahlern gereinigt worden sein. Am einfachsten und am schnellsten geschieht dies nach einem vorgefertigten Notfallplan.
“Die politisch korrekte Antwort ist, nicht zu bezahlen, weil das die eigene Attraktivität als zukünftiges nochmaliges Ziel reduziert. In der Praxis liegt der Fall natürlich anders.„
Klaus Gheri, General Manager Network Security bei Barracuda Networks
Die Krux an der Sache ist, dass derartige Notfallpläne oft nicht existieren, weil die Notwendigkeit und die Gefährdung der eigenen Systeme nicht erkannt oder unterschätzt wurde. Häufig wird dann mit grosser Hektik ein Pro­blem gelöst und zwei neue kommen dazu. Die Strategie kann also nur lauten: schnelles, aber koordiniertes Handeln. Auch wenn sich eine Organisation dazu entschliesst zu bezahlen, müssen die Aufräumarbeiten trotzdem erledigt werden, sonst wird man nur kurze Zeit später wieder in der gleichen Lage sein.»

Fazit & Ausblick

Aus streng fachlicher Sicht ist die Antwort für die meisten der befragten Experten auf die Frage aller Fragen bei Ransomware klar: Auf keinen Fall zahlen! Auch wenn es schmerzt. Andere stehen dazu, dass die Wirtschaftlichkeit entscheidend sein kann, etwa wenn die Existenz des Unternehmens auf der Kippe steht. Aber auch sie betonen: Leichtfertig sollte sich kein Unternhmen den Erpressern beugen. Und alle einig sind sich darin, dass konsequente Prävention die bei Weitem beste Massnahme gegen Ransomware ist.
Info
Die bekanntesten Attacken
Diese fünf Ransomware-Angriffe erregten bisher die meiste Aufmerksamkeit:
  • 2017 – WannaCry-Attacke: Die Ransomware verbreitete sich weltweit und befiel unzählige Systeme. In Deutschland war die Deutsche Bahn das bekannteste Opfer.
  • 2018 – NotPetya/ExPetr: Ein weltweiter Angriff auf viele Unternehmen. Das dänische Industrie-Konglomerat Maersk wurde schwer getroffen, weigerte sich aber zu zahlen und baute seine gesamte IT um.
  • 2019 – LockerGoga: LockerGoga traf den norwegischen Aluminiumproduzenten Norsk Hydro. Offiziell wurde kein Lösegeld bezahlt.
  • 2020 – Emotet-Attacke (Trickbot, Ryuk): Weltweite Attacke über viele Monate hinweg. Erst Anfang 2021 wurde das steuernde Botnet von weltweit agierenden Strafverfolgern zerschlagen. Opfer wurden viele Behörden, etwa der Bundeswehr-Fuhrpark und das Berliner Kammergericht, das keine Fälle mehr verhandeln konnte.
  • 2021 – REvil: Durch einen Supply-Chain-Ransomware-Angriff der REvil-Gruppe beim Managed-Service-Provider Kaseya verteilte dieser die Schad-Software an bis zu 1500 seiner Kunden. So wurde etwa das Kassensystem einer schwedischen Coop-Kette lahmgelegt. Wochen später hatte Kaseya einen Generalschlüssel für alle Dateien. Die geforderten 70 Millionen Dollar will man nicht bezahlt haben.



Das könnte Sie auch interessieren