67% der deutschen Unternehmen von Ransomware betroffen
In seiner jährlichen Studie „State of Ransomware 2022“ gibt Sophos einen Überblick über die Ransomware-Entwicklung in der Praxis.
In seiner jährlichen Studie „State of Ransomware 2022“ gibt Sophos einen Überblick über die Ransomware-Entwicklung in der Praxis. Der Report zeigt, dass 42 Prozent der deutschen Unternehmen, deren Daten bei einem Ransomware-Angriff verschlüsselt wurden, das Lösegeld gezahlt haben, wobei sich die Höhe des Lösegelds gegenüber dem Vorjahr nahezu verdoppelt hat.
Nachdem in der Befragung im Vorjahr kein Unternehmen aus Deutschland eine Lösegeldsumme von einer Million US-Dollar oder mehr zahlte, ist dieser Wert bei der jüngsten Befragung auf 9 Prozent angesprungen (global 11 Prozent). 42 Prozent (global 46 Prozent) der deutschen Unternehmen, deren Daten verschlüsselt wurden, zahlten das Lösegeld, um ihre Daten zurückzubekommen, auch wenn sie über andere Mittel zur Datenwiederherstellung verfügten, zum Beispiel Backups.
Der Bericht fasst die Auswirkungen von Ransomware auf 5.600 mittelständische Unternehmen in 31 Ländern in Europa, Nord- und Südamerika, Asien-Pazifik und Zentralasien, dem Nahen Osten und Afrika zusammen, wobei international 965 (in Deutschland 56) Unternehmen konkrete Angaben zu Ransomware-Zahlungen machten.
„Neben den eskalierenden Zahlungen zeigt die Umfrage auch, dass der Anteil der zahlungswilligen Opfer weiter ansteigt, selbst wenn sie andere Optionen zur Verfügung haben“, so Chester Wisniewski, Principal Research Scientist bei Sophos. „Dafür kann es mehrere Gründe geben, etwa unvollständige Backups oder das Verhindern der Veröffentlichung gestohlener Daten auf einer Public-Leaks-Seite. Nach einem Ransomware-Angriff besteht oft ein großer Druck, den Betrieb so schnell wie möglich wieder aufzunehmen. Die Wiederherstellung verschlüsselter Daten mit Hilfe von Backups kann ein schwieriger und zeitaufwändiger Prozess sein. Daher ist es scheinbar verlockend, ein Lösegeld für die Datenentschlüsselung zu zahlen, weil dies als eine schnelle Option erscheint. Dieses Vorgehen ist aber mit hohen Risiken verbunden. Unternehmen wissen nicht, was die Angreifer außer der Ransomware-Attacke eventuell noch im Netzwerk angerichtet haben, beispielsweise Hintertüren für künftige Angriffe installiert oder Kennwörter kopiert. Wenn Unternehmen die wiederhergestellten Daten nicht gründlich bereinigen, haben sie am Ende im Worst Case immer noch potenziell schädliche Programme in ihrem Netzwerk und sind möglicherweise einem erneuten Angriff ausgesetzt.“
Die wichtigsten Ergebnisse der „State of Ransomware 2022‘“-Studie im Überblick:
• Höhere Lösegeldzahlungen:
Im Jahr 2021 gaben 9 Prozent (global 11 Prozent) der deutschen Unternehmen an, dass sie Lösegeld in Höhe von 925.789 Euro (1 Million US-Dollar) oder mehr gezahlt haben. Der Anteil der deutschen Unternehmen, die weniger als 10.000 US-Dollar gezahlt haben, ist von 35 Prozent im Jahr 2020 auf 13 Prozent gesunken.
• Mehr Opfer zahlen Lösegeld:
Im Jahr 2021 zahlten 42 Prozent (global 46 Prozent) der deutschen Unternehmen, deren Daten durch einen Ransomware-Angriff verschlüsselt wurden, das Lösegeld. Aus globaler Sicht zahlten 26 Prozent der Unternehmen, die im Jahr 2021 verschlüsselte Daten mithilfe von Backups wiederherstellen konnten, ebenfalls das Lösegeld.
• Die Auswirkungen eines Ransomware-Angriffs können immens sein:
Die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff im Jahr 2021 betrugen für deutsche Unternehmen 1.601.615 Euro (global 1,4 Millionen US-Dollar / 1.296.105 Euro). Es dauerte im Durchschnitt einen Monat, um den Schaden und die Geschäftsunterbrechung zu beheben. 92 Prozent (global 90 Prozent) der deutschen Unternehmen gaben an, dass der Angriff ihre Betriebsfähigkeit beeinträchtigt hat, und 84 Prozent der Opfer gaben an, dass sie aufgrund des Angriffs Geschäfts- und/oder Umsatzeinbußen erlitten haben.
• Viele Unternehmen verlassen sich auf eine Cyber-Versicherung, um sich von einem Ransomware-Angriff zu erholen:
In Deutschland hatten 80 Prozent (global 83 Prozent) der befragten Unternehmen eine Cyber-Versicherung, die sie im Falle eines Ransomware-Angriffs abdeckt. In 98 Prozent der deutschen Vorfälle zahlte der Versicherer einige oder alle entstandenen Kosten, lediglich bei 41 Prozent wurde die gesamte Lösegeldforderung abgedeckt. Vierundneunzig Prozent derjenigen, die eine Cyberversicherung abgeschlossen haben, gaben an, dass sich ihre Erfahrungen beim Abschluss einer solchen Versicherung in den letzten zwölf Monaten verändert haben: Dieses Empfinden äußert sich vor allem durch höhere Anforderungen an Cyber-Sicherheitsmaßnahmen, komplexere oder teurere Policen und weniger Unternehmen, die Versicherungsschutz anbieten.
„Die Ergebnisse deuten darauf hin, dass wir möglicherweise einen Höhepunkt in der Entwicklung von Ransomware erreicht haben, wo die Gier der Angreifer nach immer höheren Lösegeldzahlungen frontal mit einer Verhärtung des Cyberversicherungsmarktes kollidiert. Die Versicherer versuchen zunehmend ihr Ransomware-Risiko und ihre Exponierung zu reduzieren“, so Wisniewski. „In den letzten Jahren ist es für Cyberkriminelle immer einfacher geworden, Ransomware einzusetzen, da fast alles als Service verfügbar ist. Zudem haben viele Cyber-Versicherungsanbieter eine breite Palette von Wiederherstellungskosten aufgrund von Ransomware, einschließlich des Lösegelds, abgedeckt, was wahrscheinlich zu immer höheren Lösegeldforderungen beigetragen hat. Die Ergebnisse deuten auch darauf hin, dass die Cyber-Versicherungen härter werden und die Opfer von Ransomware in Zukunft möglicherweise weniger bereit oder weniger in der Lage sein werden, extrem hohe Lösegelder zu zahlen. Leider ist es unwahrscheinlich, dass dies das Gesamtrisiko eines Ransomware-Angriffs verringert. Ransomware-Angriffe sind nicht so ressourcenintensiv wie andere, handwerklich ausgefeiltere Cyberattacken. Daher ist jedes Lösegeld ein lohnender Gewinn und Cyberkriminelle werden sich auch weiterhin die leicht erreichbaren Ziele aussuchen.“
Sophos empfiehlt die folgenden Best Practices zum Schutz vor Ransomware und ähnlichen Cyberattacken:
1. Installation und Pflege hochwertiger Schutzmaßnahmen im gesamten Unternehmen: Regelmäßige Prüfungen und Sicherheitskontrollen stellen sicher, dass die Sicherheitsvorkehrungen dauerhaft den Anforderungen des Unternehmens entsprechen.
2. Aktive Suche nach Bedrohungen, um Angreifer zu identifizieren und zu stoppen, bevor sie ihre Attacken ausführen können: Wenn das IT- oder Security-Team nicht die Ressourcen oder die Kenntnisse hat, dies selbst zu tun, sollten Spezialisten für Managed Detection and Response (MDR) beauftragt werden.
3. Härtung der IT-Umgebung: Gefährliche Sicherheitslücken, wie beispielsweise ungepatchte Geräte, ungeschützte Rechner, oder offene RDP-Ports, werden durch Extended Detection and Response (XDR)-Lösungen identifiziert und eliminiert.
4. Auf das Schlimmste vorbereitet sein: Unternehmen sollten wissen, was zu tun ist, wenn ein Cybervorfall eintritt und den Notfallplan stets auf dem neuesten Stand halten.
5. Erstellen von Backups und das Testen der Wiederherstellung: So kann das Unternehmen so schnell wie möglich und mit minimalen Unterbrechungen den Betrieb wieder aufnehmen.
Hier steht der Report „The State of Ransomware 2022“ (in englischer Sprache) mit den vollständigen globalen Ergebnissen und Daten nach Branchen zum Download bereit.