Ransomware – wie gefährlich ist sie für KMU?

Lesedauer 29 Min.

12 / 03 / 2021

Gerade für kleine und mittelständische Unternehmen ist und bleibt Erpressungssoftware Dauerthema. Dabei stehen selbst diejenigen Unternehmen, die um die Gefahren von Ransomware wissen und sich entsprechend absichern, immer wieder im Visier von neuartigen Angriffen – aktuell vor allem auf Datenbanken, Webserver und Smartphones.

Dieser Artikel erklärt Ihnen:

•    Welche betriebswirtschaftlichen Kosten Ransomware-Attacken verursachen können,
•    wie sich Ransomware im Laufe der Jahre entwickelt hat und wo sie heute steht,
•    welche Schäden Ransomware verursacht,
•    welche Möglichkeiten Unternehmen haben, entsprechende Angriffe zu verhindern.

Eine Strategie zum Schutz der unternehmenseigenen Daten ist richtig und wichtig, reicht jedoch für den Schutz vor immer wieder neuen Ransomware-Formen nicht aus. 2019 wurde laut dem Bericht zum Thema Ransomware von Datto bereits jedes fünfte KMU Opfer von erpresserischer Malware. Es ist davon auszugehen, dass sich diese Zahl im Zuge der COVID-19-Krise noch erhöhen wird, da Cyberkriminelle die Pandemie für sich nutzen und Angriffsversuche entsprechend modifizieren. In einem Bericht zu den weltweiten Kosten durch Ransomware geht das Magazin Cybersecurity Ventures davon aus, dass im Jahr 2021 alle 11 Sekunden eine Ransomware-Attacke auf ein Unternehmen stattfinden wird.

Dabei reicht es meist nicht, Rechner vor Hackerangriffen zu schützen. Kriminelle nutzen heutzutage im Zweifel jede Schwachstelle, seien es unzureichend abgesicherte RDPs, zu viele gleichzeitig verwendete Webdienste, ungepatchte Betriebssysteme oder eine veraltete Security-Software. Ausreichender Schutz kann nur dann bestehen, wenn möglichst viele dieser potentiellen Angriffsvektoren bedacht und abgesichert werden. Interessanterweise wird bei unternehmensweiten Security-Strategien gerade Security-Software oft eher stiefmütterlich behandelt: Entweder kommt erst gar keine zum Einsatz oder die verwendeten Lösungen sind neuartigen Bedrohungen schlicht nicht gewachsen.

Dabei ist gerade in Bezug auf Ransomware eine starke Security-Lösung besonders wichtig. Ransomware-Angriffe bedienen sich der verschiedensten Angriffsvektoren und lassen sich daher nur mit einer Lösung, die mehrere Verteidigungslinien bietet, effektiv abwehren. Das geht natürlich nicht ohne ein gewisses Invest. Überzeugen Sie die Entscheidungsträger im Unternehmen von der Wichtigkeit eines dezidierten Security-Budgets. Die folgenden Argumente können Ihnen dabei helfen.

Erfolgreiche Ransomware-Angriffe werden zunehmend teurer

Berichte über versuchte oder erfolgreiche Ransomware-Attacken gehören mittlerweile zum Alltag - egal, für welche Branche.

2017 machte die Ransomware WannaCry Schlagzeilen, nachdem sie mehr als 200.000 Rechner weltweit infiziert hatte. Nur wenige Wochen später erlangte die TeleBots-Gruppe zweifelhafte Berühmtheit mit dem von ihr entwickelten Wiper NotPetya. Ausgehend von der Ukraine legte NotPetya Systeme von Banken und kritischer Infrastruktur, aber auch eine Vielzahl weltweit agierender Unternehmen lahm. Dabei wurden unzählige Daten dauerhaft zerstört oder kompromittiert: Auch nach Zahlung des Lösegelds war eine Entschlüsselung nicht vollständig möglich. Bis heute gilt NotPetya als verheerendster Cyberangriff aller Zeiten, der verursachte Schaden wird auf mehr als 10 Milliarden US-Dollar geschätzt.

Die verbreitetste Ransomware-Form ist die sogenannte Krypto-Ransomware, also Erpressungssoftware, die Dateien auf Festplatten und Netzlaufwerken verschlüsselt. Hiervon sind keineswegs nur große Unternehmen betroffen. Eine Umfrage von Infrascale unter mehr als 500 Führungskräften kleiner und mittelständischer Unternehmen ergab, dass 46% aller Befragten bereits von einer Ransomware-Attacke betroffen gewesen waren. Von diesen gaben 73% zu, das Lösegeld gezahlt zu haben, um wieder Zugriff auf ihre Daten zu bekommen. Kurz gesagt: Ransomware-Angriffe sind und bleiben eine große Gefahr mit hohen finanziellen Risiken für einzelne Unternehmen und ganze Branchen.

Die Erklärung ist so einfach wie bedauerlich: Oftmals wurde in der Vergangenheit nur wenig Priorität auf die Absicherung und Konfiguration der IT-Infrastrukturen gelegt. Angreifer haben so besonders leichtes Spiel und können teilweise Summen im Millionenbereich erbeuten.

Die Dunkelziffer an Unternehmen, die erfolgreiche Ransomware-Angriffe auf ihr Unternehmen geheim halten, ist vermutlich hoch – einerseits, um Strafen durch Datenschutzbehörden zu vermeiden und andererseits, um dem eigenen Ansehen bei Kunden und Geschäftspartnern nicht zu schaden. Es ist oftmals schlicht peinlich, nicht ausreichend gegen entsprechende Angriffe geschützt gewesen zu sein.

Cyberkriminelle haben hingegen meist weniger Skrupel, veröffentlichen die Namen ihrer Opfer online und bieten die erbeuteten Daten im Darknet zum Verkauf an. So sind betroffene Unternehmen letztlich doch gezwungen, die Vorfälle öffentlich zu machen und sogar mit den Kriminellen zu verhandeln.

Vermeiden lassen sich derartige Konsequenzen nur durch eine umfassende Security-Strategie, die dafür sorgt, dass Ransomware – ebenso wie jede andere Form von Malware – gar nicht erst bis ins Unternehmen vordringt. Das wissen auch Datenschutzbehörden und verpflichten Unternehmen zu entsprechenden Sicherheitsvorkehrungen.

Cyberkriminelle werden immer aggressiver

Ransomware ist seit Jahren ein „Dauerbrenner“ für Cyberkriminelle, den sie laufend weiterentwickeln:

Während heute vor allem gezielt bestimmte Unternehmen und Organisationen ins Visier genommen werden, wurde frühe Ransomware vor allem im Rahmen großangelegter Kampagnen über Spam-Mails verteilt. Die einzelnen Opfer wurden aufgefordert, einige hundert Euro für die Freigabe ihrer Daten zu zahlen. Fraglich blieb allerdings, ob sie die Daten dann tatsächlich zurückbekamen.

Zwar war der Aufwand für die Hacker bei diesem „Geschäftsmodell“ nicht allzu groß – der Ertrag allerdings auch nicht. Im Lauf der Zeit änderten sie daher ihre Strategie und machen nun gezielt schlecht konfigurierte Dienste ausfindig, um hierüber Zugriff auf fremde Netzwerke zu erhalten. Zudem interagieren die Kriminellen mehr mit ihren Opfern und verhandeln über das individuell zu zahlende Lösegeld. Für die Verbreitung ihrer Schadsoftware setzen die Cyberkriminellen außerdem mittlerweile häufig auf Botnets und sind so noch effektiver darin, potentielle Opfer zu erreichen.

War eine klassische Erpressernachricht bei Ransomware-Attacken früher meist ein kurzer Text mit dem zu zahlenden Betrag in Bitcoin und dem Empfänger, so hinterlassen die Angreifer heute oft einfache Text-Dateien auf den infizierten Rechnern. Enthalten ist eine E-Mailadresse oder der Link zu einer Webseite im Darknet, über die dann über das zu zahlende Lösegeld verhandelt wird.

Im November 2019 wurde zudem zum ersten Mal ein weiterer „Trend“ beobachtet: Die Ransomware „Maze“ verschlüsselte nicht einfach nur die Daten seiner Opfer, sondern verwendete sogenanntes „Doxing“. Hierfür stehlen Kriminelle sensible Daten, beispielsweise Personendaten, und drohen dem Opfer, diese zu veröffentlichen. Da gerade Personendaten unter besonderem Schutz z.B. durch die DSGVO stehen, drohen dem Opfer empfindliche Strafen – von Schäden durch den Reputationsverlust oder die Veröffentlichung von Geschäftsgeheimnissen ganz zu schweigen.
Insgesamt gesehen ist und bleibt Ransomware ein höchst lukratives Geschäft und ruft entsprechend viele Nachahmer auf den Plan.

Die Ransomware-Trends

Besonders gern bedienen sich Cyberkriminelle auch weiterhin offener Ports – besonders RDR-Ports – um Ransomware in fremde Systeme einzuschleusen. Dabei fahren die Angreifer meist entweder Brute Force-Angriffe oder nutzen ungepatchte Sicherheitslücken in unterschiedlichsten Anwendungen, z.B. Pulse Secure oder VPNs von Citrix, um Zugang zu Unternehmensnetzwerken zu erhalten.

Die Komplexität einzelner Ransomware-Attacken nimmt zu. So gibt es mittlerweile Formen, die nicht nur Daten verschlüsseln oder stehlen, sondern gleichzeitig DDoS-Attacken gegen die Unternehmenswebsite fahren. Der Druck auf die Opfer, der Lösegeldforderung nachzugeben, erhöht sich so zusätzlich.

Cyberkriminelle machen erfolgreiche Ransomware-Angriffe auf Unternehmen öffentlich – beispielsweise durch Veröffentlichung von Namen und Daten auf Seiten im Darknet – und verursachen den Opfern erhebliche Folgeschäden durch den erlittenen Reputationsverlust.

Um den Druck auf die Opfer weiter zu erhöhen, kapern manche Kriminelle die unternehmenseigenen Drucker und lassen diese die Lösegeldforderung in Endlosschleife drucken.

Seit August 2020 wird berichtet, dass manche Hacker-Gruppen sogar eigene Callcenter damit beauftragen, die Opfer anzurufen und Lösegeld zu fordern. Es wird davon ausgegangen, dass verschiedene Gruppen sich hier desselben Callcenter-Dienstleisters bedienen.

Ransomware kann Ihrem Unternehmen dauerhaft schaden

Die langfristigen Kosten von Ransomware-Angriffen sind enorm. Mit der Zahlung des Lösegelds ist es meist nicht getan. Erfolgreiche Attacken legen Betriebsabläufe nicht nur kurzfristig lahm, sondern können dauerhaft die Produktivität schmälern – mit potentiell dramatischen Folgen für das Weiterbestehen des Unternehmens.

Ist der eigentliche Angriff überstanden, müssen nicht nur IT-Systeme wiederhergestellt werden. Die viel größere Aufgabe besteht oft darin, das Vertrauen von Kunden und Partnern wiederzugewinnen – ohne die Garantie, dass entsprechende Investitionen das Unternehmen vollständig in den Status quo zurückversetzen. Bis zu dem Zeitpunkt, an dem zumindest alle Systeme wieder ausreichend abgesichert und notwendige Dateien zugänglich sind, ist kein normales Arbeiten möglich. Aktuelle Projekte liegen brach.

Derzeit lässt sich ein weiterer gefährlicher Trend beobachten: Cyberkriminelle verschlüsseln nicht nur Daten, z.B. Patente, Forschungsergebnisse und Prototypen, sondern stehlen und verkaufen diese im Darknet an den Höchstbietenden. Zusätzlich zu den hieraus erwachsenden Kosten verhängen Datenschutzbehörden teils empfindliche Strafen, wenn personenbezogene Daten von Mitarbeitenden oder Kunden in die Hände unbefugter Dritter gelangen.

Die Entwicklung und Verbreitung von Ransomware scheint dabei ein durchaus lohnendes Geschäft für die Verantwortlichen zu sein: In einem Interview gaben die Entwickler der Ransomware Sodinokibi an, innerhalb eines Jahres mehr als 100 Millionen US-Dollar aus ihren Aktivitäten zu ziehen. Für die Hintermänner der Ransomware Ryuk geht man sogar von mehr als 150 Millionen US-Dollar in Bitcoin „Ertrag“ durch Lösegeldzahlungen aus.

Die wichtigsten Sicherheitsvorkehrungen gegen Ransomware:

Verstärken Sie den Schutz Ihres RDP mit starkem Passwort und Multi-Faktor-Authentifizierung.

Richten Sie regelmäßige Backups für Daten und Betriebssysteme ein. Zumindest für die wichtigsten Daten sollten Sie Backups offline speichern.

Sorgen Sie dafür, dass im Unternehmen verwendete Software – inklusive der Betriebssysteme – immer auf dem neuesten Stand ist. Auch die verwendete Security-Lösung muss unbedingt aktuell sein. Prüfen Sie regelmäßig, ob die Einstellungen so konfiguriert sind, dass Ihr Unternehmen optimal vor Ransomware geschützt ist.

Minimieren Sie die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs auf Ihr Unternehmen mit einer zusätzlichen Verteidigungslinie: Eine cloudbasierte Sandbox führt verdächtige Dateien in einer abgeschlossenen Umgebung aus und erkennt und eliminiert so selbst neuartige Formen von Ransomware – lange bevor diese Ihr Unternehmensnetzwerk erreichen.

Nicht zuletzt sind aber vor allem Sie und Ihr Team gefragt: Schulen Sie sich und Ihre Mitarbeitenden, wie sie potentielle Bedrohungen erkennen und wie sie sich entsprechend verhalten.

Sie erhalten in Kürze eine E-Mail von uns. Bitte klicken Sie auf den darin enthaltenen Link und bestätigen Sie Ihre E-Mail-Adresse. Erst dann wird Ihre Anmeldung zum ESET Newsletter erfolgreich abgeschlossen.