Nach Schlagzeilen über erfolgreiche Cyberattacken mit Ransomware und ihre schwerwiegenden Folgen muss man nicht lange suchen. Das Bewusstsein für Cyberbedrohungen durch Online-Erpressung, Zwangsverschlüsselung und Datenausschleusung ist entsprechend hoch. Wie die aktuelle Studie "Ransomware 2024" von CSO, CIO und COMPUTERWOCHE in Zusammenarbeit mit Fortinet und Logicalis ergeben hat, zählen 79 Prozent der Befragten die Vorbeugung gegen Ransomware mindestens zu ihren Top-3-Prioritäten. Nur 14 Prozent sehen eine mittlere Priorität, drei Prozent eine geringe bis gar keine.

Das wirft Fragen auf: Was folgt aus der hohen Priorisierung für die Ransomware-Prävention? Welche Maßnahmen werden deshalb getroffen? Und: wie wirksam sind diese? Dem ist die Studie nachgegangen.

Zur Studie 'Ransomware 2024' im Aboshop

Hohe Zufriedenheit - trotz enormer Schäden

Die Ergebnisse zeigen, dass die meisten der befragten Unternehmen ihren Ransomware-Schutz für gut halten. So sind sieben von zehn Organisationen "zufrieden" bis "sehr zufrieden". Tatsächlich investieren 55 Prozent der Befragten sogar mehr als zehn Prozent des IT-Sicherheitsbudgets in solche Lösungen. Doch die Investitionen zahlen sich bisher nur bedingt aus, entsprechend überrascht auch die hohe Zufriedenheit mit den eigenen Maßnahmen gegen die Bedrohung. Immerhin waren 47 Prozent der befragten Unternehmen bereits von einer Ransomware-Attacke betroffen.

Nach diesen Attacken scheinen die eigenen Schutzmaßnahmen allerdings oftmals nicht in Frage gestellt worden zu sein: Ganze 61 Prozent der Betroffenen haben mehr als eine Attacke erlebt. Spätestens dann würde man erwarten, dass die Zufriedenheit mit den eigenen Maßnahmen gegen Ransomware abfällt und neue Schutzmöglichkeiten eruiert werden.

14 Prozent der Unternehmen glauben, bisher nicht von einer entsprechenden Cyberattacke betroffen gewesen zu sein. Während man bei anderen Cyberattacken davon ausgehen kann, dass die Unternehmen, die keinen Angriff bemerkt haben, oftmals trotzdem getroffen wurden, verhält sich das bei Ransomware meist anders. Denn Erpressungstrojaner verursachen deutlich spürbare Folgen: 54 Prozent der Ransomware-Opfer haben einen ausgeprägten Stillstand der Produktion in den betroffenen Abteilungen erlitten.

Trotz dieser Erfahrungen und den wirtschaftlichen Schäden werden noch nicht die richtigen Konsequenzen gezogen und Entscheidungen getroffen: Systeme für automatisierte Wiederherstellung haben zum Beispiel nur 39 Prozent der Befragten umgesetzt oder zumindest geplant. Doch nur so lassen sich Ausfallzeiten im Fall eines Ransomware-Angriffs effektiv minimieren, wenn die noch vorhandenen Backups wieder eingespielt werden sollen.

Schutzkonzepte vs. neue Arbeitswelt

Die Studie kommt zudem zum Ergebnis, dass 66 Prozent der Unternehmen eine höhere Anfälligkeit für Ransomware-Angriffe aufweisen, wenn sie verstärkt dezentral arbeiten. Offensichtlich wurden die Sicherheitskonzepte noch nicht angemessen auf die neue, verteilte Nutzung von IT und Daten angepasst. Regelmäßige, automatisierte Backups und Wiederherstellungsverfahren in Zeiten von Remote Work müssen auch an den dezentralen Standorten verfügbar sein, wenn es zu einem Angriff kommt. Allerdings scheint hierfür noch das Bewusstsein zu fehlen, denn nur 17 Prozent der Befragten meinen, die Homeoffice-Nutzung wäre eine Herausforderung für ihre IT-Sicherheit.

Es wurde auch untersucht, ob künstliche Intelligenz (KI) bei der Optimierung des Cyberschutzes gegen Ransomware helfen kann. Das hängt maßgeblich davon ab, wie die Unternehmen KI in Verbindung mit IT-Sicherheit und Ransomware bewerten. Laut der Umfrage erhöht und mindert KI die Ransomware-Bedrohungen aus Sicht der Unternehmen:

• 48 Prozent der Befragten sehen eine sehr große Gefahr oder aber eine Realität darin, dass KI Ransomware-Angriffe effizienter und intelligenter macht.

• Gleichzeitig meinen aber 46 Prozent der Unternehmen, dass KI bei der Erkennung und Abwehr von Ransomware eine sehr große Chance oder aber schon eine Realität ist.

So könnte KI zum Beispiel dabei helfen, die Wiederherstellung der Daten zu priorisieren - passend zu dem Bedarf des jeweiligen Unternehmens. Ebenso könnte KI schneller und genauer verdächtige Aktivitäten aufspüren und automatisiert Maßnahmen gegen erkannte Ransomware-Vorfälle einleiten. Doch KI alleine wird nicht reichen, ebensowenig wie Backups alleine ausreichen.

Ransomware-Schutz muss menschlicher werden

Laut der Studie erfolgten die meisten Ransomware-Attacken über Social Engineering: Rund sieben von zehn Unternehmen haben bereits solche Angriffe erlebt oder Phishing-Mails erhalten. Deshalb sollte ohne Zweifel die Sensibilisierung der Nutzerinnen und Nutzer als Teil des Ransomware-Schutzes angesehen und ausgebaut werden. Awareness-Trainings gehören ebenso zum Schutz vor Ransomware wie die Verfahren für Backups und Wiederherstellung und die Erkennung und Abwehr von Malware.

Zuerst aber muss noch die Awareness bei den Security-Entscheiderinnen und -Entscheidern erreicht werden: Nur etwa zwei von zehn der Befragten nennen Social Engineering als mögliches Einfallstor für Cyberangriffe, obwohl viele von ihnen genau diese Art von Attacken erlebt haben.

Zumindest bei der Frage nach einer Lösegeldzahlung scheint sich mehrheitlich das richtige Bewusstsein durchgesetzt zu haben. So würde ein Verbot von Lösegeldzahlungen begrüßt: 90 Prozent der befragten Unternehmen halten die derzeitigen politischen Überlegungen, Ransomware-Lösegeldzahlungen unter Strafe zu stellen, für "gut" oder "sehr gut". 53 Prozent denken, solche Lösegeldzahlungen unter Strafe zu stellen, entzieht dem Geschäft mit der Cybererpressung den Nährboden.

Ransomware ist als eine der größten Cyberbedrohungen bekannt und wird als Priorität für die Cybersicherheit gesehen. Viele Unternehmen haben die schwerwiegenden Folgen von Ransomware selbst erlebt. Doch der bisherige Schutz reicht nicht aus, wie die Zahl der mehrfach erfolgreichen Ransomware-Angriffe zeigt.

Zum einen müssen nun die Entscheidungsträger in der Cybersicherheit die richtigen Schlüsse ziehen, insbesondere aus den festgestellten Angriffswegen für Ransomware-Attacken und aus den langen Zeiten des Produktionsstillstandes. Neben verbesserten Verfahren zur Wiederherstellung gehört die Sensibilisierung aller Nutzerinnen und Nutzer zu den zentralen Schutzmaßnahmen gegen Ransomware, wenn Social Engineering der häufigste Angriffsweg für Online-Erpresser ist. Gleichzeitig gehört aber auch die Sensibilisierung der Security-Verantwortlichen zum Ransomware-Schutz, denn nur dann können die Schutzkonzepte der tatsächlichen Bedrohungslage entsprechen. Das zeigt auch die praxisferne Bewertung von Homeoffices als eher kleine Herausforderung für die Cybersicherheit.

So wichtig also der technische Schutz gegen Online-Erpressung und Datenausschleusung (Ransomware 2.0) auch ist, ohne die menschliche Komponente kommt die Prävention gegen Ransomware-Schäden nicht aus. Bei aller KI als Unterstützung wie auch als mögliche Bedrohung im Umfeld von Ransomware: Es geht immer um Menschen, die mit Online-Erpressung Geld machen wollen, und um Menschen, die sich noch besser zu Wehr setzen müssen.

Zur Studie 'Ransomware 2024' im Aboshop

Studiensteckbrief

Herausgeber: CIO, CSO und COMPUTERWOCHE

Studienpartner: Fortinet GmbH; Logicalis GmbH, NetApp Deutschland GmbH

Grundgesamtheit: Oberste (IT-)Verantwortliche in Unternehmen der DACH-Region: Beteiligte an strategischen (IT-)Entscheidungsprozessen im C-Level-Bereich und in den Fachbereichen (LoBs); Entscheidungsbefugte sowie (Sicherheits-) Experten und Expertinnen aus dem IT-Bereich

Teilnehmergenerierung: Persönliche E-Mail-Einladung über die exklusive Unternehmensdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels

Gesamtstichprobe: 370 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 27. November bis 04. Dezember 2023

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung und Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern