Ransomware-Studie

Wer zahlt, füttert die Bestie

13.06.2022
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Lohnt es sich, Erpressern nachzugeben und bei Ransomware-Angriffen zu zahlen? Die Antwort fällt eindeutig aus.
Wer bei Ransomware-Angriffen die Erpresser bezahlt, muss damit rechnen, dass sie sich schon bald zurückmelden - mit einer höheren Lösegeld-Forderung.
Wer bei Ransomware-Angriffen die Erpresser bezahlt, muss damit rechnen, dass sie sich schon bald zurückmelden - mit einer höheren Lösegeld-Forderung.
Foto: Sasun Bughdaryan - shutterstock.com

Ransomware hat sich in den vergangenen Jahren zu einer der größten Sicherheitsbedrohungen im Netz entwickelt. Cybercrime-Gangs wie Darkside, REvil oder Conti machten mit zahlreichen Attacken von sich reden, weltweite Schlagzeilen erzeugten etwa die Angriffe auf den amerikanischen Pipeline-Betreiber Colonial Pipeline, den Fleischproduzenten JBS oder die diversen Attacken auf Institutionen und Behörden des Staates Costa Rica. Dort rief Präsident Rodrigo Chaves Robles sogar den nationalen Notstand aus.

Mit ihren Ransomware-as-a-Service-Angeboten haben die Gangs ein veritables Geschäftsmodell aus der Taufe gehoben: Wer will, kann aufspringen und sein eigenes Erpressergeschäft auf der Basis vorhandener Cloud-Infrastruktur in Gang bringen. Ransomware ist auch deshalb eine so große Herausforderung, weil die Grenzen zwischen Cyberkriminellen und staatlich gestützten Angreifern verschwimmen. Das macht es schwieriger, die echten Motive zu erkennen und Straftaten zu sanktionieren. Die vom IT-Sicherheitsspezialisten Cybereason beauftragte Studie Ransomware - The True Costs to Business nennt die politisch gedeckten Angreifer auch "staatlich kontrolliert" oder - milder ausgedrückt - "staatlich ignoriert": Ihre Regierungen schauen geflissentlich weg, solange die Angriffe auf die eigenen politischen Ziele einzahlen.

Bei Ransomware-Angriffen ist ein Schaden unvermeidlich

Unternehmen, die von einem Ransomware-Angriff betroffen sind, haben keine Chance. Die einzige Möglichkeit sich zu wehren besteht darin, sich den Lösegeldforderungen zu widersetzen, die kompromittierten Systeme mithilfe von Sicherungskopien wiederherzustellen und zu hoffen, dass die Angreifer die sensiblen Daten ihres Unternehmens nicht weitergeben oder verkaufen. Alternativ können sie das geforderte Lösegeld zahlen und hoffen, dass die Gangster den Schlüssel herausrücken und sich die eigenen Systeme im Anschluss weitestgehend wieder entschlüsseln lassen.

Auf den ersten Blick erscheint das als die einfachere Lösung, doch die Cybereason-Untersuchung ist nicht die einzige, die zeigt, dass es sich nicht lohnt, den Erpressern nachzugeben. Oft können Unternehmen, die gezahlt haben, nicht alle Daten wiederherstellen. Außerdem sind viele der Betriebe schon nach wenigen Wochen von neuen Ransomware-Angriffen betroffen - nicht selten sogar von denselben Akteuren.

Auch Personalabbau kann die Folge eines Angriffs sein

Ransomware-Angriffe können Dutzende, manchmal sogar Hunderte von Millionen Dollar kosten. Ältere Untersuchungen zeigen, dass die betroffenen Unternehmen Produktionsstörungen und in der Folge Umsatzeinbußen, manchmal auch einen ungeplanten Personalabbau hinnehmen mussten - vom Image-Schaden ganz zu schweigen. Wird der Zugriff auf wichtige Daten und Systeme unterbrochen, sind die kritischen Geschäftsprozesse in Gefahr. Es entstehen hohe Kosten im Zusammenhang mit Produktionsausfall, der Reaktion auf den Angriff und den sich anschließenden Maßnahmen zur Schadensbegrenzung. Da ist der finanzielle Aufwand für die Lösegeldzahlung selbst noch der kleinste Posten.

Von über 1.400 Cybersecurity-Experten weltweit, die anlässlich der Cybereason-Studie befragt wurden, haben 73 Prozent mindestens einen Ransomware-Angriff in den vergangenen zwei Jahren erlebt. In der Vorgängerstudie aus dem Jahr 2021 gaben das nur 55 Prozent zu Protokoll. Etwas besser als der Durchschnitt stehen deutsche Betriebe da, aus denen gut 140 Interviews in die Befragung eingingen. Hier bezeichnen sich 69 Prozent als betroffen, in den USA sogar nur 46 Prozent. Ein anderes Bild ergibt sich in Japan (95 Prozent), Italien (90 Prozent) und Großbritannien (83 Prozent).

Die Ransomware-Opfer aus den USA behaupten auch, am wenigsten von negativen Auswirkungen betroffen gewesen zu sein: Nur 32 Prozent räumen dies ein. In anderen Ländern liegt die Quote indes oft über 50 Prozent. Unterschiede sind auch zwischen den Unternehmensfunktionen zu beobachten: Systeme in den Bereichen Recht (92 Prozent), Fertigung (78 Prozent), Finanzdienstleistungen (78 Prozent) und Personalwesen (77 Prozent) sind häufiger betroffen als alle anderen.

Einen Mangel an fitten Security-Profis spüren die wenigsten

Ransomware ist ein lukratives Geschäft, das auch in Zukunft eine Bedrohung darstellen wird. Angreifer finden immer wieder innovative Wege, um Opfer zu erpressen. Daher ist es für Unternehmen wichtiger denn je, sich gegen Ransomware-Angriffe zu schützen. Interessanterweise scheint der Mangel an fachkundigen Sicherheitsexperten kein allzu großes Problem zu sein. Immerhin 88 Prozent der Befragten sind der Meinung, über die richtigen Professionals zur Abwehr von Angriffen mit Erpressersoftware zu verfügen. Noch vor einem Jahr stimmten dem nur 60 Prozent der Befragten zu. Eine weitere gute Nachricht: Fast drei Viertel der Befragten geben an, ihre Organisation verfüge über die richtigen Notfallpläne, um mit einem Ransomware-Angriff fertigzuwerden.

Von den Unternehmen, die nach erfolgreichen Angriffen einmal oder häufiger Lösegeld gezahlt haben, gibt etwa die Hälfte an, man habe Umsatzeinbußen vermeiden wollen, während 41 Prozent die Notwendigkeit einer schnelleren Wiederherstellung ihrer Systeme als Hauptgrund nannten. In beiden Fällen ging es also darum, die Geschäftsfähigkeit und -kontinuität zu erhalten.

Wer seine Daten nicht sichert, muss zahlen

Immerhin ein Viertel derer, die den Erpressern nachgaben, mussten ihrer offenbar unzureichenden Vorbereitung auf den Ernstfall Tribut zollen. Sie zahlten, weil sie ihre Daten nicht gesichert hatten. Ein Drittel gibt zu, personell zu schlecht ausgestattet gewesen zu sein, um dem Angriff etwas entgegenzusetzen. Sie waren darauf angewiesen, sich mit den Erpressern zu einigen.

Die Entscheidung, Lösegeld zu bezahlen, ist schmerzhaft - insbesondere für Organisationen, die als kritische Infrastrukturen (KRITIS) eingestuft werden, beispielsweise Versorger oder Unternehmen aus dem Gesundheitssektor. Gelingt es den Angreifern, den Zugang zu den wichtigsten Systemen und Daten zu unterbinden, können Menschenleben gefährdet sein. Das Problem potenziert sich, je länger ein Angriff dauert. Diese Dringlichkeit erklärt, warum fast ein Drittel der Befragten auf die Lösegeldforderungen eingeht. Jede Verzögerung bei der Behebung des Problems kann zu menschlichen Tragödien führen.

Auch nach Einigung mit Erpressern sind Daten oft beschädigt

Allerdings bietet die Zahlung von Lösegeldern keine Garantie für eine schnellere Wiederherstellung der Systeme, auch wenn das die Angreifer gerne behaupten, um an das Geld zu gelangen. Den Analysten von Gartner zufolge gelingt nur acht Prozent aller betroffenen Unternehmen eine hundertprozentige Wiederherstellung der Daten. Die von den Angreifern zur Verfügung gestellten Entschlüsselungsprogramme seien oft unbrauchbar, weshalb die Opfer meist ein eigenes Tool programmieren müssten, in das dann der mitgelieferte Schlüssel integriert werde. Die Wiederherstellung könne Wochen dauern und es gebe keine Garantie, dass die Erpresser nicht mit erbeuteten Daten Folgegeschäfte machen würden.

In der Cybereason-Studie berichten von den Unternehmen, die Lösegeld gezahlt haben, immerhin 42 Prozent, ihre Systeme und Daten seien anschließend wiederhergestellt worden. Allerdings ist das ein deutlicher Rückgang gegenüber den 51 Prozent, die sich in der Vorjahresumfrage entsprechend geäußert hatten. Darüber hinaus sagen 54 Prozent, auch nach der Entschlüsselung habe es Systemprobleme gegeben und Daten seien beschädigt worden (Vorjahr: 46 Prozent). Dieser Umstand zeigt, dass es sich prinzipiell nicht lohnt zu zahlen.

Interessanterweise sagen 78 Prozent der Unternehmen, die kein Lösegeld entrichtet haben, sie hätten ihre Systeme und Daten auch ohne Entschlüsselungshilfe der Erpresser wiederherstellen können. Es scheint also, als seien die nicht zahlungswilligen Unternehmen auf den Ernstfall besser vorbereitet gewesen.

Der nächste Angriff kommt bestimmt - vom selben Täter

Bei der Überlegung "Zahlen oder Nichtzahlen" müssen Unternehmen sich nicht nur fragen, ob die Cybergangster wirklich einen Schlüssel für die Dechiffrierung der Daten und Systeme bereitstellen und ihre Daten diese Prozedur auch heil überstehen werden. Sie müssen sich ebenso darüber klar werden, dass der nächste Angriff unmittelbar bevorsteht - oft sogar von denselben Tätern verübt. Hinzu kommen scheinbar nebensächliche Probleme, etwa rechtlicher Art: Was ist, wenn die Angreifer von einem Land aus agieren, in dem Lösegeldzahlungen als Straftat angesehen werden?

Viele Firmen sind nach einem Angriff erst einmal paralysiert und reagieren konfus. In dieser Atmosphäre ist es schwierig, richtig zu entscheiden. Es gibt keine Best Practices, die für jedes Unternehmen unter allen Umständen geeignet sind. Jedes Szenario muss von Fall zu Fall bewertet werden, da jede Infiltration, jede Angriffsgruppe, jede Opferorganisation, jeder gefährdete Datensatz und jede betroffene Drittpartei einzigartig sind.

Dennoch zeigt die Untersuchung von Cybereason klar, dass es sich nicht lohnt, Erpressern nachzugeben. Von den Unternehmen, die sich dafür entschieden haben, gaben fast 80 Prozent an, sie seien anschließend mindestens einem weiteren Ransomware-Angriff zum Opfer gefallen. Und von denjenigen, die ein zweites Mal angegriffen wurden, rümt knapp die Hälfte ein (48 Prozent), der Angriff sei vom selben Angreifer verübt worden.

Beim zweiten Mal wird's teurer

Zwei Drittel der Betriebe, die Lösegeld gezahlt haben und erneut angegriffen wurden, geben zu Protokoll, der zweite Angriff sei binnen eines Monats nach dem ersten erfolgt, und die Angreifer hätten noch mehr Geld verlangt. Wer einmal gezahlt hat, gab in 44 Prozent der Fälle auch der zweiten Forderung nach, und immerhin jedes zehnte Unternehmen zahlte sogar drei Mal oder öfter.

Die Studie zeigt also, dass es keinen Sinn macht, einer Lösegeldforderung nachzukommen, wenn es nur um Produktions- und Umsatzeinbußen geht. Natürlich ist eine ganz andere Situation gegeben, wenn Menschenleben in Gefahr sind. Insgesamt sind aber die Kosten für das Verhindern eines Ransomware-Angriffs niedriger als der Aufwand für die Zahlung von Lösegeld und allen damit verbundenen Kosten für die Wiederherstellung.