Im Würgegriff der Erpresser: Die größten Fehler bei einem Ransomware-Angriff

Ransomware-Attacken haben in den letzten Jahren deutlich zugenommen. Laut FBI stieg der durch sie versuchte Schaden 2020 allein in den USA um 225% an. Alle 11 Sekunden wurde ein Unternehmen Opfer. Längst sind diese Vorfälle kein IT-Nischenthema mehr, sondern werden auch außerhalb der Branche immer stärker als Bedrohung wahrgenommen. Nach dem Angriff auf die Computer der Kreisverwaltung Anhalt-Bitterfeld musste sogar die Bundeswehr beim Wiederaufbau der IT-Infrastruktur zur Hilfe gerufen werden. Aber nicht nur öffentliche Institutionen geraten ins Visier der Hacker, auch Unternehmen werden immer häufiger Opfer dieser Schadsoftware. Doch wenn immer mehr Unternehmen von Ransomware betroffen sind, ist es wichtig zu wissen, wie in einem solchen Fall gehandelt werden sollte – und wie nicht.

Fehlende Erfahrung führt zu Panik

Ransomware-Attacken stellen für viele Unternehmen Neuland dar. Die Gefahr ist groß, dass sie während einer solchen Ausnahmesituation überstürzt handeln. Aus Angst, die verschlüsselten Daten für immer zu verlieren, wird die geforderte Summe an die Kriminellen überwiesen. Dabei sind sich IT-Expert weltweit einig, dass dies die schlechteste Alternative darstellt. Die Gründe dafür sind vielfältig:

Grund 1: Wer einmal zahlt, wird es wieder tun

In der Hoffnung, den gesamten Angriff schnell zu beenden und das Tagesgeschäft wieder aufnehmen zu können, neigen Firmen dazu, das geforderte Lösegeld schnell zu bezahlen. Doch so löst man das Problem nur kurzfristig – langfristig gesehen ist das Gegenteil der Fall. Die Zahlen sprechen eine klare Sprache: 80 % der zahlungswilligen Opfer von Ransomware-Attacken, wurden Ziel erneuter Erpressungen. Der Grund dafür ist naheliegend: Die Hacker wissen nun, dass sie mit ihrer Masche durchkommen und viel Geld erbeuten können. Daher versehen sie das Opfer mit einer Art digitalem Gaunerzinken, indem sie es entweder ein zweites Mal attackieren oder die Firmendaten zahlungswilliger Opfer im Dark-Web verkaufen. So werden Unternehmen immer häufiger zur Zielscheibe solcher Angriffe.

Grund 2: Eine Zahlung garantiert keine Entschlüsselung

Eine Ransomware Attacke ist für Unternehmen immer mit hohen Kosten verbunden. Dabei sind die Ausgaben für die Wiederherstellung verlorener Daten zum Teil 10-15 Mal so hoch, wie die geforderte Summe. Die Überlegung, das Lösegeld einfach schnell zu bezahlen, um einen höheren Schaden zu verhindern, ist also auf den ersten Blick nachvollziehbar. Doch wer den Erpressern nachgibt und die geforderte Summe bezahlt, wird später meist erschrocken feststellen, dass nur ein Teil seiner Daten wieder freigegeben oder schlimmstenfalls gar keine Daten entschlüsselt worden sind. Denn für Täter besteht nur ein geringer Anreiz, die Daten nach einer erfolgreichen Erpressung zurückzugeben. So ist am Ende nicht nur das Lösegeld verloren, sondern auch die wertvollen Daten.

Grund 3: Die Gefahr steigt für alle

Nicht ohne Grund hat die Ransomware-Aktivität in den letzten Jahren deutlich zugenommen. Das Geschäft mit der digitalen Geiselnahme hat sich immer mehr zu einem erfolgreichen Geschäftsmodell für Cyberkriminelle entwickelt. Das liegt vor allem an der Zahlungsbereitschaft vieler Unternehmen in der Vergangenheit. Diese führt nicht nur dazu, dass das eigene Unternehmen von den Cyberkriminellen häufiger ins Visier genommen wird – es beschädigt auch die Sicherheit im ganzen Internet nachhaltig. Denn je mehr Geld sich mit der digitalen Datengeiselnahme erzielen lässt, desto ausgereifter und professioneller werden die Angriffsvarianten. Etabliert sich Ransomware also immer stärker, weil die Kriminellen merken, dass sie regelmäßig Erfolg haben, müssen alle die Zeche zahlen.

Vorsorge ist besser als Nachsorge

Bei Ransomware-Attacken stehen Unternehmen vor einem Dilemma: Wird gezahlt, sind die Daten häufig trotzdem nur zum Teil wiederhergestellt und das Unternehmen wird zur größeren Zielscheibe. Wird nicht gezahlt, sind die Daten auf jeden Fall verschwunden und der wirtschaftliche Schaden enorm. Der einzige Ausweg ist die richtige Vorbereitung für einen solchen Fall. Nur dann kann ein Unternehmen im Ernstfall besonnen und klug handeln.

Die richtige Vorsorge gegen Ransomware-Attacken setzt sich aus mehreren Faktoren zusammen. Natürlich muss die Cyber-Security der Organisation stets auf dem neuesten Stand gehalten werden. Sicherheitsupdates müssen installiert und Mitarbeitende richtig geschult werden. Denn sie sind häufig ein Einfallstor für Schadsoftware – beispielsweise, wenn unbedacht einen schadhafter Link oder Mailanhang geöffnet wird. Daher müssen Mitarbeitende für die Verantwortung sensibilisiert werden, die sie für die IT-Sicherheit der gesamten Firma tragen. So macht man es Kriminellen möglichst schwer, die eigene digitale Infrastruktur zu infiltrieren. Doch das allein reicht nicht. In der IT gilt mehr als sonst: Auch die stärkste Festung hat Schwachstellen.

Daher müssen Unternehmen die Daten regelmäßig sichern und Backups erstellen. Das Backup der Daten muss genauso zur Firmenroutine werden wie das Gespräch an der Kaffeemaschine. Je aktueller das Backup ist, desto geringer ist der Schaden, den Firmen bei Verlust ihrer Daten erleiden – und desto geringer das Druckmittel der Kriminellen.

Gut gerüstet gegen Ransomware

Ransomware ist eine wachsende Gefahr – und jeder kann Opfer werden. Eine Organisation darf sich nicht erst mit dem Thema beschäftigen, wenn es zu spät ist, sondern muss immer auf einen solchen Angriff vorbereitet sein. Sicher ist: Den Erpressern nachzugeben und das Lösegeld zu zahlen, ist in fast allen Fällen die schlechteste Option. Damit ein Unternehmen gar nicht erst in diese Verlegenheit kommt, braucht es eine gute Vorbereitung in Form von passenden Cybersecurity-Tools, geschulten Mitarbeitern und regelmäßigen Backups. Wenn Firmen dies beherzigen, können Sie einer Ransomware-Attacke entspannt entgegensehen und den Angriff erfolgreich abwehren.

Autor: Frank Kölmel, Vice President Central Europe bei Cybereason