Wie viel kostet eine Ransomware-Attacke?

YOUR COMPANY NETWORK HAS BEEN HACKED

Dear customer,

Your data was encrypted with a strong crypto algorithm and can be decrypted fast and safely. Don’t worry, we can help you to restore your servers to initial state. Price of automatic decryption tool and your decryption key for all PC in local network is:
80.000$
after 7 days
to: 1.000.000$
Waiting for your answer with kind regards.

Your hacker.

Das, wovon viele Unternehmer glauben, dass es nur den anderen passiert, erscheint schneller auf dem Bildschirm als die meisten vermuten. Die eigene Firma sei zu klein, zu unbedeutend, arbeite nicht mit sensiblen Daten. Leider zeigt sich in der Realität, dass Hacker auch vor diesen Unternehmen nicht mehr Halt machen. Die aktuelle Sophos Studie The State of Ransomware 2020, für die 5.000 IT-Entscheider in 26 Ländern befragt wurden, ergab, dass jede zweite Organisation 2019 und 2020 einen Ransomware-Angriff erlebt hat und bei 73% der gehackten Systeme Daten verschlüsselt werden konnten. Durchschnittlich wurden dabei 730.000$ Lösegeld für die Entschlüsselung gefordert.

Neben den Kosten für das Lösegeld, die Ausfallzeiten, verlorene Aufträge etc. kann ein solcher Cyber-Angriff auch ein großer Imageverlust für die betroffenen Betriebe bedeuten. Da man von tatsächlich stattgefundenen Ransomware Cyber-Attacken nur wenig hört, möchte ich dieses reale Cyber-Risiko näher beleuchten.

Inhalt

Was ist Ransomware?
Wer ist ein typisches Opfer von Ransomware-Angriffen?
Wie erhalten und bezahlen Betroffene die Lösegeld-Forderung?
Wie hoch ist das erpresste Lösegeld in der Regel?
Wie sollten Ransomware Betroffene reagieren?
Sollte man das Lösegeld bezahlen?
Was passiert nach der Lösegeldzahlung?
Wie können sich Unternehmen gegen Ransomware-Attacken schützen?
Fazit

Was ist Ransomware?

Der Begriff Ransomware geht auf das englische Wort ransom für “Lösegeld” zurück und bezeichnet Schadprogramme, mit deren Hilfe Cyberkriminelle unbefugt in die Systeme Dritter eindringen, um dort alle erreichbaren Daten und Systeme zu verschlüsseln. In diesem Zusammenhang liest und hört man auch von sogenannten Kryptotrojanern, Erpressungssoftware, Verschlüsselungstrojanern oder Verschlüsselungsviren.

Nach der Datenverschlüsselung können Sie ihr Word nicht mehr starten, keine Prozesse mehr steuern und keine Daten mehr lesen. Ihr Mailsystem ist nicht mehr abrufbar, Lagersysteme, Maschinen, Roboter - nichts geht mehr. Stattdessen werden Meldungen im Unternehmensnetzwerk platziert, dass dieses gehackt wurde und erst nach Eingang der geforderten Lösegeldsumme wieder freigegeben wird.

Eingedrungen ist die Ransomware beispielsweise an einer Exchange-Sicherheitsschwachstelle, die etwa aufgrund nicht gepatchter Systeme entstehen kann. Die Schlafzeit des Virus kann einige Tage oder Wochen betragen, sodass er erst entdeckt wird, wenn es bereits zu spät ist und auf allen Bildschirmen zu lesen ist: YOUR COMPANY NETWORK HAS BEEN HACKED.

Wer ist ein typisches Opfer von Ransomware-Angriffen?

Rational betrachtet sind alle Unternehmen gefährdet, Opfer eines Ransomware-Angriffs zu werden. Die kleinste gehackte Organisation, die ACP bekannt ist, bestand aus einer Rechtsberatung mit gerade einmal vier Mitarbeitern.

Die Hacker wählen ihre Opfer auf zwei verschiedenen Wegen aus:

• über gestreute Angriffe:
  Eine Gruppe von Menschen wird aufgrund einer bestimmten Gemeinsamkeit ausgewählt und über gestreute Angriffe attackiert, um bei einzelnen ein Schlupfloch zu finden. Beispielsweise bewerben sich in Österreich zur Wintersaison tausende von Kellner in der Gastronomie. Die Hacker versenden in dieser Zeit beispielsweise E-Mails, die wie eine echte Bewerbung aussehen, aber einen schadhaften Link oder Download zu den Bewerbungsunterlagen enthält, sodass der Virus auf diesem Weg in das Computersystem des Restaurants oder der Skihütte eindringen kann.
  
  
• mithilfe zielgerichteter Angriffe:
  Im Darknet wird heutzutage ein richtiger Handel mit Listen von Unternehmen betrieben, deren Systeme nicht ausreichend geschützt sind. Die Cyber-Kriminellen wissen bei einem zielgerichteten Ransomware-Angriff also ganz genau, mit welcher Organisation sie es zu tun haben, wie sie in deren Systeme eindringen und welche Summen sie fordern können.

Wie erhalten und bezahlen Betroffene die Lösegeld-Forderung?

In den meisten Fällen stellen die Erpresser Kontaktmöglichkeiten über E-Mail oder sogenannte “Support”-Portale im Darknet, die über einen downloadbaren Tor-Browser erreichbar sind, zur Verfügung. Dort treten die Betroffenen in Kontakt mit den Angreifern und erhaltene genaue Instruktionen, wie die Transaktion in Bitcoin oder einer anderen Kryptowährung durchzuführen ist. Dieser Prozess dauert in der Regel mehrere Stunden bis Tage, da die Erstellung einer Wallet und die Deponierung des Geldes ein recht aufwändiger Prozess ist.

Wie hoch ist das erpresste Lösegeld in der Regel?

Die Lösegeld-Forderungen bei einem Ransomware Cyber-Angriff reichen von mehreren hundert bis hunderttausend Euro. In den meisten Fällen wissen die Cyberkriminellen sehr genau, mit welchem Unternehmen sie es zu tun haben und wie viel dort zu holen ist. Eine mittelständische Firma aus Tirol mit rund 50 Mitarbeiter*innen sieht sich wahrscheinlich mit einem erpressten Betrag im höheren fünfstelligen Bereich konfrontiert.

Wie sollten Ransomware Betroffene reagieren?

Wer Opfer einer Ransomware-Attacke geworden ist, muss schnell handeln, um den Schaden bestmöglich zu begrenzen:

• Nehmen Sie sofort alle Systeme vom Strom.
• Kontaktieren Sie umgehend Ihre internen und externen IT-Verantwortlichen.
• Stellen Sie fest, ob alle Datensicherungen aktuell und vorhanden sind.
• Isolieren Sie einen einzelnen Client und begutachten Sie den Schaden.
• Informieren Sie Ihre Mitarbeiter*innen, denn Sie sollten mit einem Totalausfall aller Systeme für mindestens 24 Stunden sowie einem massiv eingeschränkten Betrieb für 2-3 Tage rechnen.
• Entwickeln Sie gemeinsam mit Sicherheitsexpert*innen eine Strategie zur Wiederherstellung der Daten und Systemsicherheit.
• Binden Sie erfahrene IT-Expert*innen in den Verhandlungsprozess mit den Erpressern ein.
• Vergessen Sie nicht die Meldepflicht des Cyberangriffs bei der Datenschutzbehörde innerhalb von 72 Stunden.
• Zusätzlich empfehlen wir Ihnen eine Anzeige bei der nächsten Polizeidienststelle.

Sollte man das Lösegeld bezahlen?

Das Lösegeld zu bezahlen bedeutet, Sie lassen sich erpressen. Das Lösegeld NICHT zu bezahlen bedeutet, Sie haben unwiderruflich keinen Zugang mehr zu Ihren Dateien und Systemen. Eine richtige Antwort auf diese Frage gibt es also nicht wirklich.

Erfahrungsgemäß stellen die Erpresser anhand von 2-3 unwichtigen Dateien unter Beweis, dass sie alles wieder entschlüsseln können. Sobald das Lösegeld bezahlt wurde, erhalten Sie eine Entschlüsselungssoftware, deren Qualität allerdings vom jeweiligen Erpresser abhängt. Es ist nicht damit zu rechnen, dass Backups und Datenbanksysteme anschließend wieder reibungslos funktionieren, sondern in aufwendiger Nacharbeit von IT-Expert*innen repariert oder neu installiert werden müssen. Die Erfahrung zeigt jedoch, dass die Erpresser nach einer Ransomware-Attacke zuverlässig sind und die Software zur Entschlüsselung bereitstellen, denn nur so ist sichergestellt, dass die betroffenen Unternehmen auch in Zukunft das Lösegeld bezahlen werden.

Was passiert nach der Lösegeldzahlung?

Nach der Lösegeldzahlung gibt es keinen weiteren Kontakt mit den Cyberkriminellen und die "Aufräumarbeiten" im eigenen Unternehmen beginnen. Diese können mehrere Wochen oder Monate in Anspruch nehmen, da sichergestellt werden muss, dass der Virus endgültig aus allen Systemen entfernt ist. Um einen drohenden Neuangriff zu vermeiden, müssen daher alle Systeme neu installiert werden.

Außerdem sind Sie gemäß DSGVO verpflichtet, alle Mitarbeiter*innen, Kunden, Lieferanten, Partner und Behörden über die stattgefundene Ransomware-Attacke zu informieren. Die zuständigen Behörden werden daraufhin überprüfen, ob zuvor alle notwendigen technischen und organisatorischen Maßnahmen getroffen wurden, um den Cyberangriff zu vermeiden. Falls nicht, drohen Strafen von bis zu vier Prozent des Jahresumsatzes.

Wie können sich Unternehmen gegen Ransomware-Attacken schützen?

Um sich gegen Ransomware Cyber-Angriffe zu schützen, müssen Sie mehrere Maßnahmen ergreifen, überprüfen und regelmäßig evaluieren. Denn IT-Security ist ein komplexer und permanenter Prozess, der aus vielen ineinandergreifenden Komponenten besteht:

A) Disaster-Recovery & Backup Strategie:

Entwickeln Sie mit den Sicherheitsexperten Ihres Vertrauens eine nachhaltige Disaster-Recovery & Backup Strategie, die eine schnelle Wiederherstellung aller Daten und Systeme ermöglichen. Auf diese Weise stellen Sie für den Notfall sicher, welche Daten wie aktuell verfügbar und wie schnell betroffene Systeme wieder lauffähig sein sollen. Notfallpläne helfen außerdem dabei, die Ausfallzeit zu reduzieren und im Schadensfall umgehend die richtigen Maßnahmen zu treffen.

B) IT-Security auf dem neuesten Stand:

• Aktuelle Antivirus-Software und Firewall-Technologien schützen in erster Instanz vor Angriffen aus dem Netz.
• Netzwerksegmentierungen und No-Trust Zones begrenzen die Angriffsfläche nachweislich.
• Interne Audit Systeme helfen dabei Angriffe frühzeitig zu identifizieren und Schwachstellen zu filtern.

C) Mitarbeiter schulen und sensibilisieren:

• Sicherheits- und Passwortrichtlinien regeln das Verhalten bei Sicherheitsvorfällen.
• Admin Zugriffe auf ein notwendiges Minimum zu reduzieren, schränkt die Ausbreitung von Viren deutlich ein.
• In Security-Schulungen lernen Mitarbeiter sich bei verdächtigen E-Mails oder anderen Vorfällen richtig zu verhalten.

D) Versicherungen und IT-Spezialisten kontaktieren:

IT-Versicherungen federn die hohen Schadenssummen aufgrund von Lösegeldforderungen, Ausfallzeiten, Kosten für IT-Spezialisten etc. im Falle von Cyber-Angriffen ab. Die Zusammenarbeit mit einem erfahrenen IT-Anbieter, etwa über Security Operation Centers, verlagert das Ransomware Risiko außerdem zu den Profis.

Fazit: Ganzheitliche IT-Security ist der beste Schutz gegen Ransomware

Keine Unternehmer*innen dieser Welt möchten morgens ihre Computer einschalten und lesen, dass das Unternehmensnetzwerk gehackt wurde. Und noch weniger möchten sie einen hohen mehrstelligen Betrag an irgendwelche Hacker bezahlen, um danach Monate lang das entstandene Chaos zu beseitigen. Dieses Lehrgeld ist eindeutig zu hoch, um bezahlt zu werden. Setzen Sie daher frühzeitig auf eine ganzheitliche IT-Security, denn das ist noch immer der beste Schutz gegen Ransomware oder andere Cyber-Angriffe.

Wussten Sie, dass Sie mit ein paar Clicks in Ihren Microsoft Sicherheitseinstellungen das Risiko, Opfer eines Ransomware Angriffs zu werden, schon um die Hälfte minimieren können? Ohne zusätzliche Tools anschaffen zu müssen?

Gerne unterstützen wir Sie mit unserem Sicherheitsworkshop bei der Begutachtung dieser Sicherheitssysteme. Wir zeigen Ihnen in einem halben Tag, wie Sie Sicherheitslücken schließen.

Rufen Sie mich an und wir besprechen, wie Sie Hackern ganz einfach weniger Chancen geben.