zephyr_p - stock.adobe.com
Ransomware: Wiederherstellung kostet im Schnitt 970.000 Euro
Die Zahl der Firmen, die in Deutschland von einer Ransomware-Attacke betroffen waren, ist zurückgegangen. Die Kosten für eine Wiederherstellung haben sich hingegen verdoppelt.
Dies sind Ergebnisse der Studie „The State of Ransomware 2021“, die vom Security-Anbieter Sophos in Auftrag gegeben wurde. Hierfür wurden in 30 Ländern Anfang 2021 insgesamt 5400 IT-Entscheider in mittelgroßen Organisationen befragt. Aus Deutschland wurden 300 Teilnehmer berücksichtigt.
Demnach sind weniger Unternehmen als zuvor von Ransomware-Attacken betroffen, die Zahl der Nennungen sei in Deutschland von 57 Prozent der Befragten im Jahr 2020 auf 46 Prozent im Jahr 2021 zurückgegangen. Sophos führt dies unter anderem darauf zurück, dass die Angreifer ihre Vorgehensweise geändert hätten und viel gezielter attackieren würden. Dies würde auch direktes menschliches Eingreifen bei einem Angriff beinhalten.
Darüber hinaus verändern sich Ransomware-Angriffe auch in der Art der Bedrohung. Bereits seit längerem ist ein zweigleisiges Vorgehen der Erpresser zu beobachten. So wird neben der Verschlüsselung von Daten auch mit der Veröffentlichung von erbeuteten Daten gedroht, um ein Lösegeld zu erpressen. So ist laut der Studie der Anteil, bei denen die Angreifer Daten erfolgreich bei den Opfern verschlüsseln konnten, von 73 Prozent auf 54 Prozent zurückgegangen. Und bei 39 Prozent (im Jahr 2020 waren es 24 Prozent) der weltweit Befragten konnten die Angriffe gestoppt werden, bevor die Kriminellen in der Lage waren Daten zu verschlüsseln. Und sieben Prozent der Teilenehmer haben angegeben, sie seien zur Zahlung von Lösegeld aufgefordert worden, obwohl die Daten nicht verschlüsselt wurden.
So sei laut Sophos nicht eindeutig definiert, was unter einer Ransomware-Attacke zu verstehen sei. Bei Attacken ohne Datenverschlüsselung können dies einerseits daran liegen, dass die Opfer bereits über Anti-Ransomware-Technologien verfügen. Ein anderer Grund ist, dass die Angreifer sich entschlossen haben, Daten nicht zu verschlüsseln, sondern eine finanzielle Gegenleistung für die Nicht-Veröffentlichung zu fordern.
Weltweit haben rund 32 Prozent der betroffenen Unternehmen Lösegeld bezahlt, um wieder auf ihre Daten zugreifen zu können. Jedoch haben nur acht Prozent der Organisationen im Falle einer Zahlung alle Daten zurückbekommen. Rund ein Drittel (29 Prozent) der weltweit befragten Organisationen haben nicht einmal die Hälfte der verschlüsselten Daten zurückbekommen. Zudem hätten Angriffe in der jüngeren Zeit wie etwa im Zuge von DearCry (siehe auch DearCry: Ransomware-Angriffe über Exchange-Schwachstellen) gezeigt, dass Angriffe mit minderwertigen oder überstürzt kompilierten Code die Datenrettung schwierig oder gar unmöglich machten.
Erholung von einem Ransomware-Angriff kann Jahre dauern
Wenn Lösegeld bezahlt wurde, dann betrug dieses bei den befragten Unternehmen durchschnittlich 140.000 Euro. Bei den betroffenen deutschen Unternehmen lag der Durchschnitt bei 110.000 Euro. Gemäß der Studie haben sich die Kosten für die Erholung nach einem Ransomware-Angriff in den letzten zwölf Monaten mehr als verdoppelt. Weltweit liegt dieser Wert durchschnittlich bei 1,53 Millionen Euro, für Deutschland gaben die Befragten eine durchschnittliche Summe von 970.000 Euro an.
„Sich von einem Ransomware-Angriff zu erholen, kann Jahre dauern. Dazu gehört weitaus mehr als nur die Entschlüsselung und Wiederherstellung von Daten“, so Chester Wisniewski, Principal Research Scientist bei Sophos. „Komplette Systeme müssen neu aufgebaut werden und auch die operativen Ausfallzeiten und Auswirkungen auf die Kunden dürfen nicht außer Acht gelassen werden.“
Ransomware-Angriffe würden weder vor Branche noch Unternehmensgröße halt machen, prinzipiell könne es jedes Unternehmen treffen. Es sei wichtig, Schutzmechanismen auf verschiedenen Ebenen einzuführen. Ein wesentlicher Aspekt sei die Verteidigung in die Tiefe, dazu würden neben technischen Maßnahmen insbesondere menschliche Expertise gehören. Diese wäre wichtig, beim Aufspüren von Angriffen, Verschleierungstaktiken und Techniken, die darauf hinweisen, dass ein Angreifer versucht, in die Umgebung einzudringen. So wurden die Teilnehmer der Umfrage, die bislang nicht Opfer von Ransomware-Angriffen wurden, befragt, warum sie erwarten würden, dass dies bei ihnen in Zukunft eintritt. Dabei nannten 47 Prozent der Befragten die immer ausgefeilteren Techniken der Angreifer als Grund.