Ransomware: Zahlen oder nicht zahlen?

Anzeige

Illustration: Absmeier, AaronJOlson

In jüngster Zeit sind wieder etliche Ransomware-Vorfälle, gerade bei den Krankenhäusern, publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma »zahlen oder nicht zahlen« im Vorfeld eines Angriffs an?

Dazu haben wir mit Boris Cipot, Senior Sales Engineer Synopsys, gesprochen.

 

Wie werden sich die unterschiedlichen Formen von Ransomware-Angriffen vermutlich weiterentwickeln (Abziehen von Daten, kriminelle Auktionsseiten, Public Shaming, Auswirkungen auf die Berichterstattung nach DSGVO usw.) und welches Risiko bergen sie für Unternehmen?

»Ransomware hat sich erheblich weiterentwickelt, und das wird sie auch weiterhin tun. Zumindest solange man damit Geld verdienen kann. Nehmen Sie die Reveton Ransomware als Beispiel. Sie beginnt mit Datenverschlüsselung und sperrt den betreffenden Computer, bis das Lösegeld gezahlt wird. Reveton war in verschiedenen Sprachen lokalisiert, auf lokale Informationen abgestimmt und bot sogar lokale Zahlungsoptionen, um digitale Zahlungen zu ermöglichen. Später kamen Bitcoins hinzu. Darüber hinaus hat sich Ransomware vom einfachen Prinzip des »Ein Verschlüsselungsschlüssel für alle!« endgültig verabschiedet. Hatten Experten dann nämlich den Schlüssel einmal identifiziert, wurde er veröffentlicht und allen Betroffenen zugänglich gemacht. Heute wird ein dynamisch zugewiesenes Schlüsselsystem verwendet, das »unmöglich« oder zumindest extrem schwer zu knacken ist. Diese Entwicklungen gäbe es nicht, wenn Ransomware für die Angreifer nicht ausreichend lukrativ wäre. Unternehmen müssen sich darüber im Klaren sein, dass sie im Fokus von Angriffen bleiben. Und darüber, dass Ransomware so weiterentwickelt werden wird, dass sie maximalen Gewinn verspricht.

 

Wie gehen CISOs und Vorstände das Dilemma »zahlen oder nicht zahlen« im Vorfeld eines Angriffs an? 

»Das hängt davon ab, was auf dem Spiel steht. Wenn sich der Angreifer Zugang zu wertlosen Daten verschafft hat, kann ein Unternehmen es sich vermutlich sparen, ein Lösegeld zu zahlen. Wenn es sich bei den Daten aber um geistiges Eigentum des Unternehmens handelt, wird die ohnehin schwierige Diskussion noch komplizierter. Man muss die gesamte operative Struktur bedenken, die mit dem jeweiligen Angriff verbunden ist. Werden die Daten gebraucht, damit das Unternehmen seine Geschäftstätigkeit aufrechterhalten kann? Sind Kunden und / oder Partner betroffen? Spielen Kunden und/oder Partner eine Rolle bei der Entscheidung? Dieses Dilemma lässt sich nicht einfach mit Ja oder Nein aus der Welt schaffen und hängt nicht zuletzt auch vom geforderten Betrag ab.«

 

Was passiert, wenn ein Unternehmen sich entschließt, kein Lösegeld zu zahlen? Welche Schritte zur Wiederherstellung muss man bei einer fortgeschrittenen Bedrohung einkalkulieren?

»Wenn es bei der Wiederherstellung nur darum geht, verlorene Daten aus einem Backup abzurufen, das vor einigen Stunden oder einem Tag erstellt worden, haben wir quasi das Best-Case-Szenario vor uns. Wenn die Daten jedoch in irgendeiner Weise mit anderen Personen verbunden sind oder vertrauliche Informationen über Kunden und Partner (wie Benutzernamen, Passwörter, Verträge usw.) preisgeben, ist der Weg zur Wiederherstellung deutlich schwieriger. Bei der Wiederherstellung nach einem Angriff geht es ja nicht nur darum, die Daten wiederherzustellen, sondern auch den Ruf des Unternehmens. Mit der Wiederherstellung beseitigen Sie gleichzeitig die Gefahren, die eine Datenschutzverletzung dieser Art für alle betroffenen Parteien, inklusive von Kunden und Partnern, mit sich gebracht hat.«

 

Gibt es Anhaltspunkte für die Ansicht auf den Vorstandsetagen, ein »Lösegeldtopf« sei die bessere, einfachere oder billigere strategische Option als in adäquate Sicherheitsmaßnahmen zu investieren?

»Meines Wissens nach nicht, und das sollte auch so bleiben. Wenn Daten nicht ausreichend geschützt werden, stellt das die gesamte Existenz des Unternehmens in Frage. Sie möchten ja selbst entscheiden, welche Daten weniger schützenswert sind als andere und bei denen man das Risiko einer Veröffentlichung eingehen kann. Das hält einen Angreifer aber letztlich nicht ab, wertvolle Kundendaten oder geistiges Eigentum ins Visier zu nehmen und damit entsprechend hohe Lösegeldforderungen zu verbinden. Sich auf eine solche Strategie zu verlassen, ist absurd. Unternehmen sollten ihre Infrastruktur, ohne Wenn und Aber schützen.«

 

Wie entscheidet ein Unternehmen, ob es nach einem erfolgreichen Angriff zahlt oder nicht, unabhängig von der Strategie vor dem Angriff? Und wie gestaltet sich der Prozess der Vorfallsreaktion bis zu dem Punkt, an dem die Entscheidung für die Lösegeldzahlung fällt? 

»In Fällen, bei denen eine einzelne Person zum Opfer geworden ist, wird das Lösegeld normalerweise gezahlt, um eine öffentliche Demütigung zu vermeiden. Wenn größere Organisationen Opfer einer Ransomware-Attacke geworden sind (etwa Städte, Universitäten, Unternehmen) und das Lösegeld hoch ist, sollten professionelle Vermittler und Verhandlungsführer in die Diskussion einbezogen werden. Wenn viel auf dem Spiel steht, muss man die letztendlich erfolgreiche Bekämpfung eines Angriffs gewährleisten können. Außerdem ist der Prozess weit komplexer als nur das Lösegeld zu zahlen und die Geschäfte wie gewohnt weiterzuführen. Man muss untersuchen, wie es zu dem Angriff gekommen ist, und dafür sorgen, dass alle, die gefährdet sind, benachrichtigt werden, und man sollte Maßnahmen zur Behebung erwägen, um weitere Sicherheitsverletzungen zu vermeiden. Eine zusätzliche wichtige Überlegung ist, ob die Daten lediglich verschlüsselt und unlesbar gemacht worden sind, oder die Daten heruntergeladen wurden und sich somit in den Händen des Angreifers befinden. Nicht selten veröffentlicht ein Angreifer einige der betreffenden Daten, um die Glaubwürdigkeit des Angriffs zu belegen.«

 

Angenommen, ein Unternehmen hat sich entschlossen zu zahlen – wie sieht das aus Sicht der Incident Response aus und wie läuft eine Ransomware-Verhandlung in der Realität ab?

»In jedem Fall (unabhängig davon, ob das Lösegeld bezahlt wurde oder nicht) muss man angemessen mit dem Vorfall gehen. Dafür gibt es Regeln. Das Opfer muss den Angriffsvektor identifizieren, Schwachstellen beheben und alle Betroffenen benachrichtigen. All das muss innerhalb eines gesetzlich festgelegten Zeitrahmens geschehen. Bei weitreichenderen Vorfällen werden in der Regel externe Berater zu Rate gezogen.«

 

Kann man sich darauf verlassen, dass die Entschlüsselung funktioniert, und zwar so, dass eine ordnungsgemäße Protokollierung und forensische Beweissicherung möglich ist und man sicherstellen kann, dass die Daten nicht durch schlechte Kodierung beschädigt wurden?

»Man kann nie zu 100 % sicher sein, dass alle Schlüssel zur Freigabe der Daten funktionieren. Während des Verschlüsselungsprozesses können Fehler auftreten, die zu beschädigten Dateien oder Daten führen.«

 

Kann man Cyberkriminelle beim Wort nehmen, dass gestohlene Daten gelöscht und nicht verkauft oder weiter genutzt werden? 

»Hier sprechen Sie ein großes Dilemma an. Eine Möglichkeit, es zu betrachten, ist das Geschäftsmodell des Angreifers. Wenn der Angriff nicht funktioniert, wird er zukünftige Kunden verlieren. Sein Ziel ist es, Geld zu verdienen. Daher sollten Unternehmen nicht auf professionelle Verhandlungsführer und Vermittler verzichten. Sie wissen, wie man mit solchen Situationen umgeht und wie man die Bedingungen der Vereinbarung am besten verhandelt.«

 

Wie sieht es mit der ethischen Seite solcher Verhandlungen aus? Ist das nicht eine Einladung zu weiteren Angriffen, die man dann sogar mitfinanziert

»Sich von einem Angriff zu erholen, ist eine Möglichkeit, Resilienz für zukünftige Angriffe aufzubauen. Wenn ein Angreifer eine neue Technik eingesetzt hat, um sich in den Besitz der Daten seiner Opfer zu bringen, sollte man diese Erkenntnisse über alle geeigneten Sicherheitskanäle verbreiten, um ähnliche Angriffe zu verhindern. Leider werden die gewonnenen Erkenntnisse längst nicht immer einbezogen. Wir haben oft genug Fälle beobachtet, bei denen Daten aufgrund einer Fehlkonfiguration im System ungeschützt waren. Dadurch war es den Angreifern möglich mit erweiterten Zugriffsberechtigungen innerhalb der kompletten Infrastruktur zu operieren.«

 


 

Ransomware: Umfangreiche und verheerende Bedrohung

 

In den USA kämpfen Krankenhäuser aktuell mit einer Welle von Ransomware-Angriffen. Dazu ein Kommentar von Sandra Joyce, Executive VP und Head of Mandiant Threat Intelligence (eine Einheit von FireEye.

 

»Ransomware ist eine Bedrohung, die wir nicht länger ignorieren dürfen, sie gerät zunehmend außer Kontrolle. Die Hacker, die hinter Ransomware-Kampagnen stehen, schalten mittlerweile die kritischsten Ziele aus. Die Angriffe sind nicht mehr nur eine Herausforderung, sondern so umfangreich und verheerend, dass wir sie nicht länger als bloßes Ärgernis oder Geschäftsrisiko betrachten sollten – sie sind eine ernsthafte Bedrohung für die globale Sicherheit.

Die Covid-19-Pandemie hat die Gefahr von Ransomware deutlich gemacht. Die Bedrohung für Krankenhäuser und ihre Patienten wächst durch den aktuellen Anstieg der Infektionen, der die Krankenhäuser überlastet und wenig Raum für Fehler lässt. Forschungslabors, die an der Entwicklung von Impfstoffen und Therapien arbeiten, wurden ebenfalls ins Visier genommen. Obwohl die Verfügbarkeit dieser Infrastrukturen entscheidend ist, um weltweit menschliches Leid zu lindern, haben einige skrupellose Ransomware-Betreiber keine Zurückhaltung gezeigt. Auch Cyberspionage-Kampagnen aus Russland, Iran und China haben es auf diese Organisationen abgesehen, aber wir bezweifeln, dass letztere die Frechheit hätten, sie mit Ransomware zu blockieren. Ein weiterer beunruhigender Trend, den wir beobachten, ist eine zunehmende Bedrohung der operativen Netzwerke (OT-Netzwerke), die die industriellen Prozesse in unseren kritischen Infrastrukturen steuern.

Destruktive Cyberangriffe staatlicher Akteure erfahren zu Recht große Aufmerksamkeit – Russland, Iran und Nordkorea haben alle Interesse gezeigt, kritische Infrastrukturen anzugreifen und unseren Alltag sowie unsere Lebensgrundlage zu stören. Die weitaus größere Gefahr geht im Augenblick jedoch von Ransomware-Betreibern aus. Diese wird unserer Meinung nach weiter wachsen und sich weiterentwickeln.«

 

270 Artikel zu „Ransomware Lösegeld“

Unveränderbare Backups – Effektive Strategie gegen immer raffiniertere Ransomware

Allein die Erwähnung von Ransomware reicht aus, um dem erfahrensten IT-Profi Schauer über den Rücken zu jagen. Ransomware-Angriffe nehmen in einem noch nie dagewesenen Ausmaß zu, ebenso wie der Grad ihrer Ausgereiftheit. Dazu gehören der Einsatz von Methoden zum Diebstahl von Zugangsdaten und mehrstufige Angriffe, die von einem einzigen anfänglichen Exploit an zu weitreichenden Störungen…

Vier entscheidende Strategien für den Ransomware-Schutz

  Zentralisierte Sicherheitstechnologie 3-2-1 Backup-Strategie Aktualisierte Betriebssysteme und Software-Versionen Sensibilisierung aller Mitarbeiter für das Sicherheitsthema   Arcserve warnt vor der gestiegenen Bedrohung durch Ransomware und stellt einen Strategiefahrplan zum Schutz vor Cyberattacken vor. Ransomware ist seit der Corona-Krise zu einer noch größeren Bedrohung für die Cybersicherheit von Unternehmen geworden. Der Schaden, der durch diese Art…

Ransomware-Attacken: Mehr als 1000 Euro pro Kunde

Die Summe, die Unternehmen betroffenen Kunden zahlen sollten, könnte sich auf Hunderte von Millionen Dollar belaufen. Verbraucher fordern, dass Unternehmen Hackern auf keinen Fall Lösegeld zahlen, aber sie erwarten das Gegenteil, wenn ihre eigenen Daten kompromittiert wurden. Veritas Technologies, ein Unternehmen im Bereich Datensicherung und Datenverfügbarkeit, hat deutsche Verbraucher zum Thema Ransomware befragt [1]. Demnach…

Ransomware: Gestern, heute und morgen

Gezielte Ransomware-Angriffe nehmen weiter zu und sie werden noch schlimmer. Ein einziger Ransomware-Angriff kann ein Unternehmen komplett lahmlegen. Bei Ransomware ist nach wie vor der menschliche Faktor das größte Problem.   Fortinet brachte drei Mitglieder seines FortiGuard Labs-Teams – Derek Manky, Aamir Lakhani und Douglas Santos – zu einem digitalen Interview über Ransomware zusammen. Zu dritt diskutierten…

Deutlicher Zusammenhang zwischen Ransomware, Kaufverhalten und Markentreue der Verbraucher

  Umfrage deckt auf, dass Verbraucher in der Regel Unternehmen meiden, die bereits einen Cyberangriff erlebt haben. Konsumenten tolerieren keine durch Ransomware verursachten Service-Unterbrechungen oder Sicherheitsverletzungen. Mehrheit der Verbraucher wendet sich bereits nach einer einzigen fehlgeschlagenen Online-Transaktion oder unzulänglichen Informationen an Konkurrenzanbieter.   Arcserve veröffentlichte die Ergebnisse einer neuen Studie, die den Einfluss von Cyberkriminalität…

Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…

Doppelte (Ver)Sicherung gegen Ransomware

Ransomware-Attacken bedrohen unter anderem durch Verschlüsselung den Zugriff von Informationen, Systemen und Unternehmensabläufen. Gerade bei einem solchen Angriff auf deren Verfügbarkeit schützen Backup und IT-Sicherheit nur in der Kombination. Ransomware scheint die Bedrohung »der Stunde« zu sein. Nicht nur die Schlagzeilen deuten darauf hin. Auch Entscheider sehen die Gefahr: Laut einer Arcserve-Umfrage rechnen 80 %…

Der unaufhaltsame Aufstieg der Ransomware

Angriffe mit Ransomware haben in den letzten Jahren massiv zugenommen. Jüngste Opfer sind die Verlagsgruppe Heise und die Stadtverwaltung Baltimore. Die Methode hat sich aus Sicht der Cyberkriminellen bewährt, genügend Firmen geben der Erpressung nach und zahlen das geforderte Lösegeld. Ein Ende ist noch lange nicht in Sicht. Unternehmen können allerdings mit Hilfe von Applikations-Isolation…

BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige…

Gefahr durch Ransomware

Medienberichten zufolge wurde der norwegische Aluminiumhersteller Norsk Hydro Opfer einer Cyberattacke mit Ransomware, die gravierende Auswirkungen auf die Produktion des Unternehmens hat. Wie akut die Bedrohung für Unternehmen durch Ransomware ist, belegt auch eine Befragung des Technologieunternehmens Datto unter 300 IT-Dienstleistern aus ganz Europa.   Einige der wichtigsten Ergebnisse der Untersuchung:   92 % der…

Jeder dritte Onliner hat Angst vor Ransomware

Bekanntheit von Verschlüsselungsattacken steigt. Nur wenige machen Sicherheitskopien ihrer Daten. Geld her oder Daten weg – das ist das Prinzip von sogenannter Ransomware. So werden Schadprogramme bezeichnet, die Kriminelle über das Internet verbreiten und damit Daten auf den Endgeräten von Verbrauchern verschlüsseln. Anschließend fordern die Angreifer ihre Opfer zur Zahlung eines Lösegeldes auf, ohne die…

Ransomware as a Service: Cybererpressung auf Bestellung

Geschäftsmodell Satan & Co.     CryptoLocker, GoldenEye, Locky, WannaCry – Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware as a Service (RaaS) rasch ein lukratives Geschäftsmodell…

Ransomware: Zahlungsbereitschaft hat sich mehr als versechsfacht

Angriffe durch Ransomware sind im Vergleich zum Vorjahr gesunken, zugleich ist die Zahlungsbereitschaft der Unternehmen jedoch deutlich gestiegen, so das Ergebnis einer neuen Barracuda-Umfrage bei rund 630 Organisationen weltweit, davon 145 Unternehmen aus EMEA. In der neuen Ransomware-Umfrage gaben rund ein Drittel (30 Prozent) der Unternehmen an, Opfer eines Ransomware-Angriffs geworden zu sein. Damit verzeichnet…

Ransomware der Dinge: Das IoT-Gerät als Geisel

Die weltweite Vernetzung schreitet kontinuierlich voran, allerdings schaffen die wechselseitigen Abhängigkeiten des digitalen Zeitalters auch eine neue Angriffsfläche für Cyberkriminelle. Leider verzeichneten die letzten Jahre unrühmliche Meilensteile in der Entwicklungsgeschichte des Internet of Things: So war Ende 2016 das erste Mal ein groß angelegter Cyberangriff in Form der Mirai-Malware erfolgreich, der hunderttausende IoT-Geräte wie Router,…

Unternehmen investieren immer weniger IT-Budget in Sicherheit und bezahlen eher Lösegeldforderungen

Nicht einmal jedes zweite deutsche und österreichische Unternehmen stuft seine eigenen kritischen Daten als »vollständig sicher« ein. So lautet ein beunruhigendes Ergebnis des aktuellen Risk:Value-Reports [1]. Die Investitionen in die IT-Sicherheit bleiben aber ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die Unternehmen sind eher bereit, auf Lösegeldforderungen im Falle einer Ransomware-Attacke einzugehen. Den Risk:Value-Report erstellt…

Ransomware: 70 Prozent der großen Unternehmen in Deutschland von Erpresser-Malware betroffen

Ransomware-Angriffe kosten große Unternehmen durchschnittlich 750.000 Euro. Angriffe mit Erpresser-Malware haben sich zu einem kostspieligen Massenphänomen entwickelt, wie eine Studie nun offenbart [1]. 70 Prozent und damit fast drei Viertel der Unternehmen mit mehr als 1000 Mitarbeitern in Deutschland wurden in den vergangenen zwölf Monaten demnach Opfer eines Ransomware-Angriffs. Der Großteil der Unternehmen wurde dabei…

IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise

Cyberkriminalität ist längst zu einem äußerst lukrativen Geschäftsmodell geworden. In seinen Vorhersagen für IT-Sicherheit 2018 hat der IT-Sicherheitsanbieter Trend Micro die Vorgehensweise künftiger Angriffe untersucht, damit Unternehmen sich besser vor diesen schützen können.

Sicherheit vor Ransomware: Prävention statt Reaktion

Aufgrund der fortschreitenden Digitalisierung ändert sich auch die Arbeitsweise in Unternehmen. Mobile Geräte wie Smartphones und Tablets gehören längst zum beruflichen Alltag. Hacker passen ihre Vorgehensweise an diese moderne Arbeitsweise an. Mit gezielten Cyberattacken sind sie zunehmend in der Lage, herkömmliche Schutzsysteme zu umgehen. Der französische Cybersecurity-Experte Stormshield informiert auf seinem Unternehmensblog über die perfiden…

Tipps zur Ransomware-Prävention – Online-Erpressern in 2018 nicht auf den Leim gehen

Datenschutz und Cybersicherheit sind beileibe kein neues Thema. Mit »Security and Privacy in Computer Systems« erschien bereits 1967 die erste Abhandlung zum Thema. Cybersicherheit und Privatsphäre wurden also seit Beginn der vernetzten Computer diskutiert. Seither hat sich das Thema dramatisch verschärft, und entwickelt sich weiter rasant – aus verschiedenen Gründen. So wurde beispielsweise im Jahr…

Mehrheit hat noch nie etwas von Ransomware gehört

■  Nur 4 von 10 Internetnutzern wissen von Erpressung durch Schadprogramme. ■  Bitkom: Bei digitaler Erpressung sollte man nicht zahlen.   Der Computer startet, doch statt der gewohnten Oberfläche erscheint ein roter Bildschirm mit dem Hinweis, die Daten auf dem Gerät seien verschlüsselt worden und würden nur gegen Zahlung von 300 US-Dollar wieder freigegeben. Im…

Ransomware-Trends für 2017: Mehr als ein Viertel der Opfer waren Unternehmen

Mehr als ein Viertel (26,2 Prozent) aller im Jahr 2017 von Kaspersky Lab verhinderten Ransomware-Angriffe haben es weltweit auf Unternehmen abgesehen [1]. Das entspricht einem Zuwachs von 3,6 Prozentpunkten im Vergleich zum Vorjahr 2016 (22,6 Prozent). Der Grund für die Steigerung: Organisationen weltweit hatten aufgrund der drei großen Angriffswellen WannaCry, ExPetr und BadRabbit verstärkt mit…

Ransomware-Whitepaper: Wie sich Unternehmen gegen Schadsoftware wappnen

Cyberattacken durch Ransomware nehmen immer weiter zu: Circa 49 Prozent der Unternehmen weltweit waren im Jahr 2016 mit mindestens einer Online-Erpressung konfrontiert – 39 Prozent davon wurden mithilfe von Ransomware erpresst, wie die Studie »Ransomware: The Pervasive Business Disruptor« [1] belegt. Um Unternehmen über den richtigen Umgang mit Schadsoftware aufzuklären, haben die beiden IT-Unternehmen das…