Sophos: The State of Ransomware 2021 Ransomware wird seltener, aber gezielter

Autor: Melanie Staudacher

Obwohl die Zahl der Ransomware-Angriffe sinkt, sind die Schadprogramme nicht weniger gefährlich. Im Gegenteil! Mit gezielteren Attacken erpressen Cyberakteure Unternehmen und fordern hohe Lösegelder. Sophos erklärt, warum Unternehmen nicht bezahlen sollten.

Firmen zum Thema

Ransomware-Erpressungen sind teuer: Das höchste gezahlte Lösegeld, das in der Sophos-Umfrage genannt wurde, betrug 2,65 Millionen Euro.
Ransomware-Erpressungen sind teuer: Das höchste gezahlte Lösegeld, das in der Sophos-Umfrage genannt wurde, betrug 2,65 Millionen Euro.
(Bild: Andrey Popov - stock.adobe.com)

Ein falscher Klick und Ransomware breitet sich im Netzwerk aus. Kritische Daten sind plötzlich verschlüsselt. Das Geld aus der Forderung der Angreifer ist bezahlt. Und jetzt? Nur acht Prozent der Organisationen, die Opfer eines Ransomware-Angriffs wurden, erhalten ihre Daten wieder. Zu diesem Ergebnis kommt der Security-Hersteller Sophos in der Studie „The State of Ransomware 2021“. Darin befragte Sophos im Januar und Februar 5.400 IT-Entscheider in Organisationen aus 30 Ländern mit 100 bis 5.000 Mitarbeitern.

Zwar sinkt die Zahl der Organisationen, die Opfer einer Ransomware-Attacke waren von weltweit 51 Prozent in 2020 auf 37 Prozent in 2021. Dennoch sei die Lage nicht zu unterschätzen. „Sich von einem Ransomware-Angriff zu erholen, kann Jahre dauern“, sagt Chester Wisniewski, Principal Research Scientist bei Sophos. „Dazu gehört weitaus mehr als nur die Entschlüsselung und Wiederherstellung von Daten. Komplette Systeme müssen neu aufgebaut werden und auch die operativen Ausfallzeiten und Auswirkungen auf die Kunden dürfen nicht außer Acht gelassen werden.“

Sollte das Lösegeld bezahlt werden?

Wie Sophos herausfand, beträgt die durchschnittliche Lösegeldzahlung weltweit 140.000 Euro und in Deutschland 115.000 Euro. Die höchste Lösegeldzahlung, die in der Umfrage genannt wurde, betrug 2,65 Millionen Euro. Zahlungen in Höhe von etwas über 8.000 Euro wurden am häufigsten genannt. Noch höher sind im Durchschnitt die Folgekosten eines Angriffs. Dazu gehören zum Beispiel Produktionsstillstand, verlorene Aufträge und die Neuanschaffung von Geräten. Laut Sophos haben sich die internationalen Durchschnittskosten für die Wiederherstellung der Daten nach einem Angriff in einem Jahr mehr als verdoppelt. Von rund 630.000 Euro in 2020 auf 1,53 Millionen Euro in 2021.

Für viele Unternehmen mag die Aussicht darauf, die Daten wiederzubekommen, es wert sein, das hohe Lösegeld zu bezahlen. Doch neben den nur 8 Prozent, die alle Daten nach der Zahlung wieder erhielten, sind es 29 Prozent, die maximal die Hälfte der verschlüsselten Daten zurück bekamen. Wisniewski warnt: „Zahlen lohnt sich nicht. Obwohl mehr Organisationen Lösegeld zahlen, bekommt nur eine Minderheit der Zahlenden die Daten komplett zurück. Das könnte zum Teil daran liegen, dass die Nutzung von Entschlüsselungs-Keys zur Wiederherstellung kompliziert ist. Und selbst wenn die Hacker nach der Lösegeldzahlung den Code für die verschlüsselten Daten herausrücken, ist das keine Garantie für die erfolgreiche Wiederherstellung.“

Weltweit 2020 Weltweit 2021 Deutschland 2020 Deutschland 2021
Zahl der Opfer 51 % 37 % 57 % 46 %
Ø Wiederherstellungskosten 630.000 € 1,53 Mio € 390.000 € 970.000 €

„Der Rückgang der betroffenen Organisationen ist eine gute Nachricht, wird aber durch die Tatsache beeinträchtigt, dass diese Zahl zumindest teilweise, Änderungen im Verhalten der Angreifer widerspiegelt“, sagt Wisniewski. „Wir haben beobachtet, wie Angreifer von groß angelegten, generischen und automatisierten Angriffen zu gezielteren Angriffen übergehen. Während die Gesamtzahl niedriger ist, zeigt unsere Erfahrung, dass das Schadenspotenzial dieser zielgerichteten Angriffe weitaus höher ist. Sich von derartigen Attacken zu erholen, ist viel aufwendiger, was sich in den verdoppelten Kosten für die Wiederherstellung der Daten abbildet.“

Bildergalerie

Schutz vor Ransomware

Der Studie zufolge gaben 54 Prozent der IT-Entscheider weltweit und 51 Prozent in Deutschland an, dass die Cyberattacken zu fortgeschritten seien, als dass ihre IT-Abteilung diese alleine handhaben können. Deswegen hat Sophos sechs Tipps zusammengestellt, mit denen Unternehmen sich vor Ransomware schützen können:

  • Jeden kann es treffen: Ransomware bleibt weit verbreitet und macht weder vor Sektor, Land noch Unternehmensgröße Halt. Jede Organisation sollte sich auf dieses Szenario vorbereiten, um im Ernstfall handlungsfähig zu bleiben.
  • Backups nach Industriestandards: Laut der Studie stellen die meisten Organisationen ihre Daten nach einer Attacke wieder aus ihren Backups her. Dabei sollte der Industrie-Standard 3:2:1 berücksichtigt werden. Das bedeutet: dreifaches Backup, zwei unterschiedliche Medien und eins davon offline aufbewahren.
  • Schutzschichten einrichten: Da immer mehr Ransomware-Angriffe auch Erpressung beinhalten, ist es wichtiger denn je, die Gegner von vornherein fernzuhalten. Deshalb sollten Unternehmen Schutzmechanismen auf verschiedenen Ebenen verwenden, um Angreifer zu blocken.
  • Menschliche Expertise in Kombination mit Anti-Ransomware-Technologie: Der Schlüssel, um Ransomware zu stoppen, ist die Verteidigung in der Tiefe. Dabei werden dedizierte Anti-Ransomware-Techniken mit von Menschen durchgeführtem Threat Hunting verbunden. Die Technologie liefert Skalierung und Automation, während menschliche Expertise wichtig ist beim Entdecken von Verschleierungstaktiken, Techniken und Verfahren der Angreifer. Hat man diese Fähigkeiten nicht im Haus, bieten spezialisierte Security Operations Center (SOC) Unterstützung für Organisationen verschiedener Größen.
  • Niemals Lösegeld zahlen: Lösegeldzahlung ist laut Sophos der ineffektivste Weg, um Daten zurückzubekommen. Wer dennoch bezahlen möchte, sollte im Hinterkopf behalten, dass die Gegner im Durchschnitt nur bis zu Zweidrittel der Dateien wiederherstellen.
  • Einen Recovery Plan haben: Der beste Weg, eine Cyberattacke nicht zu einem kompletten Datenverlust werden zu lassen, ist ein vorab erstellter und jederzeit greifbarer Notfallplan.

(ID:47383114)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH