67% der deutschen Unternehmen von Ransomware betroffen

Cyberattacken: Lösegeldzahlungen zu riskant

49561

Cyber-Attacken auf Unternehmen : Löse­geld zahlen, ja oder nein? Interview von Hasso Suliak 08.09.2022 Daten zurück nur gegen Lösegeld: Die Wirtschaft fürchtet massiv sich vor Ransomware-Angriffen. Bild: picture alliance/dpa | Silas Stein

Branchenverband und Verfassungsschützer schlagen Alarm: Unternehmen werden Opfer von Datendiebstahl, Spionage oder Sabotage. Besonders gefürchtet: Angriffe mit Lösegeldforderungen. OStA und "Cybercrimer" Frank Lange dazu im Gespräch.

Anzeige

LTO: Vergangene Woche gab es in Berlin eine ungewöhnliche Pressekonferenz: Der Digitalverband Bitkom und der Präsident des Verfassungsschutzes präsentierten gemeinsam Zahlen zur Cyberkriminalität. Danach ist den deutschen Unternehmen 2021/2022 ein Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage entstanden. In den Jahren 2018/2019 waren es erst 103 Milliarden Euro. Überrascht Sie die Entwicklung?

OStA Frank Lange: Ganz und gar nicht. Laut der Bitkom-Studie wird praktisch jedes Unternehmen in Deutschland in irgendeiner Form Opfer von Cyberattacken. Angriffe aus Russland und China sind zuletzt sprunghaft angestiegen.

Erpressungstrojaner in Form sogenannter Ransomware (deutsch: Lösegeld) sind dabei in den letzten Jahren zu einer kostspieligen Bedrohung für Unternehmen geworden. Wir können hier auch von einer enormen Dunkelziffer ausgehen. Denn aus Sorge vor einem Reputationsschaden sprechen Unternehmen über derartige Angriffe nicht gern. Strafverfolgungsbehörden werden dann gar nicht erst eingeschaltet und Lösegelder "heimlich" bezahlt.

"Doppelte Erpressung"

Wie funktionieren diese Ransomware-Angriffe?

Hacker attackieren mit einem Verschlüsselungs-Trojaner die IT-Systeme eines Unternehmens. Sie wollen die gesperrten Rechner erst wieder freigeben, wenn sie Lösegeld bekommen. Die Trojaner befinden sich zumeist in Anhängen von Emails, die dem Empfänger suggerieren, sie kämen von einem seriösen Absender, z.B. einem Geschäftspartner.

In einem Fall, den 2021 der Bundesgerichtshof (BGH) zu entscheiden hatte, hatten die Täter Werbung auf verschiedenen Internetseiten geschaltet, klickt man das an, hat sich eine Schadsoftware selbstständig auf den Rechnern der Opfer installiert (Beschl.v.08.04.2021, Az.1 StR 78/21). Mit Hilfe dieser Software wurde dann ein Sperrbildschirm angezeigt, der in der jeweiligen Landessprache der Opfer zur Zahlung einer bestimmten Summe aufgefordert hatte, damit das System wieder entsperrt würde.

Strafrechtlich handelt es sich dabei in der Regel um Computersabotage und um Erpressung, sogar eine doppelte ("Double Extortion"). Gedroht wird nicht nur mit dem Verlust der Daten, sondern es auch damit, eine Kopie der Daten zu veröffentlichen.

"Wie der kleine Finger des Entführungsopfers"

Sie haben acht Jahre die Zentralstelle Cybercrime für den Bezirk der Generalstaatsanwaltschaft Celle geleitet und viel Erfahrung mit der Verfolgung dieser Angriffe gesammelt. Wie übermitteln die Täter ihre Lösegeldforderung?

Nachdem die Täter das System "gekapert" und die Daten verschlüsselt haben, versenden Sie als Beleg, dass sie hinter dem Angriff stecken, quasi den kleinen Finger des Entführungsopfers: In diesem Fall ein Code, mit dem sich ein kleiner Teil der verschlüsselten Daten wiederherstellen lässt.

Auf dem Deutschen Anwaltstag in Hamburg haben Sie kürzlich Empfehlungen abgegeben, wie man im Fall eines Ransomware-Angriffes Beweise sichert und mit Ermittlungsbehörden zusammenarbeitet. Empfehlen Sie Opfern die Zahlung von Lösegeld?

Auf die Zahlungsaufforderungen sollte nicht eingegangen werden, weil man damit kriminelle Akteure unterstützt und weitere Straftaten finanziert.

Zudem: Wer zahlt, der wird ein attraktives Ziel für weitere Angriffe. Und natürlich ist es nicht garantiert, dass die verschlüsselten Daten tatsächlich wiederhergestellt werden, wenn man gezahlt hat. In dem angesprochenen BGH-Fall kam es übrigens auch nach einer Zahlung nicht zu einer Entsperrung der Websites.

Lösegeldversicherung verbieten?

Laut einer Studie des Sicherheitsdienstleisters Sophos zahlen aber rund 42 Prozent aller deutschen Unternehmen das geforderte Lösegeld, im Schnitt über 250.000 Euro - trotz gegenteiliger Empfehlungen von BSI und BKA. Es gibt sogar Unternehmens-Versicherungen, die solche Lösegeld-Zahlungen abdecken. In einem offenen Brief forderten IT-Experten von der Politik das Verbot solcher Versicherungsprodukte. Zu Recht?

Das ist eine politische Entscheidung. Ein Verbot der Versicherungen würde vor dem Hintergrund des Grundrechtseingriffs und der Frage nach der Proportionalität einer genauen Prüfung und Abwägung bedürfen. Zudem würde ein solches Verbot nicht verhindern, dass Unternehmen Lösegeld selbst zahlen.

Ich habe auch meine Zweifel, ob diese Produkte wirklich so viel bringen. Denn nach meiner Kenntnis wird die Leistungspflicht des Versicherers oft erst dann ausgelöst, wenn das Unternehmen alle möglichen, vom Versicherer vorgeschriebenen IT-Sicherheitsvorkehrungen eingehalten hat. Hat es das, sind auch Ransomware-Attacken oft nicht erfolgreich.

Laut der Polizeilichen Kriminalstatistik PKS lag die Aufklärungsquote für Cybercrime-Delikte im Jahr 2021 bei 29,3 Prozent. Klingt nicht sehr erfolgversprechend.

Ich kenne keinen Deliktsbereich, in denen Ermittler einen derart langen Atem haben müssen. Und oft ist es auch so, dass man den konkreten Fall, der den Anlass für das Tätigwerden gibt, gar nicht nachweisen kann, weil die Ermittlungen so langwierig sind. Man stößt dann aber im Verlaufe der Ermittlungen immer wieder auf kriminelle Strukturen, die für andere Angriffe verantwortlich sind, die dann nachgewiesen werden können, weil die Ermittler schon "nah dran" sind, wenn die Tat begangen wird und deshalb die Spuren frisch sind.

Schwierigkeiten bereitet auch, dass man es bei diesen Taten oft nicht mit einem klar definierten Täterkreis, z.B. einer Bande, zu tun hat. Im Bereich von Cyberattacken agieren viele Einzelpersonen, die ihre unterschiedlichen kriminellen Fähigkeiten im Darknet als Service anbieten. Heißt: Hinter einer großangelegten Ransomware-Attacke befindet sich in aller Regel ein Netzwerk. Für Ermittler gilt daher: "Man braucht ein Netzwerk, um ein Netzwerk zu bekämpfen."

"Ermittlungserfolg: Ein Strafverfahren irgendwo auf der Welt"

Wie meinen Sie das?

Nun, unsere auf diesen Bereich spezialisierten Staatsanwältinnen und -anwälte in den Zentralstellen der Bundesländer sind auf gute Kontakte zu Eurojust, Europol und den Ermittlungsbehörden in den Staaten, in den die Täter sitzen, angewiesen.

Der Erfolg eines Strafverfahrens wegen Cybercrime im engeren Sinne bemisst sich weniger daran, dass hier ein Täter vor Gericht gestellt wird, sondern dass er überhaupt - irgendwo auf dieser Welt - vor Gericht gestellt wird. Zudem gelingt immer wieder die Zerschlagung von Strukturen mit strafrechtlichen Mitteln bzw. - wie ich es nenne - die Beschlagnahme von Tatwerkzeugen.

Haben Sie ein Beispiel?

Anfang des Jahres hatten deutsche und internationale Polizeibehörden den VPN-Anbieter VPNLab vom Netz genommen und dessen Domain beschlagnahmt.

Der Service wurde für die Koordinierung von Ransomware-Angriffen und der Verbreitung von Schadsoftware genutzt. An dem Einsatz gegen den Dienst waren Strafverfolger aus den Niederlanden, Kanada, der Tschechischen Republik, Frankreich, Ungarn, Lettland, der Ukraine, dem Vereinigten Königreich und den USA beteiligt. Begonnen hatten die Ermittlungen nach einem Ransomware-Angriff auf die Stadtverwaltung von Neustadt am Rübenberge im August 2019. Geleitet wurde die Operation von der Polizei Hannover. Gefeiert wurde der Ermittlungserfolg am Ende weltweit.

"Arbeitssprache russisch"

Was wissen Sie aus Ihrer Erfahrung über die Täter?

Auch wenn das verwendete Coding oft in Englisch verfasst ist, ist die Arbeitssprache bei diesen Delikten häufig russisch. Das besagt aber nicht automatisch, dass die Täter aus Russland kommen, sondern auch aus der Ukraine oder anderen Staaten Osteuropas. Dort finden sich bestens ausgebildete Informatiker, für die der heimische Arbeitsmarkt nicht die passenden Jobs bereithält – die Welt der Cybercrime ist daher für sie attraktiv, es lässt sich viel Geld verdienen und das bequem von Zuhause aus.

Die Unternehmen erwarten in den kommenden zwölf Monaten eine weitere Zunahme von Cyberangriffen. Die Betreiber kritischer Infrastruktur stellen sich sogar auf noch heftigere Attacken ein. Ist ihre Sorge übertrieben, nachdem laut der Bitkom-Studie im Vergleich zum Rekordjahr 2021 bei Ransomware-Attacken ein deutlicher Rückgang zu verzeichnen ist?

Nein, die Sorge ist nicht übertrieben. Ich halte es für gut möglich, dass der Rückgang nur ein vorübergehendes Phänomen ist und auch auf den Ukraine-Krieg zurückzuführen ist. Schließlich sind die früher guten Verbindungen zwischen Hackern in Russland und der Ukraine nun einmal augenblicklich gestört bzw. unterbrochen. Aber ist nur eine Frage der Zeit bis sich neue Netzwerke bilden.

Frank Lange ist Oberstaatsanwalt. Derzeit ist er an das Niedersächsische Justizministerium abgeordnet und als Referatsteilleiter für die Digitalisierung des Strafverfahrens und die Informationssicherheit der Niedersächsischen Justiz verantwortlich. Zuvor leitete Lange acht Jahre die Zentralstelle Cybercrime für den Bezirk der Generalstaatsanwaltschaft Celle, die bei der Staatsanwaltschaft Verden angesiedelt ist. Sie ist zuständig für die Bekämpfung ausschließlich schwerer Internetkriminalität.

Die dunkle Seite der Digitalisierung

Vor allem für IT gilt: Better safe than sorry

Der Handlungsbedarf zeichnete sich schon vor der Pandemie ab, mit dem Home-Office wurde er unübersehbar und er ist weiterhin akut. Doch laut einer CapGemini-Studie nannten nur 22 Prozent der Geschäftsleitungen in der DACH-Region die Erhöhung der Datensicherheit als wichtigste Anforderung an die IT im Jahr 2021, für über 70 Prozent stand der Ausbau der Digitalisierung an erster Stelle. Dennoch stiegen die Ausgaben für Sicherheit anteilig an den Gesamtausgaben für IT an. Von 12 Prozent in 2020 auf 20 Prozent in 2021 (Hiscox 2021).

Digitale Geiselnahme

„Mit der technologischen Weiterentwicklung entwickeln sich die Cyber-Attacken mit. Waren es noch vor zehn Jahren vor allem Viren und Trojaner, also klassische Malware, sehen wir heute immer mehr Ransomware-Attacken“, sagt Bettina Schwarz. Dabei werden sämtliche Daten auf einem Computer oder Netzwerk mithilfe von Schadprogrammen verschlüsselt – und so zu Geiseln gemacht, für deren Herausgabe die Angreifer hohe Lösegelder fordern.

Wer Opfer einer Cyber-Attacke geworden ist, verliert nicht nur viel Kapital, Daten oder Aufträge. Sondern bekommt ein Vertrauensproblem. Kundendaten, Projekte, die der Schweigepflicht unterliegen und persönliche Daten sind unwiderruflich kompromittiert. Neben einem finanziellen Schaden, der im Extremfall in die Insolvenz führen kann, ist das Vertrauen der Kunden und Kundinnen dahin. Und sehr schwer wiederaufzubauen.

Das können Unternehmen jetzt tun

Was braucht es heute, um sich vor Angriffen zu schützen? „Das Allerwichtigste ist, dass Unternehmen nicht die Augen vor diesem Problem verschließen“, sagt Bettina Schwarz von lmbit. „Der Rest ist gar nicht so schwer.“

67% der deutschen Unternehmen von Ransomware betroffen

In seiner jährlichen Studie „State of Ransomware 2022“ gibt Sophos einen Überblick über die Ransomware-Entwicklung in der Praxis. Der Report zeigt, dass 42 Prozent der deutschen Unternehmen, deren Daten bei einem Ransomware-Angriff verschlüsselt wurden, das Lösegeld gezahlt haben, wobei sich die Höhe des Lösegelds gegenüber dem Vorjahr nahezu verdoppelt hat.

Nachdem in der Befragung im Vorjahr kein Unternehmen aus Deutschland eine Lösegeldsumme von einer Million US-Dollar oder mehr zahlte, ist dieser Wert bei der jüngsten Befragung auf 9 Prozent angesprungen (global 11 Prozent). 42 Prozent (global 46 Prozent) der deutschen Unternehmen, deren Daten verschlüsselt wurden, zahlten das Lösegeld, um ihre Daten zurückzubekommen, auch wenn sie über andere Mittel zur Datenwiederherstellung verfügten, zum Beispiel Backups.

Der Bericht fasst die Auswirkungen von Ransomware auf 5.600 mittelständische Unternehmen in 31 Ländern in Europa, Nord- und Südamerika, Asien-Pazifik und Zentralasien, dem Nahen Osten und Afrika zusammen, wobei international 965 (in Deutschland 56) Unternehmen konkrete Angaben zu Ransomware-Zahlungen machten.

„Neben den eskalierenden Zahlungen zeigt die Umfrage auch, dass der Anteil der zahlungswilligen Opfer weiter ansteigt, selbst wenn sie andere Optionen zur Verfügung haben“, so Chester Wisniewski, Principal Research Scientist bei Sophos. „Dafür kann es mehrere Gründe geben, etwa unvollständige Backups oder das Verhindern der Veröffentlichung gestohlener Daten auf einer Public-Leaks-Seite. Nach einem Ransomware-Angriff besteht oft ein großer Druck, den Betrieb so schnell wie möglich wieder aufzunehmen. Die Wiederherstellung verschlüsselter Daten mit Hilfe von Backups kann ein schwieriger und zeitaufwändiger Prozess sein. Daher ist es scheinbar verlockend, ein Lösegeld für die Datenentschlüsselung zu zahlen, weil dies als eine schnelle Option erscheint. Dieses Vorgehen ist aber mit hohen Risiken verbunden. Unternehmen wissen nicht, was die Angreifer außer der Ransomware-Attacke eventuell noch im Netzwerk angerichtet haben, beispielsweise Hintertüren für künftige Angriffe installiert oder Kennwörter kopiert. Wenn Unternehmen die wiederhergestellten Daten nicht gründlich bereinigen, haben sie am Ende im Worst Case immer noch potenziell schädliche Programme in ihrem Netzwerk und sind möglicherweise einem erneuten Angriff ausgesetzt.“

Die wichtigsten Ergebnisse der „State of Ransomware 2022‘“-Studie im Überblick:

• Höhere Lösegeldzahlungen:

Im Jahr 2021 gaben 9 Prozent (global 11 Prozent) der deutschen Unternehmen an, dass sie Lösegeld in Höhe von 925.789 Euro (1 Million US-Dollar) oder mehr gezahlt haben. Der Anteil der deutschen Unternehmen, die weniger als 10.000 US-Dollar gezahlt haben, ist von 35 Prozent im Jahr 2020 auf 13 Prozent gesunken.

• Mehr Opfer zahlen Lösegeld:

Im Jahr 2021 zahlten 42 Prozent (global 46 Prozent) der deutschen Unternehmen, deren Daten durch einen Ransomware-Angriff verschlüsselt wurden, das Lösegeld. Aus globaler Sicht zahlten 26 Prozent der Unternehmen, die im Jahr 2021 verschlüsselte Daten mithilfe von Backups wiederherstellen konnten, ebenfalls das Lösegeld.

• Die Auswirkungen eines Ransomware-Angriffs können immens sein:

Die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff im Jahr 2021 betrugen für deutsche Unternehmen 1.601.615 Euro (global 1,4 Millionen US-Dollar / 1.296.105 Euro). Es dauerte im Durchschnitt einen Monat, um den Schaden und die Geschäftsunterbrechung zu beheben. 92 Prozent (global 90 Prozent) der deutschen Unternehmen gaben an, dass der Angriff ihre Betriebsfähigkeit beeinträchtigt hat, und 84 Prozent der Opfer gaben an, dass sie aufgrund des Angriffs Geschäfts- und/oder Umsatzeinbußen erlitten haben.

• Viele Unternehmen verlassen sich auf eine Cyber-Versicherung, um sich von einem Ransomware-Angriff zu erholen:

In Deutschland hatten 80 Prozent (global 83 Prozent) der befragten Unternehmen eine Cyber-Versicherung, die sie im Falle eines Ransomware-Angriffs abdeckt. In 98 Prozent der deutschen Vorfälle zahlte der Versicherer einige oder alle entstandenen Kosten, lediglich bei 41 Prozent wurde die gesamte Lösegeldforderung abgedeckt. Vierundneunzig Prozent derjenigen, die eine Cyberversicherung abgeschlossen haben, gaben an, dass sich ihre Erfahrungen beim Abschluss einer solchen Versicherung in den letzten zwölf Monaten verändert haben: Dieses Empfinden äußert sich vor allem durch höhere Anforderungen an Cyber-Sicherheitsmaßnahmen, komplexere oder teurere Policen und weniger Unternehmen, die Versicherungsschutz anbieten.

„Die Ergebnisse deuten darauf hin, dass wir möglicherweise einen Höhepunkt in der Entwicklung von Ransomware erreicht haben, wo die Gier der Angreifer nach immer höheren Lösegeldzahlungen frontal mit einer Verhärtung des Cyberversicherungsmarktes kollidiert. Die Versicherer versuchen zunehmend ihr Ransomware-Risiko und ihre Exponierung zu reduzieren“, so Wisniewski. „In den letzten Jahren ist es für Cyberkriminelle immer einfacher geworden, Ransomware einzusetzen, da fast alles als Service verfügbar ist. Zudem haben viele Cyber-Versicherungsanbieter eine breite Palette von Wiederherstellungskosten aufgrund von Ransomware, einschließlich des Lösegelds, abgedeckt, was wahrscheinlich zu immer höheren Lösegeldforderungen beigetragen hat. Die Ergebnisse deuten auch darauf hin, dass die Cyber-Versicherungen härter werden und die Opfer von Ransomware in Zukunft möglicherweise weniger bereit oder weniger in der Lage sein werden, extrem hohe Lösegelder zu zahlen. Leider ist es unwahrscheinlich, dass dies das Gesamtrisiko eines Ransomware-Angriffs verringert. Ransomware-Angriffe sind nicht so ressourcenintensiv wie andere, handwerklich ausgefeiltere Cyberattacken. Daher ist jedes Lösegeld ein lohnender Gewinn und Cyberkriminelle werden sich auch weiterhin die leicht erreichbaren Ziele aussuchen.“

Sophos empfiehlt die folgenden Best Practices zum Schutz vor Ransomware und ähnlichen Cyberattacken:

1. Installation und Pflege hochwertiger Schutzmaßnahmen im gesamten Unternehmen: Regelmäßige Prüfungen und Sicherheitskontrollen stellen sicher, dass die Sicherheitsvorkehrungen dauerhaft den Anforderungen des Unternehmens entsprechen.

2. Aktive Suche nach Bedrohungen, um Angreifer zu identifizieren und zu stoppen, bevor sie ihre Attacken ausführen können: Wenn das IT- oder Security-Team nicht die Ressourcen oder die Kenntnisse hat, dies selbst zu tun, sollten Spezialisten für Managed Detection and Response (MDR) beauftragt werden.

3. Härtung der IT-Umgebung: Gefährliche Sicherheitslücken, wie beispielsweise ungepatchte Geräte, ungeschützte Rechner, oder offene RDP-Ports, werden durch Extended Detection and Response (XDR)-Lösungen identifiziert und eliminiert.

4. Auf das Schlimmste vorbereitet sein: Unternehmen sollten wissen, was zu tun ist, wenn ein Cybervorfall eintritt und den Notfallplan stets auf dem neuesten Stand halten.

5. Erstellen von Backups und das Testen der Wiederherstellung: So kann das Unternehmen so schnell wie möglich und mit minimalen Unterbrechungen den Betrieb wieder aufnehmen.

Hier steht der Report „The State of Ransomware 2022“ (in englischer Sprache) mit den vollständigen globalen Ergebnissen und Daten nach Branchen zum Download bereit.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels