Unsere globale Studie 2024 unter 900 IT- und Sicherheitsexperten ergab, dass 74 % der Unternehmen, die von Ransomware betroffen waren, mehrfach angegriffen wurden und 78 % der Opfer Lösegeld gezahlt haben. Diese Statistiken deuten auf einen Zyklus von Sicherheitsverletzungen hin, die zu eskalierenden Schäden in Form von Umsatzverlusten, Betriebskosten und - in einigen Fällen - menschlicher Gesundheit und Sicherheit führen.
Wir müssen davon ausgehen, dass die Bedrohung ständig präsent ist. Dabei geht es nicht nur um die berüchtigten Fälle, von denen wir jedes Quartal oder so hören. Dies geschieht jeden Tag, jeden Tag, für eine Reihe von Unternehmen.
Chris Inglis, ehemaliger nationaler Cyber-Direktor der USA, ehemaliger stellvertretender Direktor der NSA, strategischer Berater von Semperis
Alarmierende Häufigkeit, Schwere und Folgen von Angriffen
Ransomware, einst eine sporadische Bedrohung, hat sich zu einem unerbittlichen Gegner entwickelt. Kriminelle Gruppen führen mehrere Angriffe in schneller Folge durch und nutzen Schwachstellen in Unternehmen aus. Kritische Systeme, einschließlich Microsoft Active Directory, sind ein Top-Angriffsziel. Der Ransomware Risk Report 2024 zeigt besorgniserregende Statistiken für Unternehmens-, IT- und Sicherheitsverantwortliche.
Mit Ransomware zurechtkommen
Unternehmen werden innerhalb eines Jahres mehrfach von erfolgreichen Ransomware-Angriffen heimgesucht, was zu Betriebsschließungen, Entlassungen, Umsatz- und Vertrauensverlusten bei Kunden und der Kündigung von Cyber-Versicherungen führt.
Wenn es zu mehreren Angriffen kommt, geschieht dies meist kurz hintereinander. Diese Daten deuten darauf hin, dass mehrere kriminelle Banden die Schwachstellen von Unternehmen ausnutzen, um einen zweiten oder dritten bösartigen Angriff zu starten - in einigen Fällen sogar gleichzeitig.
Simon Hodgkinson, ehemaliger CISO von British Petroleum, strategischer Berater von Semperis
Angriffe führen zu Datenverlust und Geschäftsausfällen, selbst bei Opfern mit allgemeinen Backups
Ransomware-Angriffe verursachen weit verbreitete und allgegenwärtige Störungen, selbst bei Unternehmen, die über allgemeine Backups verfügen. Die Angreifer dringen über eingebettete Betriebssysteme, veraltete Technologie, die nicht regelmäßig mit Sicherheitsupdates versorgt wird, und längst vergessene Hintertüren in die Systeme ein.
Können Unternehmen "Nein" zu Ransomware sagen?
Obwohl 70 % der Befragten über einen Plan zur Wiederherstellung der Identität verfügten, hatten nur 27 % der Befragten dedizierte, AD-spezifische Backup-Systeme. 61% der Ransomware-Opfer benötigten mehr als einen Tag, um minimale IT-Funktionen wiederherzustellen, was die Unterbrechungen des Geschäftsbetriebs verlängert.
Die Kosten, die Sie an eine Ransomware-Gruppe zahlen, sind nicht das Ende des Schadens. Bestimmte Angriffe zielen nicht auf Geld ab, sondern darauf, Chaos und Störungen zu verursachen.
Mickey Bresman, Semperis CEO
Warum haben die Unternehmen Lösegeld gezahlt?
Viele der Befragten gaben als Grund für die Lösegeldzahlung den Wunsch an, so schnell wie möglich zum normalen Geschäftsbetrieb zurückzukehren. Andere, vor allem aus der IT-/Telekommunikationsbranche, zahlten, weil sie über eine Cyberversicherung verfügten, um die Kosten zu decken. Wieder andere waren der Meinung, dass die Bedrohung für Patienten, Kunden, ihr Geschäft oder ihren Ruf den Preis des Lösegelds wert war. Leider ist die Zahlung des Lösegelds keine Garantie für den Erhalt von brauchbaren Entschlüsselungsschlüsseln. Darüber hinaus verwenden Angreifer Ransomware oft, um Malware zu verbreiten, die Systeme neu infizieren oder andere Schäden verursachen kann.
Die wahren Kosten von Ransomware
In jedem komplexen Unternehmen sind Entscheidungen über das Sicherheitsbudget, die Personalausstattung und die Ressourcen ein Balanceakt. Im Falle von Ransomware kann es jedoch sein, dass die Unternehmensleitung diese Entscheidungen trifft, ohne die potenziellen Kosten nach einem Angriff vollständig zu kennen. Die Zahlung von Lösegeld ist keine Garantie für den Erhalt von brauchbaren Entschlüsselungsschlüsseln. Darüber hinaus verwenden Angreifer Ransomware häufig, um Malware zu verbreiten, die Systeme neu infizieren oder andere Schäden verursachen kann. Ein erfolgreicher Angriff kostet in der Regel viel mehr als eine Lösegeldzahlung.
Ransomware-Angriffe verursachen Kollateralschäden, die weit über die Zahlung des Lösegelds hinausgehen
Die Lösegeldzahlung selbst ist nur der Anfang der Kosten, die durch einen Ransomware-Angriff entstehen.
"Die Kosten der Lösegeldzahlung sind nicht die Summe des tatsächlichen Schadens", sagt Mickey Bresman, CEO von Semperis. "Bei bestimmten Angriffen geht es nicht um Geld, sondern darum, Chaos und Störung zu verursachen. Darüber hinaus wird das Geld, das Sie zahlen, für andere kriminelle Aktivitäten wie Menschenhandel, Drogen und Waffen verwendet."
Chris Inglis merkte an, dass ein Ransomware-Angriff kein einmaliges oder zeitlich begrenztes Ereignis ist, das Sie schnell angehen und dann hinter sich lassen können.
"Dies ist ein lebensveränderndes Ereignis, das dauerhafte, anhaltende Auswirkungen hat. Der Verlust des Kundenvertrauens, der Verlust der Cyber-Versicherung, die behördliche Verfolgung ... diese Prüfung geht nie vorbei."
Die Menschen neigen dazu, ihre Ressourcen und Bemühungen in den Schutz von Endgeräten zu stecken. Aber Bedrohungsakteure werden den Endpunkt überwinden. Und wenn sie erst einmal im Netzwerk sind, gehen sie durch das gesamte Identitätssystem. Welchen Schutz haben Sie, wenn das passiert? Denn sobald Ihr Identitätssystem in ihrem Besitz ist, haben sie die ganze Macht. Wenn Ihr Identitätssystem ausfällt, wird keine Ihrer anderen Lösungen funktionieren.
Sean Deuby, leitender Technologe von Semperis (Amerika)
Nur wenige Unternehmen unterhalten einen speziellen Identitätsschutz
Das Identitätssystem, insbesondere Active Directory, ist jetzt die Sicherheitsgrenze für Unternehmensorganisationen. Die Digitalisierung des modernen Unternehmens hat die Idee eines verteidigbaren Perimeters beseitigt und eine komplexe Landschaft für Sicherheitsexperten geschaffen - und eine breite Angriffsfläche für Cyberkriminelle. Ohne AD-spezifische, Malware-freie Backups und einen getesteten cyber-spezifischen Wiederherstellungsplan wird die Wiederherstellung langwierig sein, was die Wahrscheinlichkeit erhöht, dass das Unternehmen sich entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen.
Alles bezieht sich auf den Kern des Zugangs. Sobald sich ein Angreifer Zugang zur Stufe 0 verschafft hat, bleibt Ihnen nur wenig Zeit, um die restliche Infrastruktur zum Tier 0.
Jeff Wichman, Semperis-Direktor für Incident Response
Warum räumen Unternehmen dem Schutz vor Ransomware keine Priorität ein?
Unternehmen stehen bei der Einführung einer mehrschichtigen Strategie zur Abwehr von Ransomware vor zahlreichen Herausforderungen. Die meisten Befragten gaben an, dass die größte Hürde die fehlende Unterstützung durch den Vorstand sei.
Chris Inglis weist darauf hin, dass eine effektive Cybersicherheit einen dreistufigen Ansatz erfordert, der eine Unternehmensdoktrin, den Aufbau von Fähigkeiten und Technologie umfasst. Erster Schritt: Erklären Sie den Wert der identitätsbasierten Sicherheit in geschäftlicher Hinsicht.
"Technologie kann uns helfen, zu analysieren und zu bewerten, was gerade passiert", sagt Inglis. "Sie kann uns helfen, schneller zu reagieren und uns schneller zu erholen. Aber was wir jetzt am meisten brauchen, ist die kollektive Erkenntnis, dass wir alle eine Rolle zu spielen haben. Das fängt beim Vorstand an, nicht bei der IT-Abteilung. Der Vorstand ist rechenschaftspflichtig; die SEC hat das deutlich gemacht. Die Vorschriften machen es immer deutlicher: Cybersicherheit ist ein Geschäftsthema."
Insgesamt nimmt die Komplexität zu, und Sie können an einem Tag nur eine bestimmte Menge erledigen. Cloud Computing hat die Belastung nicht verringert oder die betriebliche Komplexität reduziert. Sie müssen davon ausgehen, dass in Ihrem Netzwerk bösartige Aktivitäten stattfinden, und Sie müssen in der Lage sein, diese zu finden und rückgängig zu machen.
Guido Grillenmeier, leitender Technologe bei Semperis (EMEA)
