Dass Ransomware aktuell als die gefährlichste Cybergefahr gilt, es kein Geheimnis. Schlagzeilen über angegriffene Großkonzerne, horrende Lösegeldzahlungen und immer perfidere Angriffstaktiken sorgen dafür, dass Unternehmen und Organisationen jeder Größenordnung das Thema ganz oben auf der Tagesordnung haben. Entsprechend sollte man meinen, dass die Gefahr eingedämmt werden kann – was allerdings in der Realität leider nicht der Fall ist.
Dabei lassen die aktuellen Zahlen des State-of-Ransomware-Reports des Cybersecurity-Unternehmens Sophos, bei dem insgesamt 5.000 IT-Fachleute weltweit befragt wurden, auch speziell für den Public-Sektor mit 270 antwortenden Institutionen zunächst einmal eine Besserung vermuten. Die Angriffsrate bei staatlichen und lokalen Regierungsorganisationen ist im Jahr 2024 die niedrigste über alle Branchen hinweg und liegt bei 34 %, was einem starken Rückgang im Vergleich zur 2023 gemeldeten Angriffsrate von 69% entspricht. Alles in Butter also? Mitnichten! Zunächst einmal ist immer noch mehr als jede dritte behördliche Einrichtung von einem Ransomware-Angriff betroffen, was an für sich schon erschreckend ist. Und dazu kommt eine weitere, dramatische Erkenntnis aus dem Report: die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff beliefen sich in staatlichen und lokalen Regierungsorganisationen im Jahr 2024 auf 2,83 Millionen US-Dollar, mehr als das Doppelte der im Jahr 2023 gemeldeten 1,21 Millionen US-Dollar.
Kriminelle ziehen die Daumenschrauben an
Bei der Betrachtung der weiteren Umfrageergebnis im Public-Sektor fällt auf, dass fast alle (99 %) staatlichen und lokalen Regierungsorganisationen, die im vergangenen Jahr von Ransomware betroffen waren, angegeben haben, dass Cyberkriminelle während des Angriffs versucht haben, Backups zu kompromittieren. Etwas mehr als die Hälfte (51 %) der Versuche waren erfolgreich. Diese Entwicklung kommt nicht von ungefähr, ermöglicht die Backup-Kompromittierung für die Cyberkriminellen doch das Ansetzen weitere Daumenschrauben.
Wir bei Sophos wissen, dass Ransomware-Angreifer*innen den Einsatz erhöht haben, wenn es um ihre Bezahlung geht. Die Kompromittierung der Backups ihrer Opfer ist mittlerweile ein häufiger Bestandteil von Ransomware-Angriffen und gibt Angreifern die Möglichkeit, die Lösegeldforderung nachträglich zu erhöhen, wenn klar ist, dass die Daten ohne den Entschlüsselungsschlüssel nicht wiederhergestellt werden können.
Ein weiterer, zunehmend wichtiger Faktor im Werkzeugkasten der Ransomware-Kriminellen ist Social Engineering – und zwar im absolut negativen Sinn. Die Angreifer*innen setzen persönliche Daten als Druckmittel ein, um zahlungsunwillige Zielpersonen noch mehr Stress auszusetzen. Hierzu gehören zum Beispiel die Weitergabe von Kontaktdaten, das Veröffentlichen von Informationen über Familienmitglieder leitender Angestellter oder die Drohung, Informationen über nicht ganz lupenreine Prozesse innerhalb einer Geschäftsstruktur, die in gestohlenen Daten aufgedeckt wurden, öffentlich zu machen. „Die Banden werden immer invasiver und dreister darin, wie und was sie als Waffe einsetzen. Um den Druck auf ihre Angriffsopfer zu erhöhen, stehlen sie nicht nur Daten und drohen mit deren Weitergabe. Sie analysieren zudem intensiv die Daten und Informationen, um den Schaden zu maximieren und neue Möglichkeiten für Erpressungen zu schaffen“, so Veit.
Mit Teamwork erfolgreich Cyberattacken stoppen
Um es erst gar nicht so weit kommen zu lassen, heißt es, besonders sorgfältig und aufmerksam auf Warnungen der Systeme zu achten und gleichzeitig ein Eindringen so früh wie möglich zu unterbinden. Das Problem: Gerade kleinere Behörden und öffentliche Einrichtungen sind zwar genauso Cyberbedrohungen ausgesetzt wie weltweit agierende Großkonzerne oder staatliche Einrichtungen, verfügen aber bei Weitem nicht über die finanziellen und personellen Mittel wie diese. Sie können sich aber wappnen: Die Antwort bietet eine agile Cybersicherheitsstrategie im Teamwork von Mensch und Maschine. Da bei komplexen Bedrohungen eine rein maschinelle und verhaltensbasierte Erkennung und Beseitigung von Angriffen oft nicht mehr ausreicht, sollten die technologischen Lösungen unbedingt durch hoch spezialisierte MDR-Teams (Managed Detection and Response) aus IT-Sicherheitsprofis ergänzt werden. Denn neben technischer Innovation mit Künstlicher Intelligenz oder Anomalie-basierter automatischer Reaktion spielt die menschliche Expertise eine immer gewichtigere Rolle.
Michael Veit ist der Sophos Technology Evangelist. Nach seinem Studium der Wirtschaftsinformatik an der TU Darmstadt ist er seit über 25 Jahren in der IT Security tätig. In dieser Zeit hat er viel praktische Erfahrung im Design, der Implementierung und der Überprüfung von IT-Sicherheitsinfrastrukturen gesammelt. Nach der Leitung des Bereiches IT-Security in einem Systemhaus ist Michael Veit seit 2008 bei Sophos beschäftigt. Neben seiner Funktion als Manager Sales Engineering ist Michael Veit heute das „Sophos-Gesicht nach außen“ in Presse und Fernsehen sowie Referent und Keynote-Speaker auf Sicherheitskonferenzen und Messen.
