"Cyberkriminelle greifen häufig auf die immer gleichen Muster zurück"

Im Interview erklärt der Julien Reisdorffer, VP Managed Detection & Response DACH bei Advens, warum Ransomware noch immer ein Hauptrisiko für Unternehmen in Deutschland darstellt und auf welche Tricks und Methoden die Täter zurückgreifen, um wichtige Daten zu stehlen und Lösegeld zu erpressen.

IT-Director: Herr Reisdorffer, wie hoch ist das Risiko durch Ransomware-Angriffe für Unternehmen in Deutschland?

Julien Reisdorffer: Ransomware ist und bleibt die Hauptbedrohung für deutsche Unternehmen in Bezug auf einen Cyberangriff. Das bekräftigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland. Durch die anhaltende Digitalisierung und die zunehmende Vernetzung vergrößert sich die Angriffsfläche für Ransomware. Denn Cyberkriminelle gehen oftmals opportunistisch vor und ergreifen die Chancen, die sich ihnen bieten. Im internationalen Vergleich wurden Unternehmen in Deutschland am vierthäufigsten mithilfe von Ransomware angegriffen. Für das Jahr 2023 sind uns über 200 erfolgreiche Ransomware-Angriffe auf deutsche Unternehmen bekannt. Die Dunkelziffer liegt vermutlich aber deutlich höher.

Welche Branchen sind am stärksten betroffen?

Am häufigsten von Ransomware betroffen waren in Deutschland im vergangenen Jahr die Branchen Maschinenbau, die Baubranche, Automobilbranche, die Elektronikfertigung sowie Rechtsanwaltskanzleien. In Deutschland lag der Schwerpunkt der Angriffe damit auf dem produzierenden Gewerbe, während im vergangenen Jahr in den USA beispielsweise auch Gesundheitseinrichtungen oder in Frankreich der öffentliche Sektor zu den bevorzugten Zielen zählten.

Auf welche Methoden und Tricks greifen die Täter zurück und worauf haben sie es abgesehen?

Cyberkriminelle greifen häufig auf die immer gleichen Muster zurück. Eine erste Kompromittierung erfolgte im vergangenen Jahr beispielsweise über die Ausnutzung von bekannten Schwachstellen, den Zugriff mit gestohlenen Zugangsdaten, Brute-Force-Angriffe, Phishing oder über kompromittierte Webseiten. Dabei schlagen die Angreifer auch immer schneller zu. Die durchschnittliche Dauer vom initialen Zugriff bis zur Verteilung der Ransomware ist massiv gesunken – von rund zwei Monaten im Jahr 2019 auf weniger als vier Tage im Jahr 2023. Ransomware-Banden agieren häufig opportunistisch und sind in der Regel finanziell motiviert. Meistens geht es ihnen darum, Lösegeld zu erpressen. Dabei setzen die Kriminellen häufig auf die sogenannte Double Extortion, gewissermaßen eine doppelte Erpressung. Bei dieser Methode wird zum einen die IT-Umgebung des attackierten Unternehmens durch Verschlüsselung unbrauchbar gemacht. Das gilt insbesondere auch für Datensicherungen, um die Wiederherstellung ohne Lösegeldzahlung zu erschweren. Zum anderen sichten die Kriminellen auch potenziell sensible Daten und stehlen diese. Weigert sich das Opfer des Angriffs, Lösegeld für die Wiederherstellung seiner IT zu zahlen, drohen die Angreifer dann mit der Veröffentlichung der entwendeten Daten.

Welche Schäden können solche Attacken verursachen?

Die Schäden durch einen Ransomware-Angriff können sehr vielfältig sein. Sie reichen von finanziellen Schäden durch den Ausfall kritischer Geschäftsfunktionen, zum Beispiel dem Stillstehen einer Produktion, über Datenschutzverstöße einhergehend mit rechtlichen Implikationen bis hin zur Schädigung der Reputation des Unternehmens. In jedem Fall hat ein solcher Angriff erhebliche Auswirkungen auf den Geschäftsbetrieb. Im Durchschnitt dauerte es im vergangenen Jahr drei bis vier Wochen, bis ein mit Ransomware angegriffenes Unternehmen zum Normalbetrieb zurückkehren konnte.

Was können Unternehmen an relevanten Schutzmaßnahmen ergreifen?

Zunächst einmal sollten Unternehmen präventive Schutzmaßnahmen ergreifen, um die Eintrittswahrscheinlichkeit und den potenziell angerichteten Schaden zu reduzieren. Dazu gehören übliche Maßnahmen wie Netzwerksegmentierung, Patch-Management, sichere Passwörter und Multifaktorauthentifizierung, Privileged Access Management, die Absicherung von Systemen und Remote-Zugängen, sowie der Einsatz einer aktuellen Antiviren beziehungsweise Endpoint-Detection-und-Response-Lösung. Daneben ist ein Incident-Response- und Business-Continuity-Plan essenziell. Dieser legt bereits vorab klar strukturierte Prozesse, unterstützende Tools sowie Verantwortlichkeiten fest, damit bei einem Sicherheitsvorfall schnell und effektiv reagiert werden kann. Unternehmen müssen dabei auf keinen Fall alles allein leisten können.

Die Entscheidung darüber, an welcher Stelle externe Dienstleister zur Bewältigung des Sicherheitsvorfalls hinzugezogen werden, ist deshalb besonders wichtig. Ein mittelständisches Unternehmen verfügt beispielsweise nicht über ein eigenes Security Operations Center (SOC) mit hochspezialisierten Security-Analysten oder sogar ein Incident-Response-Team. Rahmenverträge mit externen Dienstleistern, die garantierte Reaktionszeiten und Leistungsumfänge festschreiben, können daher sinnvoll sein, genauso wie regelmäßige Simulationen eines Ernstfalls, um die Handlungsfähigkeit zu überprüfen und bei Bedarf Korrekturen vorzunehmen.