Ransomware Attacken auf Unternehmen

Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle wurden im Jahr 2021 Opfer von sogenannter Ransomware. Diese besondere Art des Angriffs auf sensible Unternehmensdaten sorgt bereits seit einigen Jahren in der internationalen Presse für Schlagzeilen und ist mittlerweile auch bei deutschen Unternehmen angekommen.

So waren laut einer aktuellen Studie des Cybersecurity-Anbieters Sophos über zwei Drittel der befragten deutschen Unternehmen im Jahr 2021 von Ransomware betroffen. Der Schaden, der bei einer solchen Attacke entstehen kann, ist immens: Die Kosten für die Datenwiederherstellung betrugen durchschnittlich über 1,6 Millionen Euro und es dauerte im Schnitt einen Monat, bis der Schaden und die Geschäftsunterbrechung behoben waren.

Was ist Ransomware?

Bei einem Ransomware-Angriff (ransom: Englisch für Lösegeld) wird eine spezielle Schadsoftware auf ein System geschleust, z. B. über speziell präparierte E-Mail-Anhänge oder Sicherheitslücken in genutzter Software und Diensten. Nach der Infektion verschlüsselt die Ransomware die Dateien auf dem befallenen System, sodass diese für den Nutzer nicht mehr zugänglich sind. Es wird dann ein Lösegeld vom Nutzer verlangt, damit die betroffenen Daten wieder entschlüsselt werden. In Deutschland lag die durchschnittliche Höhe des verlangten Lösegeldes, das betroffene Unternehmen zahlen sollten, bei ca. 250.000 Euro.
Angreifer haben statt der Verschlüsselung eines einzelnen Systems häufig das Ziel, das gesamte Netzwerk eines Unternehmens mit Ransomware zu infizieren. So versuchen die Angreifer eine möglichst große Menge an Unternehmensdaten zu verschlüsseln, um die Wahrscheinlichkeit zu erhöhen, dass die Lösegeldforderung tatsächlich gezahlt wird.

Was sind die Folgen einer Ransomware-Infektion?

Je nach Schweregrad kann Ransomware erheblichen Schaden im Unternehmen anrichten. Grundsätzlich kann man davon ausgehen, dass sich einmal von Ransomware verschlüsselte Daten nicht ohne den genutzten Schlüssel wiederherstellen lassen.
Wird bereits früh erkannt, dass ein Gerät mit Ransomware infiziert wurde, kann der Verschlüsselungsvorgang durch Entfernen der Ransomware möglicherweise noch gestoppt werden, bevor alle Dateien auf dem System unzugänglich gemacht wurden.
Wenn ausgeschlossen werden kann, dass ausgehend von dem betroffenen System weitere Clients oder Server mit der Ransomware infiziert wurden, ist der Datenverlust lediglich auf die Dateien des einzelnen Systems beschränkt. Je nach Situation kann hier schon großer Schaden angerichtet werden, wenn es sich um sensible oder wichtige Daten handelt, für die kein Backup vorhanden ist.
Für den Fall, dass Teile oder das gesamte Unternehmensnetzwerk von Ransomware betroffen sind, kann ein enormer Schaden entstehen, da in diesem Fall der Zugriff auf die unternehmensinterne IT-Infrastruktur und Daten vorerst nicht möglich ist. Im schlimmsten Fall sind alle betroffenen Daten verloren, wenn keine aktuelle Sicherung der Daten vorliegt. Angreifer sind in den letzten Jahren dazu übergegangen, gezielt nach Backups auf den Systemen zu suchen und diese zu zerstören.
Auch wenn aktuelle Backups vorhanden sind, auf die ein Angreifer nicht zugreifen konnte, ist je nach Größe der Infrastruktur die Wiederherstellung der Daten aus dem Backup sehr zeit- und kostenintensiv.

Wie sollte auf eine Infektion mit Ransomware reagiert werden?

Viele Unternehmen zahlen nach einer Ransomware-Infektion das geforderte Lösungsgeld. 2021 waren das 42% der befragten Unternehmen in Deutschland. Trotzdem ist dringend davon abzuraten, entsprechenden Forderungen der Angreifer nachzukommen. Denn obwohl die Daten meistens tatsächlich nach der Zahlung entschlüsselt werden, kann man nicht ausschließen, dass der Angreifer weitere Hintertüren auf den betroffenen Systemen hinterlassen hat. Durch diese ist eine Reaktivierung der Ransomware zu einem späteren Zeitpunkt möglich. Zudem motiviert jede erfolgreiche Zahlung den Angreifer, die Schadsoftware weiterzuentwickeln und die Verbreitung zu fördern.
Gegen Datenverlust durch Ransomware ist Prävention die beste Verteidigung. Es sollten also regelmäßig aktuelle Backups der relevanten Unternehmensdaten angefertigt werden, damit im Falle einer Infektion schnell die Daten wiederhergestellt werden können. Dabei ist darauf zu achten, dass die Daten in einem Offline-Backup gesichert werden, also Datenträger, die vom übrigen Netzwerk physisch getrennt sind. Nur so kann sichergestellt werden, dass die Backups auch nach einem Angriff erhalten bleiben.
Sobald ein Ransomware-Angriff erkannt wurde, sollten die betroffenen Systeme umgehend von den restlichen Geräten im Netzwerk getrennt werden, um weitere Infektionen zu verhindern. Die betroffenen Systeme lassen sich mithilfe der Einsicht in Logdaten und weiteren Metadaten identifizieren. Es sollte früh entschieden werden, ob forensische Untersuchungen durchgeführt werden sollten, um die Ursache der Infektion und eventuell den Urheber des Angriffs zu identifizieren. Denn nach der Neuinstallation der Systeme ist eine Rekonstruktion des Vorfalls nur noch schwer durchführbar.

Wie kann ich mich gegen einen Ransomware-Angriff schützen?

Insbesondere der Einsatz präventiver Maßnahmen ist sinnvoll, um sich gegen Ransomware zu schützen. Um Infektionen zu erschweren, sollten Systeme in der IT-Infrastruktur stets auf aktuellem Softwarestand gehalten werden. Sicherheitsupdates müssen umgehend eingespielt werden, um das Ausnutzen aktueller Schwachstellen direkt zu unterbinden. Grundsätzlich sollten die verwendeten Systeme so konfiguriert sein, dass Schäden im Ernstfall minimiert werden können (z. B. durch die Segmentierung von Netzwerken und einer sicheren Nutzerverwaltung).
Weiterhin sollten E-Mails durch professionelle Softwarelösungen auf potenziell gefährliche Anhänge geprüft und ggf. geblockt werden. Hier ist auch die Schulung der Mitarbeiter essenziell, sodass diese für die wesentlichen Infektionswege für Schadsoftware sensibilisiert werden.
Im Falle einer Infektion ist ein zuvor gewissenhaft betriebenes Datensicherungskonzept ein guter Schutz gegen Datenverlust, da so die verschlüsselten Daten schnell wiederhergestellt werden können. Zusätzlich ist der Abschluss einer sogenannten Cyber-Versicherung sinnvoll, die Kosten für entstandene Schäden minimieren und bei der Zuhilfenahme von externen Dienstleistern unterstützen kann. Dafür sind häufig Testate nötig, die dem Versicherer bescheinigen, dass man sich als Unternehmen hinreichend um die Sicherheit der eigenen IT-Infrastruktur gesorgt hat

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

(AR) Die Lage der Cybersicherheit in Deutschland ist laut der BSI-Chefin „besorgniserregend“. Das stellte das BSI in seinem Lagebericht für das Jahr…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

13.01.2023 Blog | Cybersecurity

Nach Angaben der Webseite Cybernews wurde am 16. November 2022 in einem Forum im Darknet ein Datensatz mit 487 Millionen Mobilfunknummern von…

Combined Shape

Bei einem Hackerangriff auf den australischen Netzbetreiber Optus ist es Angreifern gelungen, zehn Millionen Kundendaten abzugreifen.

Combined Shape

11.10.2022 Blog | Cybersecurity

Ransomware, Virus, Spyware, Trojaner – Diese Begriffe haben Sie bestimmt schon einmal im Kontext von Malware gehört. Bei dieser Vielzahl kann man…

Combined Shape

24.06.2022 Blog | Cybersecurity

Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

Die fortschreitende Digitalisierung hat zur Folge, dass auch Cyberkriminelle sich diese neuen Technologien zunutze machen und neu entstehende…

Combined Shape

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Unser neuer Podcast widmet sich einem wichtigen Thema: der Schwachstellenanalyse in Unternehmen.

Combined Shape

Obwohl die E-Mail-Sicherheit im Unternehmen gerade mit SPF, DKIM und DMARC verstärkt wurde, kam es zu einem raffinierten Phishing-Angriff. Ein…

Combined Shape

Unser aktueller Podcast beleuchtet den folgenschweren Cyberangriff auf die Krankenhäuser in Herford, Rheda-Wiedenbrück und Bielefeld.

Combined Shape

Sara sitzt vor ihrem Computer, fest entschlossen, endlich online einen Termin für ihren neuen Personalausweis zu vereinbaren...

Combined Shape

Voller Vorfreude, sein neues Auto mit individuellem Wunschkennzeichen anzumelden, besucht Carsten die Online-Zulassungsstelle...

Combined Shape

Die EU-Whistleblowing-Richtlinie wurde mit dem Hinweisgeberschutzgesetz (HinSchG) in nationales Recht umgewandelt.

Combined Shape

Im hektischen Betrieb an einem Montag in der IT-Abteilung eines Unternehmens durchbrach das Telefonläuten die augenblickliche Arbeit. Der…

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In der neuen Folge unseres Podcasts "audatis DIALOG" geht es um das spannende Thema: die Zukunft von Cyberversicherungen.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um eine mögliche Phishing-Attacke trotz…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Allianz Risk Barometer 2022 und die Top…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ werden die Ransomwareangriffe auf Unternehmen der Gruppe REvil…

Combined Shape

26.04.2022 Podcast | Cybersecurity

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die möglichen Risiken bei der Nutzung von Kaspersky.

Combined Shape

In der neuen Folge geht es um das auf Cyber-Security Lösungen spezialisierte Unternehmen "Mandiant", welches kürzlich von Google gekauft wurde.

Combined Shape

In der neuen Folge geht es um die Erstellung von Audit-Programmen.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

In der neuen Folge geht es um Cyber-Versicherungen für Unternehmen.

Combined Shape

11.01.2022 Podcast | Cybersecurity

In der neuen Folge geht es um die Cyber Security Trends für das Jahr 2022.

Combined Shape

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Ransomware-Angriffe.

Combined Shape

Nach unserer Sommerpause starten wir den mit der ersten Folge der neuen Reihe zum Thema Sicherheit der Cloud und wie diese durch Schwachstellen…

Combined Shape

Die Anzahl der Cyberangriffe auf Unternehmen nehmen zu.

Combined Shape

In der neuen Folge geht es um die Sicherheit bei der WLAN-Nutzung und den daraus resultierenden Gefahren für Unternehmen und Mitarbeiter im…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Entschließung der EU zur digitalen Verschlüsselung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Sicherheit in der Software-Lieferkette.

Combined Shape

08.12.2020 Podcast | Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Phishing.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um das Internet der Dinge (IoT).

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenschutz und IT-Sicherheit bei der App-Entwicklung.

Combined Shape