Aktiv Handeln bei Ransomware-Angriffen

Ransomware bedroht Unternehmen auf der ganzen Welt. Kriminelle stellen Forderungen, um die Auszahlungen von denjenigen zu maximieren, die am wenigsten in der Lage sind, Unterbrechungen zu ertragen. Die wachsende Ransomware-Bedrohung zwingt die Behörden dazu, ihre Vorgehensweise zu überdenken. In Ländern auf der ganzen Welt werden Pläne umgesetzt, um die Gelder, die Ransomware-Kriminelle erhalten, auf unterschiedliche Weise zu begrenzen. Während beispielsweise im Vereinigten Königreich die Minister ein Verbot für alle öffentlichen Einrichtungen erwägen, Zahlungen für Ransomware zu leisten, hat sich die australische Regierung dafür entschieden, sich auf Prävention, Mitarbeiterhygiene und Unterstützung nach einem Vorfall zu konzentrieren.

Ransomware-Angriffe haben weltweit stark zugenommen, was zu einer steigenden Zahl von Ransomware-Zahlungen geführt hat. Es darf jedoch nicht vergessen werden, dass trotz der steigenden Zahl von Angriffen die Zahlung des Lösegelds keine Garantie für die Wiederherstellung der Daten darstellt. Außerdem wird durch die Zahlung von Lösegeld das Geschäftsmodell von Ransomware gefördert. Die Strafverfolgungsbehörden raten dringend davon ab, Lösegeld zu zahlen, da dies zu weiteren kriminellen Aktivitäten ermutigt und keine Garantie für die Wiederherstellung von Daten bietet.

Ransomware betrifft Organisationen weltweit

Ransomware, eine Art von Schadsoftware, die Daten verschlüsselt und eine Zahlung für deren Freigabe verlangt, ist eine eskalierende globale Bedrohung. Sie betrifft sowohl private Organisationen als auch öffentliche Dienste. Laut einer Umfrage unter führenden Cybersicherheitsexperten gaben im Jahr 2024 59 %der Unternehmen weltweit an, Opfer von Ransomware-Angriffen geworden zu sein.

Die gute Nachricht ist, dass der Gesamtbetrag, der bei Ransomware-Angriffen gezahlt wurde, im Jahr 2024 um mehr als ein Drittel auf 813 Millionen US-Dollar zurückging, gegenüber 1,25 Milliarden US-Dollar im Jahr 2023. Da Cyberkriminelle nun aber auf künstliche Intelligenz (KI) setzen, werden die Angriffe häufiger und ausgefeilter. KI ermöglicht es Angreifern, Phishing-Versuche zu automatisieren, betrügerische Mitteilungen zu personalisieren und Taktiken in Echtzeit anzupassen, wodurch herkömmliche Sicherheitsmaßnahmen an Wirksamkeit verlieren.

Abgesehen von den Statistiken können Ransomware-Angriffe auf den öffentlichen Sektor, einschließlich des Gesundheitswesens, lebensbedrohliche Folgen haben. Wenn kritische Systeme wie der Rettungsdienst oder Patientenakten kompromittiert werden, geht der Schaden weit über den finanziellen Verlust hinaus, und Leben können in Gefahr sein. Der Umgang mit Ransomware ist daher nicht nur eine Frage der Cybersicherheit, sondern auch eine der öffentlichen Sicherheit.

Welche Faktoren sollten Unternehmen berücksichtigen, bevor sie entscheiden, ob sie Lösegeld zahlen?

Die Zahlung des Lösegelds oder die Verweigerung des Lösegelds birgt Risiken, und die Entscheidung für eine der beiden Optionen sollte auf der Grundlage einer fachkundigen Beratung getroffen werden, einschließlich einer für die jeweilige Situation spezifischen Rechtsberatung. Bei der Entscheidung sollte auch berücksichtigt werden, ob die derzeitigen Umstände unannehmbare oder potenziell katastrophale Auswirkungen haben.

1. Risiko für Leben und Sicherheit:
Verringert die Zahlung des Lösegelds die Risiken für Leben, Sicherheit oder kritische Infrastruktur? Wenn es erhebliche lebensbedrohliche Folgen gibt, kann die Zahlung die verantwortungsvollste Maßnahme sein.

2. Überlebensfähigkeit der Organisation:
Kann die Organisation die Kosten oder andere Auswirkungen des Cybervorfalls überleben, ohne das Lösegeld zu zahlen? Wenn der finanzielle oder betriebliche Schaden zu groß ist, ist die Zahlung möglicherweise die einzige praktikable Option, um das Überleben zu sichern.

3. Ethische Erwägungen:
Berücksichtigen Sie die weiterreichenden Auswirkungen der Entscheidung. Liegt die Zahlung im Interesse eines „höheren Gutes“, z. B. dem Schutz gefährdeter Personen, Gemeinschaften oder anderer Interessengruppen? Dies schließt die Berücksichtigung der Interessen von Personen, deren Informationen gefährdet sind, von Aktionären oder anderen betroffenen Parteien ein.

4. Rechtliche Implikationen:
Prüfen Sie, ob die Zahlung des Lösegelds rechtswidrig ist. Je nach Gerichtsbarkeit oder den hinter dem Angriff stehenden Akteuren könnte die Zahlung gegen lokale Gesetze, Sanktionen oder Vorschriften verstoßen. Es ist wichtig, die möglichen rechtlichen Konsequenzen der Zahlung zu kennen.

5. Langfristige Auswirkungen:
Wird durch die Zahlung des Lösegelds ein Präzedenzfall geschaffen, der die Organisation möglicherweise zu einem Ziel künftiger Angriffe macht? Dies kann sich langfristig auf die Sicherheitslage und den Ruf der Organisation auswirken.

6. Möglichkeiten der Wiederherstellung:
Gibt es eine Möglichkeit, die Daten oder Systeme ohne Zahlung des Lösegelds wiederherzustellen (z. B. durch Backups oder andere Mittel)? Die Abwägung der potenziellen Kosten einer Wiederherstellung ohne Zahlung sollte ein Faktor bei der Entscheidung sein.

Welche Schritte sollten Unternehmen einleiten, wenn etwas schiefläuft und das Unternehmen angegriffen wird?

1. Unmittelbare Schritte zur Reaktion auf einen Vorfall
Es ist wichtig, betroffene Systeme sofort zu isolieren. Sicherheitsteams müssen die infizierten Systeme vom Netzwerk trennen, um eine weitere Ausbreitung zu verhindern. Sie müssen ebenfalls bestimmen, welche Systeme und Daten kompromittiert wurden und alle Beweise sichern. Dazu gehört betroffene Systeme, Erpresserbriefe und Netzwerkaktivitäten für eine forensische Analyse zu dokumentieren. Alle Beteiligten müssen umfassend benachrichtigt werden. Dazu gehören die IT-Sicherheitsabteilung, die Rechtsabteilung, die Geschäftsleitung und, falls erforderlich, die Strafverfolgungsbehörden.

2. Bewertung der Sicherungs- und Wiederherstellungsoptionen
Im nächsten Schritt gilt es die Integrität der Backups zu überprüfen und zu bestätigen, dass aktuelle Backups verfügbar und nicht gefährdet sind. Bei der Wiederherstellung von Vorgängen aus Backups sollten Sicherheitsteams, wenn möglich, sichere Backups verwenden. Welche Wiederherstellungsmethoden sind am sichersten und effektivsten? Hier sollten Unternehmen auf Entschlüsselungstools von Drittanbietern zurückgreifen oder die Unterstützung von Experten für Cybersicherheit in Betracht ziehen.

3. Einschaltung von Strafverfolgungs- und Cybersicherheitsbehörden
Unternehmen sollten den Angriff den Strafverfolgungs- und Cybersicherheitsbehörden melden und sich diesen beraten lassen. Mit spezialisierten Cybersicherheitsfirmen zusammenzuarbeiten ist ebenfalls eine gute Option, um Bedrohungen und Wiederherstellungsoptionen zu bewerten sowie forensische Untersuchungen des Angriffsursprungs, der ausgenutzten Schwachstellen und anhaltenden Risiken.

4. Bewertung rechtlicher und regulatorischer Erwägungen – Überprüfung der Compliance-Verpflichtungen
Unabdingbar ist auch, zu prüfen, ob die Datenschutzbestimmungen Benachrichtigungen über Verstöße vorschreiben. Es folgt die Bewertung der rechtlichen Risiken einer Zahlung. Es gilt sich über die rechtlichen Folgen der Lösegeldzahlung, einschließlich möglicher Sanktionsverstöße, zu informieren. Unternehmen sollten auch nicht davor zurückschrecken einen Rechtsbeistand zu konsultieren und sich bezüglich der Einhaltung von Vorschriften und der Haftung umfassend beraten zu lassen.

5. Stärkung der zukünftigen Verteidigung
Für die Zukunft ist es wichtig, dass die Sicherheitsteams alle Backup-Strategien prüfen, ggfls. aktualisieren oder neue Strategien implementieren. Unternehmen brauchen sichere, verschlüsselte und regelmäßig aktualisierte Backups. Zudem sollten sie über eine Verstärkung der Sicherheit nachdenken und alle Systeme prüfen. Hier ist es besonders wichtig, fortschrittliche Bedrohungserkennung, Endpunktschutz und Schulungen für Mitarbeiter im Bereich Cybersicherheit einzusetzen. Ein Ransomware-Reaktionsplan hilft allen Beteiligten künftige Reaktionen zu rationalisieren. Mit regelmäßigen Audits ermitteln die Mitarbeitenden Schwachstellen und können erforderliche Sicherheitsupdates zeitnah und zügig durchführen.