Aktuelle Ransomware-Attacken
Ransomware-Angriffe scheinen in letzter Zeit zuzunehmen
betroffene Institutionen und Betriebe oft für Wochen oder Monate lahmgelegt
unabhängige Experten: Angriffe nehmen zu, Schaden kann aber durch Vorbereitungen verringert werden
Die Uniklinik Frankfurt, Häfen in Australien, Südwestfalen-IT und die Targobank – das sind nur einige Beispiele von Unternehmen und Institutionen, die kürzlich von Cyberangriffen betroffen waren und damit große mediale Aufmerksamkeit erregt haben. In vielen Fällen haben die Täter für ihre Angriffe Ransomware eingesetzt.
Leiter des Forschungsschwerpunkts „Internationale Cybersicherheit“, Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH)
Einordnung der aktuellen Vorfälle
„Die jüngsten Cyber-Vorfälle sind das Ergebnis der zunehmenden Professionalisierung der cyberkriminellen Untergrundökonomie. Sogenannte Ransomware-as-a-Service-Modelle bieten vorgefertigte Angriffssuites, um mit hohem Tempo viele Systeme zu scannen, anzugreifen und auch die Abwicklung von Lösegeldzahlungen, inklusive Geldwäsche, zu automatisieren. Zudem hat sich die Geschwindigkeit erhöht, mit der bekannt gewordene Sicherheitslücken, und davon gab es in den letzten Jahren viele schwerwiegende, ausgenutzt werden [1].“
„Dazu sehen wir eine Proliferation (weitere Ausbreitung; Anm. d. Red.) von Akteuren: Sogenannte Affiliate-Programme erlauben es kleineren Hackergruppen, die Angriffstools von größeren Gruppen zu ‚mieten‘, für eine Beteiligung an den Lösegeldzahlungen. Zusammen mit der schweren Nachverfolgbarkeit einiger Kryptowährungen und nicht vorhandenen Auslieferungsabkommen mit einigen Staaten ergibt sich so der perfekte Sturm.“
Vorbereitung und Sicherung gegen solche Angriffe
„Das BSI liefert zum Beispiel mit dem Grundschutz die IT-Sicherheitsbasics, die Organisationen umsetzen sollten. Es gibt auch internationale Standards wie die ISO 2700X Serie. Das heißt das Wissen darüber, was getan werden müsste, ist eigentlich heutzutage vorhanden, aber es ist nicht für alle Bereiche verpflichtend.“
„Dazu gehört, dass Organisationen eine Reihe verschiedener Strategien aufstellen und auch deren praktische Anwendung einüben sollten. Dazu gehören präventive Maßnahmen wie Risikomanagement und Schwachstellenanalysen, Netzwerkmonitoring, um Vorfälle schnell erkennen zu können, regelmäßige Audits und Überprüfungen der getroffenen IT-Sicherheitsmaßnahmen. Auch wichtig sind aber worst-case-Planungen wie Krisenreaktionsstrategien zum Aufrechterhalten des Betriebs sowie Übungen zur Wiederherstellung nach einem IT-Sicherheitsvorfall – auf Deutsch etwas sperrig Vorfallsreaktionsplan genannt.“
„Das Problem ist häufig die Implementierung und fortlaufende Überprüfung dieser IT-Sicherheitsbasics: Aufgrund des Fachkräftemangels und der Unterfinanzierung von Cybersicherheit in Unternehmen fehlt es an geschultem Fachpersonal, das diese Sicherheitskontrollen einführt und regelmäßig testet und aktualisiert [2] [3].“
IT-Sicherheit deutscher Betriebe und Institutionen
„Die Frage ist weniger ‚Wie gut sind wir?‘, sondern ‚Wie gut ist die Verteidigung im Verhältnis zu immer schneller besser werdenden Angreifern wie professionellen Ransomware-Gruppen oder staatlichen Bedrohungsakteuren?‘. Viele kleine und mittlere Unternehmen sind ‚outgunned‘: Ihr IT-Etat reicht kaum, um sich gegen immer schnellere, komplexer werdende Angriffe zu schützen [4].“
„Unternehmen sind auch oft zu langsam und weniger agil: Wenn zwischen Bekanntwerden einer Sicherheitslücke und ihrer Ausnutzung nur wenige Stunden liegen, muss ich als Unternehmen sofort agieren, wenn eine Schwachstelle in meinem System bekannt wird. Zudem ist IT-Sicherheit oft auch teuer und es bedarf kontinuierlicher Investition. Das macht es für kleine Betriebe, aber auch kommunale Verwaltungen, sehr schwierig am Ball zu bleiben.“
„Die größte Baustelle, die der Staat angehen sollte, ist der Fachkräftemangel, da dies das ursächliche Problem für viele der zuvor skizzierten Probleme ist.“
Wie lange legen Angriffe betroffene Betriebe und Institutionen lahm?
„Je mehr der vorher genannten Maßnahmen umgesetzt wurden, desto schneller kann eine Organisation einen Angriff detektieren, eindämmen und dann gegebenenfalls wieder anlaufen. Habe ich aber keine Backups, keine Contuinuity of Operations und Disaster Response Planung und die Bereinigung und Wiederherstellung meiner Systeme nicht vorher geübt, dauert es länger. Studien geben dazu Werte zwischen 20 und 280 Tagen an, je nach Schwere des Vorfalls und vorhandenen Präventionsmaßnahmen. Eine Studie fand heraus, dass es im Mittel 37 Tage dauert, wenn es Vorfallsreaktionsplanungen gibt und 47 Tage, wenn diese fehlen [5].“
„Je länger ein Ausfall, desto höher sind natürlich auch die entstandenen wirtschaftlichen Kosten. IT-Sicherheit kostet, aber keine IT-Sicherheit kostet mehr. Es kommt auch durchaus vor, dass das gleiche Unternehmen wiederholt von Ransomware-betroffen ist, etwa weil nicht alle Hintertüren der Angreifer gefunden wurden und diese noch einmal zuschlagen.“
Direktor für Softwaretechnik und IT-Sicherheit, Fraunhofer-Institut für Entwurfstechnik Mechatronik, und Professor für Secure Software Engineering, Universität Paderborn
Prof. Dr. Bodden und Dr. Meyer haben sich gemeinsam geäußert, aber zu unterschiedlichen Fragen.
Einordnung der aktuellen Vorfälle
„Die aktuellen Ransomware-Attacken zeichnen sich durch ein arbeitsteiliges und professionelles Vorgehen der organisierten Kriminalität aus. Es ist bekannt, dass viele dieser Gruppen aus Russland heraus agieren, und die aktuelle weltpolitische Lage begünstigt deren Aktivitäten womöglich. Dies trifft auf unzureichend sensibilisierte und unzureichend vorbereitete Organisationen. Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI), Studien des Bitkom e.V. und Umfragen des Verbands Deutscher Maschinen- und Anlagenbau (VDMA) zeigen, dass es eine Zunahme sowohl der Anzahl der Angriffe als auch der erfolgreichen Angriffe gibt. Eine neue technische Entwicklung ist sicherlich der Einsatz von Generative Artificial Intelligence (Gen AI) für Erstellung professioneller Phishing-E-Mails.“
IT-Sicherheit deutscher Betriebe und Institutionen
„Um Unternehmen und öffentliche Stellen besser zu unterstützen, könnte der Staat folgende konkrete Maßnahmen ergreifen.“
„Erstens: Security-Grundwissen verbreiten. Es ist wichtig, mehr Bewusstsein für IT-Sicherheit und Grundwissen in der Bevölkerung zu schaffen – eine Art Security-Alphabetisierung, die nicht Schreckensszenarien heraufbeschwört, sondern einen kompetenten Umgang mit Security-Risiken und typischen Angriffs- und Betrugsmaschen vermittelt. Das Thema gehört auch in die Lehrpläne in Schule und Ausbildung.“
„Zweitens: Wir benötigen mehr IT-Sicherheitsexperten. Angesichts der Digitalisierung muss der Staat dem Fachkräftemangel besonders in diesem Bereich durch Ausbildungs- und Weiterbildungsmöglichkeiten entgegenwirken.“
„Drittens: Gesetzliche Rahmenbedingungen schaffen. Der Staat sollte geeignete gesetzliche Rahmenbedingungen wie das NIS-2-Umsetzungs- und das Cybersicherheitsstärkungsgesetz aufstellen und durchsetzen. Diese Gesetze sollten klare Vorgaben für die Sicherheitsstandards und Maßnahmen enthalten, die Unternehmen und öffentliche Stellen umsetzen müssen.“
„Viertens: Lösegeldzahlungen verhindern. Es ist wichtig, den ‚Sumpf‘ auszutrocknen, indem Lösegeldzahlungen an Cyberkriminelle verhindert werden. Der Staat sollte Maßnahmen ergreifen, um Unternehmen und Organisationen davon abzuhalten, auf solche Forderungen einzugehen. Vor dem Hintergrund, dass Kryptowährungen vornehmlich dem organisierten Verbrechen nutzen, sollte ihre Verwendung reguliert werden.“
„Fünftens: Fördermittel bereitstellen. Der Staat sollte finanzielle Unterstützung in Form von Fördermitteln zur Etablierung von Cybersicherheitsmaßnahmen bereitstellen. Dabei ist es wichtig, dass das Antragsverfahren leichtgewichtig und unbürokratisch ist, um den Zugang gerade kleinen und mittleren Unternehmen zu ermöglichen.“
„Sechstens: Intensivierung der Forschung und Entwicklung. Es ist entscheidend, die langfristige Förderung von Forschung und Entwicklung von Cybersicherheitstechnologien, Prozessen, Methoden und Werkzeugen zu intensivieren. Nur dadurch können innovative Lösungen entwickelt werden, um den sich ständig verändernden Bedrohungen effektiv entgegenzutreten.“
Abteilungsleiter „Sichere IoT-Systeme“, Fraunhofer-Institut für Entwurfstechnik Mechatronik
Vorbereitung und Sicherung gegen solche Angriffe
„Betriebe und Organisationen können sich am besten vorbereiten und absichern, indem sie folgende Maßnahmen ergreifen.“
„Erstens: Erstellung eines Notfallplans. Im Falle eines Angriffs muss klar sein, wie das Unternehmen reagieren muss. Dies beinhaltet die Identifizierung geschäftskritischer Systeme und die Bedrohungsanalyse: Es muss klar sein, welches IT-System wie wichtig für die Organisation ist, wann es gesperrt oder heruntergefahren werden muss und wie schnell es wieder verfügbar sein muss. Neben technischen Aspekten müssen auch organisatorische Aspekte berücksichtigt werden, wie zum Beispiel: Wer muss wann worüber informiert werden? Dies betrifft Mitarbeiter:innen, aber auch Behörden, Kunden und Partner.“
„Zweitens: Awareness in der Belegschaft. Es ist wichtig, die Mitarbeiter:innen für das typische Vorgehen der Angreifer und insbesondere Phishing-Attacken oder zum Beispiel CEO-Fraud-Versuche (Betrugsmethode, bei der sich Angreifer als hohe Mitarbeiter oder Geschäftsführer eines Unternehmens ausgeben und Personen in den Unternehmen dazu bringen wollen, ihnen Geld zu überweisen; Anm. d. Red.) zu sensibilisieren und sie über die Risiken und Schutzmaßnahmen aufzuklären.“
„Drittens: Patch Management: Regelmäßiges Scannen von CVE-Datenbanken (Datenbanken bekannter Schwachstellen und Anfälligkeiten von Software; Anm. d. Red.) auf Sicherheitslücken in der von der Organisation eingesetzten Software und umgehende Installation von Sicherheitsupdates.“
„Viertens: BSI-Grundschutz. Die BSI-Richtlinien bieten eine gute Orientierung und können an die spezifischen Bedürfnisse des Unternehmens angepasst werden. Eine Beratung bei der Umsetzung ist empfehlenswert. Die Umsetzung kann auch zu einer ISO 27001-Zertifizierung erweitert werden, aber wichtiger ist die Etablierung von effektiven Schutzmechanismen als das Erlangen von Zertifikaten.“
„Fünftens: Bereitstellung eines angemessenen Budgets für IT-Sicherheit. Wir empfehlen, mindestens 20 Prozent des IT-Budgets für IT-Sicherheitsmaßnahmen bereitzustellen.“
Wie lange legen Angriffe betroffene Betriebe und Institutionen lahm?
„Wir haben keine belastbaren Daten darüber, wie lange ein Hackerangriff, insbesondere mit Ransomware, einen Betrieb oder eine Organisation in der Regel lahmlegt. Es kommt jedoch häufig vor, dass der Betrieb für Wochen oder sogar Monate eingeschränkt bleibt. Bestimmte Vorkehrungen können helfen, die Ausfallzeiten zu reduzieren.“
„Erstens: Defense-in-Depth-Strategie. Durch die konsequente Anwendung von Prinzipien wie Need-to-know – jeder erhält nur Zugang zu den Daten, die er wirklich benötigt – und Least-Privilege – jeder erhält nur die Berechtigungen in der IT-Infrastruktur, die zwingend benötigt werden – kann der Zugriff auf sensible Systeme eingeschränkt werden. Wenn nicht jeder Mitarbeiter einen Generalschlüssel besitzt, ist es einfacher, die Auswirkungen eines Angriffs zu begrenzen und nur die betroffenen Systeme wiederherzustellen. Auch sollte es nie nur eine ‚Verteidigungslinie‘ geben, im Prinzip wie bei mittelalterlichen Burgen, die auch mehrere Schutzwälle haben.“
„Zweitens: Notfallplan. Ein gut ausgearbeiteter Notfallplan hilft dabei, gezielt die richtigen Schritte einzuleiten und die richtigen Akteure einzubinden, um für den Geschäftsbetrieb wichtige IT-Systeme schnell wieder verfügbar zu haben.“
„Drittens: Backup-Tests. Es ist wichtig, regelmäßig das Einspielen von Backups zu testen, um sicherzustellen, dass im Ernstfall die Daten schnell wiederhergestellt werden können.“
„Viertens: den Notfall üben. Durch das regelmäßige Durchführen von Notfallübungen können potenzielle Schwachstellen oder fehlende Maßnahmen im Notfallplan identifiziert und behoben werden, damit sie nicht erst im Ernstfall unter Zeitdruck auffallen und ad-hoc behoben werden müssen.“
„Indem diese Vorkehrungen getroffen werden und der Ernstfall geübt wird, kann die Organisation besser auf einen Hackerangriff vorbereitet sein und die Ausfallzeiten im Falle eines Angriffs minimieren. Es ist jedoch wichtig anzumerken, dass jede Situation einzigartig ist und die Dauer der Ausfallzeit von verschiedenen Faktoren abhängt.“
Tenured Faculty und Leiter der Forschungsgruppe zu Erkennungs- und Verteidigungsmechanismen, Helmholtz-Zentrum für Informationssicherheit (CISPA)
Einordnung der aktuellen Vorfälle
„Ransomware hat sich in den letzten Jahren erheblich weiterentwickelt und ist zu einer ernsthaften und komplexen Bedrohung für Unternehmen und sogar staatliche Stellen geworden. Frühere Versionen dieser Schadsoftware beschränkten sich darauf, Dateien auf infizierten Computern zu verschlüsseln und Lösegeld für die Freigabe der Daten zu fordern. Moderne Ransomware-Angriffe hingegen setzen auf aggressivere Erpressungsmethoden, wie beispielsweise die Androhung, gestohlene Daten zu veröffentlichen, falls das Lösegeld nicht gezahlt wird. Ein weiterer Trend ist das Konzept von ‚Ransomware-as-a-Service‘. Dabei stellen Ransomware-Entwickler ihre Schadsoftware anderen Kriminellen zur Verfügung, die dann gegen eine Beteiligung am erpressten Lösegeld selbst Angriffe durchführen können. Dies hat zu einem Anstieg von Ransomware-Vorfällen geführt, da nun auch Angreifer mit geringeren technischen Fähigkeiten auf komplexe Ransomware-Tools zugreifen können. Zudem werden Ransomware-Banden immer geschickter darin, die finanziellen Möglichkeiten und die Zahlungsbereitschaft ihrer Opfer einzuschätzen, und passen ihre Lösegeldforderungen entsprechend an, um die Chancen auf eine erfolgreiche Erpressung zu erhöhen. Insgesamt führt dies zu einer Zunahme solcher Angriffe, wobei die Zahl der öffentlich bekannt gewordenen Fälle vor allem wegen der drohenden Veröffentlichung der gestohlenen Daten steigt.“
Vorbereitung und Sicherung gegen solche Angriffe
„Betriebe und Organisationen können sich durch eine Kombination aus technischen und organisatorischen Maßnahmen effektiv auf Cyberangriffe vorbereiten und sich schützen. Zu den technischen Maßnahmen zählen der Einsatz von Firewalls, die Segmentierung des Netzwerks, das Einspielen regelmäßiger Softwareupdates, das Anlegen von Backups und die Implementierung von Notfallplänen. Zudem sind Tools zur Erkennung von Sicherheitsvorfällen unerlässlich. Neben diesen technischen Vorkehrungen sind klare Sicherheitsrichtlinien und Verfahren wichtig, die von jedem im Unternehmen befolgt werden müssen. Dazu gehört auch die Schulung der Mitarbeiter, um ihnen wichtige Cybersicherheitspraktiken nahezubringen. Eine grundlegende Risikobewertung ist ebenfalls entscheidend. Sie hilft zu bestimmen, welche Daten und Systeme besonders schützenswert sind und gegen welche Bedrohungen sie verteidigt werden müssen. Auf Basis dieser Bewertung lässt sich dann ein passendes Sicherheitskonzept entwickeln.“
„Zertifizierungen und Richtlinien, wie sie das BSI bereitstellt, unterstützen Organisationen dabei, ihre Sicherheitsmaßnahmen nach anerkannten Standards auszurichten und zu optimieren. Sie tragen dazu bei, bewährte Sicherheitsverfahren einzuführen und das Bewusstsein für Sicherheitsthemen zu schärfen. Zudem helfen sie, gesetzliche Anforderungen einzuhalten. Das BSI bietet mit dem IT-Grundschutz einen umfangreichen Rahmen für Informationssicherheit, der Organisationen hilft, ein angemessenes Niveau an Sicherheit zu gewährleisten. Es gibt auch vereinfachte Varianten dieser Zertifizierung, die auf kleinere Organisationen zugeschnitten sind.“
Wie lange legen Angriffe betroffene Betriebe und Institutionen lahm?
„Cyberangriffe, insbesondere durch Ransomware, können zu schwerwiegenden Störungen in der IT-Infrastruktur einer betroffenen Organisation führen. Die Dauer solcher Ausfälle variiert stark und hängt von verschiedenen Faktoren ab, wie der Art des Angriffs, der Vorbereitung der betroffenen Organisation und der Wirksamkeit ihrer Sicherheitsmaßnahmen. Besonders wichtig für eine schnelle Wiederherstellung sind regelmäßig überprüfte Backups, die separat gesichert werden, sodass die Daten ohne Lösegeldzahlung wiederhergestellt werden können. Ein kompetentes IT-Team mit einem durchdachten Plan für den Notfall oder die Unterstützung durch externe Sicherheitsexperten ist entscheidend, um den Wiederherstellungsprozess zu beschleunigen. Um die Ausfallzeit zu minimieren, sollten Unternehmen vorbeugende Schritte einleiten: Sie sollten regelmäßige Backups anlegen, einen Notfallplan entwickeln und regelmäßig proben, das Netzwerk in Segmente unterteilen, um Angriffsrisiken zu minimieren und eine proaktive Überwachung und Bedrohungserkennung etablieren. Diese Maßnahmen helfen nicht nur, die Chance eines erfolgreichen Angriffs zu senken, sondern können auch die mögliche Ausfallzeit bei einem Vorfall verkürzen.“
Professor für Usable Security and Privacy, Gottfried Wilhelm Leibniz Universität Hannover
„Viele Angriffe gegen Betriebe und Organisationen zielen auf den ‚Faktor Mensch‘. Sie nutzen also menschliche Verhaltensweisen aus, häufig als ein Schritt in einem mehrstufigen Angriffsprozess. Typische Beispiele sind die verschiedenen Formen von Phishing-Angriffen oder Malware, welche per E-Mail verschickt wird.“
„Schulungen und Trainings von MitarbeiterInnen, zum Beispiel Phishing-Trainings und Awareness-Kampagnen, sind weit verbreitet. Dennoch können diese immer nur ein Baustein sein, um Angriffe gegen den Faktor Mensch zu verhindern. Wichtiger ist es, Arbeitsabläufe so zu gestalten, dass diese mit den menschlichen Fähigkeiten besser übereinstimmen, sowie technische Systeme so zu bauen, dass – nahezu unvermeidbare – menschliche Fehler nicht zu drastischen Konsequenzen wie einer Kompromittierung des gesamten Netzes führen.“
„Interessenkonflikte bestehen keine. Das IFSH ist ein öffentlich-finanziertes Forschungsinstitut im Bereich der Internationalen Sicherheitspolitik. Der Forschungsschwerpunkt, den ich leite, erforscht die internationale Dimension von Cybersicherheit und dazu gehört auch Cyberkriminalität.“
„Ich bin in Forschung und Lehre tätig, an der Universität Paderborn und für die Fraunhofer-Gesellschaft, einer gemeinnützigen Organisation mit Forschungs- und Bildungsauftrag. Ich sehe keine Interessenkonflikte.“
„Ich bin für die Fraunhofer-Gesellschaft, eine gemeinnützige Organisation mit Forschungs- und Bildungsauftrag, in der Forschung tätig und in der Lehre an der Universität Paderborn aktiv. Ich sehe daher keine Interessenkonflikte.“
„Ich habe keine Interessenkonflikte.“
„Ich sehe keine Interessenkonflikte.“
Weiterführende Recherchequellen
Science Media Center (2022): Offener Brief fordert Maßnahmen gegen Ransomware. Rapid Reaction. Stand: 27.06.2022.
Science Media Center (2021): IT-Sicherheit und das Offenhalten von Sicherheitslücken. Science Response. Stand: 21.10.2021.
Science Media Center (2021): IT-Sicherheit bei Forschungsinstitutionen. Rapid Reaction. Stand: 08.03.2021.
Science Media Center (2021): Cyberangriffe und Stand der IT-Sicherheit in Deutschland. Science Response. Stand: 22.01.2021.
Literaturstellen, die von den Expert:innen zitiert wurden
[1] CVE Details (2023): Browse Vulnerabilities By Date.
[2] Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste (2017): Aktuelle Lage der IT-Sicherheit in KMU.
[3] Bitkom (16.11.2022): Trotz Krieg und Krisen: In Deutschland fehlen 137.000 IT-Fachkräfte. Pressemitteilung.
[4] Bitkom (31.08.2022): 203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen. Pressemitteilung.
[5] Mellen A (28.04.2022): Getting Into the Numbers: The Cost of Not Having an Incident Response Plan. RSA Conference.
Dr. Matthias Schulze
Leiter des Forschungsschwerpunkts „Internationale Cybersicherheit“, Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH)
Prof. Dr. Eric Bodden
Direktor für Softwaretechnik und IT-Sicherheit, Fraunhofer-Institut für Entwurfstechnik Mechatronik, und Professor für Secure Software Engineering, Universität Paderborn
Dr. Matthias Meyer
Abteilungsleiter „Sichere IoT-Systeme“, Fraunhofer-Institut für Entwurfstechnik Mechatronik
Prof. Dr. Thorsten Holz
Tenured Faculty und Leiter der Forschungsgruppe zu Erkennungs- und Verteidigungsmechanismen, Helmholtz-Zentrum für Informationssicherheit (CISPA)
Prof. Dr. Markus Dürmuth
Professor für Usable Security and Privacy, Gottfried Wilhelm Leibniz Universität Hannover