99 Prozent der Unternehmen wissen, was Ransomware ist. Das ist das Ergebnis unserer neuen e-Crime-Studie, in der wir rund 1.000 repräsentativ ausgewählte Unternehmen befragt haben. Die Gefahr der Erpressung aus dem Netz hat sich herumgesprochen. Als wir vor zwei Jahren fragten, musste mehr als die Hälfte der Unternehmen passen: Von dieser Art von Schadsoftware hatten sie noch nichts gehört.
Mittlerweile wird vermehrt über Attacken von solchen Erpressungstrojanern, etwa WannaCry oder Emotet in Verbindung mit Ryuk, berichtet – erst kürzlich wieder, als eine bekannte Hamburger Juwelierkette zum Angriffsziel wurde. Zudem sind immer mehr Unternehmen direkt betroffen: Rund 60 Prozent der von uns Befragten waren in den vergangenen beiden Jahren Ziel eines solchen Angriffs.
So gehen die Erpresser vor
Der Ablauf ist immer ähnlich und mittlerweile bekannt: Der Trojaner verschlüsselt Daten und fordert dann den Angegriffenen auf, ein Lösegeld in Form von Bitcoins oder einer anderen Kryptowährung dafür zu zahlen, dass die Daten angeblich wieder entschlüsselt werden. Daher auch der Name Ransomware (vom englischen Wort ransom für Lösegeld).
Immerhin etwa die Hälfte der angegriffenen Unternehmen konnte die Attacke erfolgreich abwehren. Dennoch gab es vielfach erfolgreiche Ransomware-Angriffe. In etwa jedem vierten Fall kam es sogar zu einem Betriebsausfall, der im Schnitt knapp 40 Stunden, bisweilen aber mehrere Tage dauerte – auch weil bei jedem fünften Unternehmen gemäß der aktuellen e-Crime-Studie 2019 mehr als 75% der IT-Landschaft betroffen waren.
Abgesehen von den teils hohen finanziellen Schäden besteht zudem das Risiko eines Datenverlusts: In einigen Fällen liefert der Angreifer selbst bei Zahlung des Lösegelds keine Entschlüsselungssoftware, da bereits der ursprüngliche Zweck des Trojaners die Löschung der Datenbestände war (sog. Wiper wie zum Beispiel NotPetya). Hinzu kommt die oft langwierige Aufarbeitung des Vorfalls.
Mitarbeiter öffnen dem Trojaner die Tür
Das Phänomen der digitalen Erpressung ist nicht neu. Größere Fälle mit dem Trojaner CryptoLocker etwa wurden im Herbst 2013 bekannt, 2016 breitete sich Locky aus. Heutzutage haben die Trojaner jedoch einen noch höheren Wirkungsgrad erreicht. In unserer Studie schätzen 87 Prozent der Befragten das Risiko, solcher Malware ausgesetzt zu sein, als hoch oder sehr hoch ein.
Das Einfallstor für derartige Schadprogramme sind unter anderem arglose Mitarbeiter: Ransomware wird häufig über E-Mail-Anhänge verbreitet, die unbedacht angeklickt werden. Das kann etwa ein Bewerbungsschreiben mit einem Link sein: Dort könne die Bewerbung als PDF heruntergeladen werden. In anderen Fällen gibt sich der angehängte Trojaner als Lieferschein oder Rechnung für bestellte Ware aus. Wird die PDF geöffnet, startet die bösartige Verschlüsselungsattacke.
Im Falle der Schadsoftware Emotet wurde durch eine Mail nicht nur das System des jeweiligen Empfängers infiziert, sondern die Schadsoftware zugleich auch an sein gesamtes Adressbuch verschickt. Das Tückische dabei ist, dass Emotet verschiedenste Module nachladen kann. Unter Verwendung des Verschlüsselungstrojaners Ryuk können auch über diesen Verbreitungsweg hunderte von Systemen sehr schnell verschlüsselt werden.
Neben dem arglosen Mitarbeiter gibt es allerdings weitere Infektionswege, wie WannaCry und NotPetya (als Wiper) eindrucksvoll bewiesen haben. Nicht behobene Schwachstellen in IT-Systemen ermöglichen dabei eine extrem schnelle Verbreitung des Schadcodes, indem beispielsweise Zugangsdaten von hochprivilegierten Personen aus Speicherbereichen erbeutet und zur Ausbreitung verwendet werden.
Mit Vorsicht und Backups
Daher sind Schulungen, die die Mitarbeiter für solche Angriffe sensibilisieren, eine der wichtigsten Maßnahmen zum Schutz vor Erpressungstrojanern. Anhänge aus unbekannten Quellen sollten nicht geöffnet werden, bei ungewöhnlichen Datenanhängen sollte der Betroffene die IT-Sicherheit im Unternehmen eingeschalten.
Die meisten Unternehmen setzen zudem auf technische Vorkehrungen. Die jeweiligen verfügbaren Software-Updates möglichst schnell zu installieren und Antiviren-Software auf dem aktuellen Stand zu halten, sollte eine Selbstverständlichkeit sein. Wichtig ist außerdem, diejenigen Daten, die für das Unternehmen von höchster Bedeutung sind, möglichst offline zu halten oder zu ihrem Schutz besonders strenge Maßnahmen zu ergreifen. Auch regelmäßige Backups der Daten – natürlich getrennt vom System aufbewahrt – gehören zur Grundlage.
Umfassende Cyber Security verringert das Risiko
Doch das reicht kaum aus, einen Angriff unbeschadet zu überstehen. Unternehmen sollten ihre Schutzmaßnahmen intensivieren und weiter professionalisieren. Essentiell ist eine umfassende Cyber-Sicherheitsstrategie, -architektur und -organisation, die neben der Prävention und einem Set wirksamer Abwehrmaßnahmen auch die Bereiche Detektion und Reaktion zu gleichen Anteilen umfasst.
Bei einem Cyber-Sicherheitsvorfall jedweder Art unterstützt KPMG Forensic unter der Nummer 0800-SOS KPMG (+49 800 7675764).
