Blog 8 min read 28 January 2022

Ransomware – Teil unseres Alltags?

Aktuelle Entwicklungen:

  • Ransomware nimmt rapide zu - und sollte in jede Krisenplanung miteinbezogen werden
  • Die Meinungen zur Zahlung von Lösegeld im Erpressungsfall sind unterschiedlich, oft abhängig davon, was gefährdet ist.
  • Regierungen arbeiten verstärkt mit dem privaten Sektor zusammen, um Ransomware-Attacken und Akteure zu bekämpfen.
  • Der Druck auf Unternehmen öffentlich zu reagieren, wächst, denn Hackergruppen verschärfen ihre Attacken durch aktive PR.
  • Krisenreaktionspläne sollten regelmäßig aktualisiert und überprüft werden, um die dynamischen Veränderungen bei Cyberattacken immer zu berücksichtigen.
  • Die Taktik der zurückhaltenden Kommunikation überwiegt, Fälle wie Norsk Hydro zeigen jedoch, dass Transparenz ein lohnenswerter Schritt sein kann.
  • Der 28. Januar ist der Tag des Datenschutzes, der das Bewusstsein für wirksame Datenschutzpraktiken schärfen soll. Nach einem „Cyber-Rekordjahr“ 2021, in dem die Zahl der Ransomware-Angriffe ein Rekordniveau erreichte, ist dies ein guter Zeitpunkt, um über die aktuelle Cybersicherheitslandschaft und Konsequenzen für die Kommunikation nachzudenken.

Das Volumen der Ransomware-Angriffe hat sich 2021 im Vergleich zu 2020 mehr als verdoppelt. Dabei konzentrierten sich die Angriffe nicht nur auf deutlich mehr Unternehmen, sondern auch auf zahlreiche wichtige öffentliche Infrastrukturen. Die Konsequenz war eine kontinuierliche und erhöhte Medienberichterstattung.  Die Angriffe auf Kommunen (Schwerin, Witten), Krankenhäuser/Kliniken (Dessau, Bodensee, Wolfenbüttel, Düsseldorf) sowie Unternehmen (Funke-Mediengruppe, Madsack, Aerzener Maschinenfabrik und viele mehr) haben die enorme Dimension dieser Bedrohung für alle deutlich gemacht.  Oder wie es US-Comedian John Oliver kürzlich formulierte: Ransomware "ist so allgegenwärtig, dass sie Pipelines und Großmütter gleichermaßen betrifft".

Geteilte Meinung über Lösegeldzahlungen

Mehr Attacken bedeuten mehr und teurere Lösegeldzahlungen. In Deutschland werden durchschnittlich 115.000 EUR Lösegeld gezahlt. Dies wird jedoch durchaus kritisch bewertet. In einer Twitter-Umfrage von Menlo Security aus dem Jahr 2021 sprachen sich 79 % der Befragten gegen die Zahlung von Lösegeld aus, die Mehrheit war zudem dafür, dass Zahlungen für Ransomware verboten werden sollten. Wenn Menschen jedoch persönlich in die angegriffene Organisation involviert sind, ändert sich das Bild: 72% der befragten Eltern gaben in einer Studie einer 2021 von Kaspersky veröffentlichten Studie an, dass sie die Zahlung von Lösegeld befürworten würden, wenn die Schule ihres Kindes von einem Ransomware-Angriff betroffen wäre.

Angreifer nutzen Druckmittel PR

Cyber-Kriminelle wissen um die unterschiedlichen Auffassungen zur Zahlung von Lösegeld. Um den Druck zur Zahlung zu erhöhen greifen sie auf zusätzliche Taktiken zurück, wie z.B. die direkte Ansprache von Medien und immer häufiger auch die direkte Kontaktaufnahme mit Kunden von Unternehmen, die von Ransomware betroffen sind. . Diese Taktik wurde etwa kürzlich von der Ransomware-Gruppe Clop angewandt. Auch das mittlerweile aufgelöste Hackerkollektiv Maze veröffentlichte über eine eigens eingerichtete Leak Website „Maze News“ die Namen von Unternehmen, die nicht bereit waren, ein Lösegeld für Daten zu zahlen.

Erhebungen über den Anteil der Opfer, die Lösegeld zahlen, gehen weit auseinander. Sie reichen von 25% bis zu 83% der betroffenen Unternehmen in Deutschland. Es zeigt sich aber, dass eine große Zahl von Unternehmen bezahlt. Und das trotz des Risikos, dass die Unternehmen nach der Zahlung nicht alle Daten zurückerhalten oder dass die Zahlung zu weiteren Angriffen führt. Der globale Experte für Cybersicherheits-Lösungen FireEye hat ermittelt, dass 53% der betroffenen Unternehmen innerhalb von 18 Monaten erneut angegriffen werden.

Ransomware beeinträchtigt das Leben von immer mehr Verbrauchern (wie zum Beispiel die Attacke auf Emil Frey, den größten Autohändler in der Schweiz). Dabei werden die Angriffe immer raffinierter. Regierungen in zahlreichen Ländern arbeiten deshalb gemeinsam verstärkt mit dem privaten Sektor zusammen, um gegen die Bedrohung anzukämpfen. In den Vereinigten Staaten wird die neu geschaffene Joint Cyber Defense Collaborative den privaten Sektor in die Planung von Cyberkrisen und Cyberabwehr einbeziehen. Die USA und die EU haben eine Task Force zur Bekämpfung von Ransomware ins Leben gerufen, die sich auf den Austausch von Informationen und erprobten Verfahren konzentriert und Druck auf Staaten ausübt, die Ransomware-Attacken fördern. Unternehmen können von einer aktiven Zusammenarbeit mit den Regierungen bei einem Vorfall profitieren, da sie dadurch sowohl gegenüber den Angreifern als auch gegenüber den staatlichen Aufsichtsbehörden, die den Angriff untersuchen, weniger exponiert sind. 

In den Ländern wachsen Gesetzesinitiativen, zur Aufsicht über Kryptowährungen, Sanktionen gegen unkooperative „Hacker-Oasen“, und 24-Stunden-Meldepflichten bei Ransomware-Vorfällen innerhalb. Weitere Entwürfe zielen darauf ab, Ransomware-Zahlungen zu verbieten und die Informationspflicht gegenüber Behörden zu verschärfen. Einzelne Länder haben bereits Rechtsvorschriften im Stil der DSGVO erlassen, die strenge Meldepflichten vorsehen.

Unternehmen müssen sich somit darauf einstellen, im Falle eines Vorfalls schnell – und wahrscheinlich auch öffentlich – zu reagieren. Diese strengeren Anforderungen werden den Druck auf die Unternehmen erhöhen: Im Falle eines Angriffs müssen sie vorbereitet sein und rasch, umfassend und strukturiert an alle Stakeholder kommunizieren.

Angesichts der aktuellen Entwicklungen empfehlen wir Unternehmen:

  • Überprüfen Sie die Notfallpläne regelmäßig und stellen Sie sicher, dass ein zentraler Bereich der Kommunikation gewidmet ist. Dazu gehören klareProtokolle, wie auf neue Bedrohungen, einschließlich Ransomware, zu reagieren ist. Dabei sollten auch Überlegungen zur Kommunikationstaktik eine Rolle spielen. Das Beispiel Norsk Hydro zeigt, dass ein nicht nur ein reaktives Vorgehen, sondern auch ein offensiv transparenter Umgang mit einer Attacke stark vertrauensbildend wirken kann.

  • Stellen Sie sicher, dass Ihre Mitarbeiter im Cyberkrisenteam für die Reaktion auf Vorfälle ihre eigenen Verantwortlichkeiten genau kennen und in der Lage sind, schnell zu handeln. Da im Krisenfall in der Regel eine rasche Berichterstattung erforderlich sein wird, müssen Unternehmen in der Lage sein, wichtige Führungskräfte und externe Berater umgehend zu erreichen, auch wenn möglicherweise Systeme ausgefallen sind. Das Krisenteam braucht einen getesteten Prozess für eine unmittelbare  Zusammenstellung der Fakten und klare Entscheidungswege. Und die Kommunikationsabteilung muss einsatzbereit sein, auch wenn Systeme und Kommunikationskanäle ausfallen.

  • Richten Sie einen klaren Ablaufplan für die Benachrichtigung und Einbindung der wichtigsten Stakeholder ein.

  • Analysieren Sie die Konsequenzen einer Lösegeldzahlung mit Blick auf das wirtschaftliche und Reputationsrisiko. Stellen Sie sicher, dass die Kommunikationsstrategie die unterschiedlichen Standpunkte berücksichtigt.

Selbst die besten technischen Vorbereitungen werden vermutlich nicht verhindern können, Opfer von hochprofessionellen, gegebenenfalls staatlich unterstützten Cyberangriffen zu werden. Aber die Unternehmen sollten darauf vorbereitet sein, ihren Ruf zu schützen, wenn die Bedrohung Realität wird.

Related Insights

Podcast
Episode 11: Digital (Dis)trust

In our 11th Global Thinking podcast episode, guests Simon Pfeiffer and Randolf Carr, Policy Advisors at the Munich Security Conference and Kekst CNC’s James Johnson discuss the findings of a recent European survey conducted by Kekst CNC on behalf of the Munich Security Conference on digital (dis)trust. The research finds that Europeans are deeply concerned about their security online and worry that their countries are too dependent on foreign suppliers of digital technologies. Tune into this episode to learn more about the research findings and implications for businesses, governments and regulators.

Blog
Cyber-Alptraum zum Jahresstart vermeiden

Während wohl die große Mehrheit 2020 zügig abgehakt hat, werden einige Veränderungen, die die Pandemie in unser Arbeitsleben gebracht hat, im neuen Jahr erhalten bleiben. Allen voran die digitale Zusammenarbeit und das Homeoffice. Die Hälfte der deutschen Arbeitnehmer fordert auch langfristig flexible Arbeitszeitregelungen und rund ein Drittel ist bereit, zu kündigen, wenn ihr Arbeitgeber eine Rückkehr ins Büro in Vollzeit verlangt (s. 6. Ausgabe des Kekst CNC COVID-19 Opinion Tracker).

Podcast
Episode 4: Cyber Crisis Preparedness in a Remote Working World

In our latest podcast host Dominic Laurie is joined by David Emm, Principal Security Researcher at Kaspersky Labs, Hans Allnutt, Partner at DAC Beachcroft, Raf Sanchez, International Breach Response Manager at Beazley and Kekst CNC partner Ben Curson, who share their take on the changing landscape of cyber security.