Zwar ist das Lösegeld noch immer ein kleiner Teil der Gesamtkosten eines Ransomware-Angriffs, aber die damit verbundenen Kosten steigen. [...]
Nicht viele Unternehmen müssen am Ende 67 Millionen US-Dollar an Ransomware-bedingten Kosten zahlen, wie es United Health Services (UHS) letztes Jahr nach einem Angriff im September 2020 tat, der das Netzwerk des Unternehmens lahmlegte. Die Organisation ist jedoch ein Beispiel für den zunehmend hohen finanziellen Tribut, den diese Angriffe in den letzten zwei Jahren von den Opfern fordern.
Sicherheitsexperten, die den Trend verfolgt haben, weisen auf mehrere Faktoren hin, die für die steigenden Kosten im Zusammenhang mit Ransomware-Angriffen verantwortlich sind, insbesondere für Organisationen im Gesundheitswesen. Einer der offensichtlichsten ist der Anstieg des durchschnittlichen Lösegelds, das die Angreifer von den Opfern fordern.
Eine Analyse der Schadendaten von Versicherungsnehmern durch das Cyberversicherungsunternehmen Coalition im letzten Jahr zeigte, dass die durchschnittliche Lösegeldforderung um 47 % von knapp über 230.000 US-Dollar im ersten Quartal 2020 auf 338.669 US-Dollar im zweiten Quartal 2020 gestiegen ist. Einige, wie die Betreiber des Maze-Ransomware-Stammes, trafen ihre Opfer mit einer durchschnittlichen Lösegeldforderung von 420.000 US-Dollar. Eine Studie von Coveware fand heraus, dass die tatsächlichen Ransomware-Auszahlungen ebenfalls in die Höhe geschnellt sind – von etwas mehr als 84.000 US-Dollar im vierten Quartal 2019 auf über 233.817 US-Dollar im dritten Quartal 2020.
Das Lösegeld selbst ist jedoch nur ein Teil der Gesamtkosten und spielt für Unternehmen, die sich weigern, auf Erpressungsversuche einzugehen, oft überhaupt keine Rolle. Selbst für solche Unternehmen sind die Kosten für Angriffe in den letzten zwei Jahren stetig gestiegen. Hier sind, laut Sicherheitsexperten, fünf der häufigsten Gründe, warum das passiert.
1. Kosten für Ausfallzeiten
Ausfallzeiten haben sich als einer der größten – wenn nicht sogar der größte – Kostenfaktor im Zusammenhang mit einem Ransomware-Angriff herausgestellt. Ransomware-Opfer brauchen oft Tage und manchmal sogar Wochen, um ihre Systeme nach einem Ransomware-Angriff wiederherzustellen. In dieser Zeit kann der normale Service ernsthaft gestört werden, was zu Geschäftseinbußen, verlorenen Opportunitätskosten, verlorenem Wohlwollen der Kunden, gebrochenen SLAs, Markenerosion und einer ganzen Reihe anderer Probleme führt. Der größte Teil der Kosten von UHS entfiel beispielsweise auf entgangene Einnahmen, weil die Patientenversorgung nicht wie gewohnt durchgeführt werden konnte und es zu Verzögerungen bei der Rechnungsstellung kam.
Diese Probleme könnten sich noch verschlimmern. In den letzten Monaten haben Angreifer damit begonnen, betriebliche Technologienetzwerke ins Visier zu nehmen, um die Ausfallzeiten für die Opfer zu maximieren und den Druck auf sie zu erhöhen, zu zahlen. Ein Beispiel dafür ist ein Angriff Anfang des Jahres auf den Verpackungsriesen WestRock Company, der den Betrieb einiger Fabriken und Verarbeitungsanlagen des Unternehmens beeinträchtigte. Ein ähnlicher Angriff auf Honda im Jahr 2020 legte den Betrieb in einigen Werken des Automobilherstellers außerhalb Japans vorübergehend lahm.
Zwei Drittel der Befragten in einer von Veritas im letzten Jahr in Auftrag gegebenen Umfrage unter fast 2.700 IT-Fachleuten schätzten, dass ihre Unternehmen mindestens fünf Tage brauchen würden, um sich von einem Ransomware-Angriff zu erholen. Ein anderer Bericht von Coveware schätzte die durchschnittliche Ausfallzeit deutlich höher ein, nämlich auf durchschnittlich 21 Tage im vierten Quartal 2020.
Ryan Weeks, CISO bei Datto, zufolge hat eine Umfrage, die das Unternehmen im vergangenen Jahr durchgeführt hat, gezeigt, dass die durchschnittlichen Kosten für Ausfallzeiten im Zusammenhang mit einem Ransomware-Angriff im Jahr 2020 um erschreckende 93 % höher liegen als noch vor einem Jahr. „Die Ausfallzeit ist oft immens teurer als das Lösegeld selbst“, sagt er. „Die Rate, mit der die Kosten für Ausfallzeiten steigen, rückt die Ransomware-Epidemie wirklich ins rechte Licht.“
Die Daten des Unternehmens zeigen, dass die durchschnittliche Ausfallzeit aufgrund eines Ransomware-Angriffs bis zu 274.200 US-Dollar kosten kann – also viel mehr als die durchschnittliche Lösegeldforderung. Dies kann Unternehmen dazu verleiten, den Forderungen der Angreifer einfach nachzugeben, so Weeks. „Im Jahr 2018 wurde beispielsweise die Stadt Atlanta, Georgia, von einem Ransomware-Angriff getroffen, dessen Wiederherstellung die Stadt mehr als 17 Millionen US-Dollar kostete. Die Lösegeldzahlung selbst betrug jedoch nur 51.000 Dollar“, sagt er.
Solche Zahlen verdeutlichen, dass Unternehmen eine gut durchdachte Strategie zur Cyber-Resilienz und einen Business-Continuity-Plan benötigen, so Weeks. Bei der Erstellung eines Business-Continuity-Plans müssen Unternehmen Fragen wie das Recovery Time Objective (RTO) – die maximale Zeitspanne, innerhalb derer der Geschäftsbetrieb wiederhergestellt werden muss – und das Recovery Point Objective (RPO) – wie weit sie in der Zeit zurückgehen müssen, um Daten abzurufen, die noch in einem brauchbaren Format sind – berücksichtigen. „Die Berechnung des RTO hilft dabei, die maximale Zeit zu bestimmen, die sich Ihr Unternehmen leisten kann, ohne Zugriff auf Daten zu arbeiten, bevor es gefährdet ist. Alternativ dazu wissen Sie durch die Angabe des RPO, wie oft Sie Datensicherungen durchführen müssen“, sagt er.
2. Kosten im Zusammenhang mit doppelter Erpressung
In einer besonders beunruhigenden Entwicklung haben Ransomware-Betreiber damit begonnen, große Mengen sensibler Daten von Unternehmen zu stehlen, bevor sie deren Systeme sperren und dann die gestohlenen Daten als zusätzliches Druckmittel verwenden, um ein Lösegeld zu erpressen. Wenn sich Unternehmen weigern, das Lösegeld zu zahlen, veröffentlichen die Angreifer die Daten über eigens eingerichtete Dark Websites.
Eine Studie, die der japanische Konzern Nikkei in Zusammenarbeit mit Trend Micro durchgeführt hat, ergab, dass allein in den ersten 10 Monaten des Jahres 2020 mehr als 1.000 Unternehmen weltweit dieser Art eines doppelten Erpressungsangriffs zum Opfer gefallen sind. Es wird angenommen, dass diese Praxis mit den Betreibern der Maze-Ransomware-Familie begann, aber schnell von zahlreichen Gruppen übernommen wurde, darunter die Betreiber der Ransomware-Familien Sodinokibi, Nemty, Doppelpaymer, Ryuk und Egregor. Sieben von zehn der Ransomware-Vorfälle, auf die Coveware im letzten Quartal reagierte, betrafen Datendiebstahl.
„Die Tatsache, dass viele Ransomware-Gruppen jetzt Daten stehlen, bevor sie sie verschlüsseln, erhöht das Risiko eines Datenlecks“, sagt Candid Wuest, Vice President of Cyber Protection Research bei Acronis. „Das bedeutet, dass alle damit verbundenen Kosten wie Markenschäden, Anwaltskosten, behördliche Bußgelder und Aufräumarbeiten nach einem Datenverlust wahrscheinlicher werden, selbst wenn die Systeme ohne größere Ausfallzeiten wiederhergestellt wurden.“
Der Trend hat die traditionelle Mathematik im Zusammenhang mit Ransomware-Angriffen auf den Kopf gestellt. Ransomware-Opfer – selbst solche mit den besten Datensicherungs- und Wiederherstellungsprozessen – müssen nun mit der realen Möglichkeit rechnen, dass ihre sensiblen Daten öffentlich durchsickern oder an Konkurrenten verkauft werden. Infolgedessen werden die Opfer von Ransomware-Angriffen wahrscheinlich die Hauptlast der finanziellen Strafen von Aufsichtsbehörden tragen müssen, sagt Xue Yin Peh, Senior Cyber Threat Intelligence Analyst bei Digital Shadows. Die Veröffentlichung und Offenlegung der von den Opfern gestohlenen Daten kann einen Verstoß gegen Vorschriften wie die GDPR der EU, den CCPA von Kalifornien und den HIPAA darstellen.
„Die Opfer könnten auch mit rechtlichen Konsequenzen in Form von Ansprüchen Dritter oder Sammelklagen konfrontiert werden“, bemerkt Peh. Das Potenzial für solchen Ärger steigt, wenn die Daten, die von Angreifern gestohlen und veröffentlicht werden, andere Organisationen betreffen – etwa Dateien von Dritten oder Kundendaten. „Wenn Verbraucherdaten offengelegt wurden, könnte eine Firma auch mit Kosten für die Benachrichtigung über eine Sicherheitsverletzung rechnen. Auch Cyber-Versicherungsprämien könnten als Folge eines Ransomware-Angriffs steigen.“
3. IT-Upgrade-Kosten
Unmittelbar nach einem Ransomware-Angriff unterschätzen Unternehmen manchmal die Kosten, die nicht nur für die Reaktion auf den Vorfall, sondern auch für die Sicherung des Netzwerks vor weiteren Angriffen anfallen. Dies gilt insbesondere in Situationen, in denen ein Unternehmen annehmen könnte, dass die beste Option darin besteht, die Angreifer zu bezahlen.
„In einem Szenario, in dem die Zahlung eines Lösegelds die Freigabe der infizierten Rechner sichergestellt hat, haben die Opfer keine Garantie, dass die Angreifer keinen Zugriff mehr auf ihr Unternehmen haben“, sagt Migo Kedem, Leiter der SentinelLabs bei SentinelOne. Sie haben keine Sicherheit, dass die Angreifer nicht noch mehr Malware auf ihren Systemen implantiert haben oder dass sie ihren illegalen Zugang nicht an eine andere kriminelle Gruppe verkauft oder übertragen haben. Es gibt keine Garantie, dass die Angreifer nach der Bezahlung ihre Rechner desinfizieren, die gestohlenen Daten löschen oder ihren Zugang zum Netzwerk des Opfers aufgeben.
Um sich gegen weitere Angriffe abzusichern, müssen Unternehmen oft ihre Infrastruktur aufrüsten und bessere Kontrollen implementieren. „Die versteckten Kosten, die von den Opfern nicht berücksichtigt werden, sind die Kosten für die Reaktion auf den Vorfall und die Aufrüstung der IT, die notwendig sind, um das Netzwerk vor weiteren Angriffen zu schützen“, sagt Kedem.
4. Erhöhte Kosten durch die Zahlung eines Lösegelds
Viele Unternehmen zahlen ein Lösegeld in der Annahme, dass es billiger ist, als die Daten von Grund auf wiederherzustellen. Das ist ein Irrtum, sagen Sicherheitsexperten. Eine Umfrage, die Sophos letztes Jahr durchgeführt hat, ergab, dass mehr als ein Viertel (26%) der Ransomware-Opfer ihren Angreifern ein Lösegeld gezahlt haben, um ihre Daten wiederzubekommen. Ein weiteres Prozent zahlte ebenfalls ein Lösegeld, erhielt seine Daten aber trotzdem nicht zurück.
Sophos hat herausgefunden, dass diejenigen, die ein Lösegeld gezahlt haben, am Ende doppelt so hohe Gesamtkosten für den Angriff zahlen mussten wie diejenigen, die kein Lösegeld gezahlt haben. Die durchschnittlichen Kosten eines Ransomware-Angriffs – einschließlich Ausfallzeiten, Kosten für die Reparatur und Wiederherstellung von Geräten und Netzwerken, Zeitaufwand der Mitarbeiter, Opportunitätskosten und gezahltes Lösegeld – betrugen bei Unternehmen, die ein Lösegeld gezahlt haben, etwa 1,4 Millionen US-Dollar, im Vergleich zu etwa 733.000 US-Dollar bei Unternehmen, die kein Lösegeld gezahlt haben.
Der Grund dafür ist, dass Opfer immer noch eine Menge Arbeit leisten müssen, um Daten wiederherzustellen, fand Sophos heraus. Laut Sophos sind die Kosten für die Wiederherstellung der Daten und die Rückkehr zur Normalität in etwa gleich hoch, unabhängig davon, ob ein Unternehmen die Daten aus einem Backup oder mit einem vom Angreifer zur Verfügung gestellten Entschlüsselungsschlüssel wiederherstellt. Die Zahlung eines Lösegelds erhöht diese Kosten also nur noch weiter.
5. Kosten für die Schädigung des Rufs
Ransomware-Angriffe können das Vertrauen der Verbraucher untergraben und dazu führen, dass ein Unternehmen Kunden und Geschäfte verliert. Eine von Arcserve im letzten Jahr durchgeführte Umfrage unter fast 2.000 Verbrauchern in den USA, Großbritannien und anderen Ländern ergab, dass 28 % der Befragten angeben, dass sie ihr Unternehmen wechseln würden, wenn sie auch nur eine einzige Serviceunterbrechung oder Erfahrung mit unzugänglichen Daten hätten. Mehr als neun von zehn Befragten (93 %) gaben an, dass sie vor dem Kauf die Vertrauenswürdigkeit eines Unternehmens in Betracht ziehen, und 59 % sagten, dass sie es vermeiden würden, mit einem Unternehmen Geschäfte zu machen, das in den letzten 12 Monaten eine Cyberattacke erlebt hat.
Das kürzliche Auftauchen einer Gruppe, die sich Distributed Denial of Secrets nennt, könnte es Unternehmen bald schwerer machen, Datenschutzverletzungen herunterzuspielen. Die Gruppe, die sich am Vorbild von WikiLeaks orientiert, behauptet, Unmengen von Daten gesammelt zu haben, die Ransomware-Angreifer online geleakt haben, und hat angekündigt, die Daten im Namen der Transparenz öffentlich zu veröffentlichen. Die Gruppe hat bereits Daten mehrerer Unternehmen veröffentlicht, die sie nach eigenen Angaben von Websites und Foren erhalten hat, die von Ransomware-Betreibern genutzt werden, um gestohlene Daten zu veröffentlichen.
*Jaikumar Vijayan ist ein freiberuflicher Technologie-Autor, der sich auf Themen der Computersicherheit und des Datenschutzes spezialisiert hat.
Be the first to comment