12. März 2021 Jaikumar Vijayan* und Julia Krokoszinski

5 Gründe, warum die Kosten von Ransomware-Angriffen steigen

Zwar ist das Lösegeld noch immer ein kleiner Teil der Gesamtkosten eines Ransomware-Angriffs, aber die damit verbundenen Kosten steigen. [...]

Sicherheitsexperten, die den Trend verfolgt haben, weisen auf mehrere Faktoren hin, die für die steigenden Kosten im Zusammenhang mit Ransomware-Angriffen verantwortlich sind (c) pixabay.com

Nicht viele Unternehmen müssen am Ende 67 Millionen US-Dollar an Ransomware-bedingten Kosten zahlen, wie es United Health Services (UHS) letztes Jahr nach einem Angriff im September 2020 tat, der das Netzwerk des Unternehmens lahmlegte. Die Organisation ist jedoch ein Beispiel für den zunehmend hohen finanziellen Tribut, den diese Angriffe in den letzten zwei Jahren von den Opfern fordern.

Sicherheitsexperten, die den Trend verfolgt haben, weisen auf mehrere Faktoren hin, die für die steigenden Kosten im Zusammenhang mit Ransomware-Angriffen verantwortlich sind, insbesondere für Organisationen im Gesundheitswesen. Einer der offensichtlichsten ist der Anstieg des durchschnittlichen Lösegelds, das die Angreifer von den Opfern fordern.

Eine Analyse der Schadendaten von Versicherungsnehmern durch das Cyberversicherungsunternehmen Coalition im letzten Jahr zeigte, dass die durchschnittliche Lösegeldforderung um 47 % von knapp über 230.000 US-Dollar im ersten Quartal 2020 auf 338.669 US-Dollar im zweiten Quartal 2020 gestiegen ist. Einige, wie die Betreiber des Maze-Ransomware-Stammes, trafen ihre Opfer mit einer durchschnittlichen Lösegeldforderung von 420.000 US-Dollar. Eine Studie von Coveware fand heraus, dass die tatsächlichen Ransomware-Auszahlungen ebenfalls in die Höhe geschnellt sind – von etwas mehr als 84.000 US-Dollar im vierten Quartal 2019 auf über 233.817 US-Dollar im dritten Quartal 2020.

Das Lösegeld selbst ist jedoch nur ein Teil der Gesamtkosten und spielt für Unternehmen, die sich weigern, auf Erpressungsversuche einzugehen, oft überhaupt keine Rolle. Selbst für solche Unternehmen sind die Kosten für Angriffe in den letzten zwei Jahren stetig gestiegen. Hier sind, laut Sicherheitsexperten, fünf der häufigsten Gründe, warum das passiert.

1. Kosten für Ausfallzeiten

Ausfallzeiten haben sich als einer der größten – wenn nicht sogar der größte – Kostenfaktor im Zusammenhang mit einem Ransomware-Angriff herausgestellt. Ransomware-Opfer brauchen oft Tage und manchmal sogar Wochen, um ihre Systeme nach einem Ransomware-Angriff wiederherzustellen. In dieser Zeit kann der normale Service ernsthaft gestört werden, was zu Geschäftseinbußen, verlorenen Opportunitätskosten, verlorenem Wohlwollen der Kunden, gebrochenen SLAs, Markenerosion und einer ganzen Reihe anderer Probleme führt. Der größte Teil der Kosten von UHS entfiel beispielsweise auf entgangene Einnahmen, weil die Patientenversorgung nicht wie gewohnt durchgeführt werden konnte und es zu Verzögerungen bei der Rechnungsstellung kam.

Diese Probleme könnten sich noch verschlimmern. In den letzten Monaten haben Angreifer damit begonnen, betriebliche Technologienetzwerke ins Visier zu nehmen, um die Ausfallzeiten für die Opfer zu maximieren und den Druck auf sie zu erhöhen, zu zahlen. Ein Beispiel dafür ist ein Angriff Anfang des Jahres auf den Verpackungsriesen WestRock Company, der den Betrieb einiger Fabriken und Verarbeitungsanlagen des Unternehmens beeinträchtigte. Ein ähnlicher Angriff auf Honda im Jahr 2020 legte den Betrieb in einigen Werken des Automobilherstellers außerhalb Japans vorübergehend lahm.

So schützen Sie Backups vor Ransomware

Zwei Drittel der Befragten in einer von Veritas im letzten Jahr in Auftrag gegebenen Umfrage unter fast 2.700 IT-Fachleuten schätzten, dass ihre Unternehmen mindestens fünf Tage brauchen würden, um sich von einem Ransomware-Angriff zu erholen. Ein anderer Bericht von Coveware schätzte die durchschnittliche Ausfallzeit deutlich höher ein, nämlich auf durchschnittlich 21 Tage im vierten Quartal 2020.

Ryan Weeks, CISO bei Datto, zufolge hat eine Umfrage, die das Unternehmen im vergangenen Jahr durchgeführt hat, gezeigt, dass die durchschnittlichen Kosten für Ausfallzeiten im Zusammenhang mit einem Ransomware-Angriff im Jahr 2020 um erschreckende 93 % höher liegen als noch vor einem Jahr. „Die Ausfallzeit ist oft immens teurer als das Lösegeld selbst“, sagt er.  „Die Rate, mit der die Kosten für Ausfallzeiten steigen, rückt die Ransomware-Epidemie wirklich ins rechte Licht.“

Die Daten des Unternehmens zeigen, dass die durchschnittliche Ausfallzeit aufgrund eines Ransomware-Angriffs bis zu 274.200 US-Dollar kosten kann – also viel mehr als die durchschnittliche Lösegeldforderung. Dies kann Unternehmen dazu verleiten, den Forderungen der Angreifer einfach nachzugeben, so Weeks. „Im Jahr 2018 wurde beispielsweise die Stadt Atlanta, Georgia, von einem Ransomware-Angriff getroffen, dessen Wiederherstellung die Stadt mehr als 17 Millionen US-Dollar kostete. Die Lösegeldzahlung selbst betrug jedoch nur 51.000 Dollar“, sagt er.

Solche Zahlen verdeutlichen, dass Unternehmen eine gut durchdachte Strategie zur Cyber-Resilienz und einen Business-Continuity-Plan benötigen, so Weeks. Bei der Erstellung eines Business-Continuity-Plans müssen Unternehmen Fragen wie das Recovery Time Objective (RTO) – die maximale Zeitspanne, innerhalb derer der Geschäftsbetrieb wiederhergestellt werden muss – und das Recovery Point Objective (RPO) – wie weit sie in der Zeit zurückgehen müssen, um Daten abzurufen, die noch in einem brauchbaren Format sind – berücksichtigen. „Die Berechnung des RTO hilft dabei, die maximale Zeit zu bestimmen, die sich Ihr Unternehmen leisten kann, ohne Zugriff auf Daten zu arbeiten, bevor es gefährdet ist. Alternativ dazu wissen Sie durch die Angabe des RPO, wie oft Sie Datensicherungen durchführen müssen“, sagt er.

2. Kosten im Zusammenhang mit doppelter Erpressung

In einer besonders beunruhigenden Entwicklung haben Ransomware-Betreiber damit begonnen, große Mengen sensibler Daten von Unternehmen zu stehlen, bevor sie deren Systeme sperren und dann die gestohlenen Daten als zusätzliches Druckmittel verwenden, um ein Lösegeld zu erpressen. Wenn sich Unternehmen weigern, das Lösegeld zu zahlen, veröffentlichen die Angreifer die Daten über eigens eingerichtete Dark Websites.

Eine Studie, die der japanische Konzern Nikkei in Zusammenarbeit mit Trend Micro durchgeführt hat, ergab, dass allein in den ersten 10 Monaten des Jahres 2020 mehr als 1.000 Unternehmen weltweit dieser Art eines doppelten Erpressungsangriffs zum Opfer gefallen sind. Es wird angenommen, dass diese Praxis mit den Betreibern der Maze-Ransomware-Familie begann, aber schnell von zahlreichen Gruppen übernommen wurde, darunter die Betreiber der Ransomware-Familien Sodinokibi, Nemty, Doppelpaymer, Ryuk und Egregor. Sieben von zehn der Ransomware-Vorfälle, auf die Coveware im letzten Quartal reagierte, betrafen Datendiebstahl.

„Die Tatsache, dass viele Ransomware-Gruppen jetzt Daten stehlen, bevor sie sie verschlüsseln, erhöht das Risiko eines Datenlecks“, sagt Candid Wuest, Vice President of Cyber Protection Research bei Acronis. „Das bedeutet, dass alle damit verbundenen Kosten wie Markenschäden, Anwaltskosten, behördliche Bußgelder und Aufräumarbeiten nach einem Datenverlust wahrscheinlicher werden, selbst wenn die Systeme ohne größere Ausfallzeiten wiederhergestellt wurden.“

Wie Angreifer Incident Response kontern, und wie man sie stoppt

Der Trend hat die traditionelle Mathematik im Zusammenhang mit Ransomware-Angriffen auf den Kopf gestellt. Ransomware-Opfer – selbst solche mit den besten Datensicherungs- und Wiederherstellungsprozessen – müssen nun mit der realen Möglichkeit rechnen, dass ihre sensiblen Daten öffentlich durchsickern oder an Konkurrenten verkauft werden. Infolgedessen werden die Opfer von Ransomware-Angriffen wahrscheinlich die Hauptlast der finanziellen Strafen von Aufsichtsbehörden tragen müssen, sagt Xue Yin Peh, Senior Cyber Threat Intelligence Analyst bei Digital Shadows. Die Veröffentlichung und Offenlegung der von den Opfern gestohlenen Daten kann einen Verstoß gegen Vorschriften wie die GDPR der EU, den CCPA von Kalifornien und den HIPAA darstellen.

„Die Opfer könnten auch mit rechtlichen Konsequenzen in Form von Ansprüchen Dritter oder Sammelklagen konfrontiert werden“, bemerkt Peh. Das Potenzial für solchen Ärger steigt, wenn die Daten, die von Angreifern gestohlen und veröffentlicht werden, andere Organisationen betreffen – etwa Dateien von Dritten oder Kundendaten. „Wenn Verbraucherdaten offengelegt wurden, könnte eine Firma auch mit Kosten für die Benachrichtigung über eine Sicherheitsverletzung rechnen. Auch Cyber-Versicherungsprämien könnten als Folge eines Ransomware-Angriffs steigen.“

3. IT-Upgrade-Kosten

Unmittelbar nach einem Ransomware-Angriff unterschätzen Unternehmen manchmal die Kosten, die nicht nur für die Reaktion auf den Vorfall, sondern auch für die Sicherung des Netzwerks vor weiteren Angriffen anfallen. Dies gilt insbesondere in Situationen, in denen ein Unternehmen annehmen könnte, dass die beste Option darin besteht, die Angreifer zu bezahlen.

„In einem Szenario, in dem die Zahlung eines Lösegelds die Freigabe der infizierten Rechner sichergestellt hat, haben die Opfer keine Garantie, dass die Angreifer keinen Zugriff mehr auf ihr Unternehmen haben“, sagt Migo Kedem, Leiter der SentinelLabs bei SentinelOne. Sie haben keine Sicherheit, dass die Angreifer nicht noch mehr Malware auf ihren Systemen implantiert haben oder dass sie ihren illegalen Zugang nicht an eine andere kriminelle Gruppe verkauft oder übertragen haben. Es gibt keine Garantie, dass die Angreifer nach der Bezahlung ihre Rechner desinfizieren, die gestohlenen Daten löschen oder ihren Zugang zum Netzwerk des Opfers aufgeben.

Um sich gegen weitere Angriffe abzusichern, müssen Unternehmen oft ihre Infrastruktur aufrüsten und bessere Kontrollen implementieren. „Die versteckten Kosten, die von den Opfern nicht berücksichtigt werden, sind die Kosten für die Reaktion auf den Vorfall und die Aufrüstung der IT, die notwendig sind, um das Netzwerk vor weiteren Angriffen zu schützen“, sagt Kedem.

4. Erhöhte Kosten durch die Zahlung eines Lösegelds

Viele Unternehmen zahlen ein Lösegeld in der Annahme, dass es billiger ist, als die Daten von Grund auf wiederherzustellen. Das ist ein Irrtum, sagen Sicherheitsexperten. Eine Umfrage, die Sophos letztes Jahr durchgeführt hat, ergab, dass mehr als ein Viertel (26%) der Ransomware-Opfer ihren Angreifern ein Lösegeld gezahlt haben, um ihre Daten wiederzubekommen. Ein weiteres Prozent zahlte ebenfalls ein Lösegeld, erhielt seine Daten aber trotzdem nicht zurück.

Warum jedes Unternehmen eine VDP braucht

Sophos hat herausgefunden, dass diejenigen, die ein Lösegeld gezahlt haben, am Ende doppelt so hohe Gesamtkosten für den Angriff zahlen mussten wie diejenigen, die kein Lösegeld gezahlt haben. Die durchschnittlichen Kosten eines Ransomware-Angriffs – einschließlich Ausfallzeiten, Kosten für die Reparatur und Wiederherstellung von Geräten und Netzwerken, Zeitaufwand der Mitarbeiter, Opportunitätskosten und gezahltes Lösegeld – betrugen bei Unternehmen, die ein Lösegeld gezahlt haben, etwa 1,4 Millionen US-Dollar, im Vergleich zu etwa 733.000 US-Dollar bei Unternehmen, die kein Lösegeld gezahlt haben.

Der Grund dafür ist, dass Opfer immer noch eine Menge Arbeit leisten müssen, um Daten wiederherzustellen, fand Sophos heraus.  Laut Sophos sind die Kosten für die Wiederherstellung der Daten und die Rückkehr zur Normalität in etwa gleich hoch, unabhängig davon, ob ein Unternehmen die Daten aus einem Backup oder mit einem vom Angreifer zur Verfügung gestellten Entschlüsselungsschlüssel wiederherstellt. Die Zahlung eines Lösegelds erhöht diese Kosten also nur noch weiter.

5. Kosten für die Schädigung des Rufs

Ransomware-Angriffe können das Vertrauen der Verbraucher untergraben und dazu führen, dass ein Unternehmen Kunden und Geschäfte verliert. Eine von Arcserve im letzten Jahr durchgeführte Umfrage unter fast 2.000 Verbrauchern in den USA, Großbritannien und anderen Ländern ergab, dass 28 % der Befragten angeben, dass sie ihr Unternehmen wechseln würden, wenn sie auch nur eine einzige Serviceunterbrechung oder Erfahrung mit unzugänglichen Daten hätten. Mehr als neun von zehn Befragten (93 %) gaben an, dass sie vor dem Kauf die Vertrauenswürdigkeit eines Unternehmens in Betracht ziehen, und 59 % sagten, dass sie es vermeiden würden, mit einem Unternehmen Geschäfte zu machen, das in den letzten 12 Monaten eine Cyberattacke erlebt hat.

Das kürzliche Auftauchen einer Gruppe, die sich Distributed Denial of Secrets nennt, könnte es Unternehmen bald schwerer machen, Datenschutzverletzungen herunterzuspielen. Die Gruppe, die sich am Vorbild von WikiLeaks orientiert, behauptet, Unmengen von Daten gesammelt zu haben, die Ransomware-Angreifer online geleakt haben, und hat angekündigt, die Daten im Namen der Transparenz öffentlich zu veröffentlichen. Die Gruppe hat bereits Daten mehrerer Unternehmen veröffentlicht, die sie nach eigenen Angaben von Websites und Foren erhalten hat, die von Ransomware-Betreibern genutzt werden, um gestohlene Daten zu veröffentlichen.

*Jaikumar Vijayan ist ein freiberuflicher Technologie-Autor, der sich auf Themen der Computersicherheit und des Datenschutzes spezialisiert hat.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Andreas Schoder ist Leiter Cloud & Managend Services bei next layer, Alexandros Osyos ist Senior Produkt Manager bei next layer. (c) next layer
Interview

Fokus auf österreichische Kunden

19. September 2024 Klaus Lorbeer

Der österreichische Backup-Experte next layer bietet umfassendes Cloud-Backup in seinen Wiener Rechenzentren. Im Interview mit ITWelt.at erläutern Andreas Schoder, Leiter Cloud & Managed Services, und Alexandros Osyos, Senior Produkt Manager, worauf Unternehmen beim Backup achten müssen und welche Produkte und Dienstleistungen next layer bietet. […]

Miro Mitrovic ist Area Vice President für die DACH-Region bei Proofpoint.(c) Proofpoint
Kommentar

Die Achillesferse der Cybersicherheit

19. September 2024 Miro Mitrovic*

Eine immer größere Abhängigkeit von Cloud-Technologien, eine massenhaft mobil arbeitende Belegschaft und große Mengen von Cyberangreifern mit KI-Technologien haben im abgelaufenen Jahr einen wahrhaften Sturm aufziehen lassen, dem sich CISOS ausgesetzt sehen. Eine große Schwachstelle ist dabei der Mensch, meint Miro Mitrovic, Area Vice President DACH bei Proofpoint. […]

Alexander Graf ist Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH. (c) Antares-NetlogiX Netzwerkberatung GmbH
Interview

Absicherung kritischer Infrastrukturen

19. September 2024 Wolfgang Franz

NIS2 steht vor der Tür – höchste Zeit, entsprechende Maßnahmen auch im Bereich der Operational Technology (OT) zu ergreifen. »Wenn man OT SIEM richtig nutzt, sichert es kritische Infrastrukturen verlässlich ab«, sagt Alexander Graf, Experte für OT-Security (COSP) und Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH, im ITWelt.at-Interview. […]

Brian Wrozek, Principal Analyst bei Forrester (c) Forrester
Interview

Cybersicherheit in der Ära von KI und Cloud

19. September 2024 Christof Baumgartner

Die Bedrohungslandschaft im Bereich der Cybersicherheit hat sich zu einer unbeständigen Mischung von Bedrohungen entwickelt, die durch zunehmende Unsicherheit und steigende Komplexität bedingt ist. Zu diesem Schluss kommt der Report »Top Cyber-security Threats In 2024« von Forrester. ITWelt.at hat dazu mit Studienautor Brian Wrozek ein Interview geführt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*