5. Juni 2018 Jaikumar Vijayan* und Claudia Rummel

Was kostet eine Ransomware-Attacke? Vorsicht vor versteckten Ausgaben

Das Lösegeld ist nur ein kleiner Teil der Gesamtkosten eines Ransomware-Angriffs. Berücksichtigen Sie diese Kosten bei der Schätzung des Gesamtschadens. [...]

Da infizierte Datein und Systeme sowieso neu regeneriert werden müssen zahlt es sich laut Sicherheitsexperten selten aus der Lösegeldforderung nachzugehen. (c) Pixabay
Da infizierte Datein und Systeme sowieso neu regeneriert werden müssen zahlt es sich laut Sicherheitsexperten selten aus der Lösegeldforderung nachzugehen. (c) Pixabay

Das Prognostizieren der Gesamtkosten eines Randomware-Angriffs kann, auf Grund der vielen Faktoren die bei der Reaktion auf und der Wiederherstellung nach einem Angriff zu beachten sind, für Sicherheitsverantwortliche schwierig sein. Aus zahlreichen früheren Vorfällen geht hervor, dass die Kosten weit über den geforderten Lösegeldbetrag und die mit der Reinigung infizierter Systeme verbundenen Kosten hinausgehen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Dazu ein paar Beispiele:

Das Erie County Medical Center (ECMC) in Buffalo (New York) schätzte im vergangenen Juli, dass es rund 10 Mio. US-Dollar ausgegeben hat, um auf einen Angriff mit einer Lösegeldforderung von 30.000 Dollar zu reagieren. Ungefähr die Hälfte des Betrags entfiel auf IT-Services, Software und andere mit der Wiederherstellung verbundene Kosten. Die andere Hälfte resultierte aus Personalüberstunden, Kosten im Zusammenhang mit Umsatzeinbußen und anderen indirekten Kosten. ECMC-Beamte schätzten, dass das medizinische Zentrum mehrere Hunderttausend Dollar mehr für die Verbesserung der Technologie und Sensibilisierung der Mitarbeiter ausgeben musste.

Aus öffentlichen Aufzeichnungen geht hervor, dass die Stadt Atlanta nach einem Ransomware-Angriff im März 2018, der tagelang wichtige Stadtdienste lahmlegte, fast 5 Mio. US-Dollar für die Beschaffung von IT-Notdiensten ausgab. Die Summe inkludierte Kosten im Zusammenhang mit Incident Response Services von Drittanbietern, Krisenkommunikation, Unterstützung von Supportmitarbeitern und Beratungsleistungen für Fachexperten.

In Colorado musste Gouverneur John Hickenlooper 2 Mio. US-Dollar aus dem staatlichen Katastrophenhilfsfonds bereitstellen, nachdem Ransomware im Februar dieses Jahres bei CDOT, dem staatlichen Transportministerium, rund 2000 Windows-Systeme infiziert hatte. In weniger als acht Wochen gaben die CDOT-Beamten mehr als die Hälfte dieses Betrags aus, um die Systeme durch den Angriff wieder zu normalisieren.

Ransomware Angriff häufen sich. Nur wer eine gute Datensicherung hat kann sich etwaige extra Kosten so vielleicht ersparen. (c) Pixabay
Ransomware Angriff häufen sich. Nur wer eine gute Datensicherung hat kann sich etwaige extra Kosten vielleicht ersparen. (c) Pixabay

Es überrascht nicht, dass die Schätzungen der Branche in Bezug auf Ransomware-Schäden in letzter Zeit stark gestiegen sind. Cybersecurity Ventures, die Ransomware-Kosten im Jahr 2015 auf 325 Mio. US-Dollar angaben, schätzten die Schäden im vergangenen Jahr auf 5 Milliarden US-Dollar und prognostizierten, dass sie im Jahr 2019 11,5 Milliarden US-Dollar übersteigen würden.

Für Sicherheitsmanager, die versuchen eine Gesamtkostenschätzung für Ransomware zu erstellen, ist der Schlüssel sich nicht auf den Lösegeldbetrag allein zu fixieren. Selbst wenn Sie das Lösegeld schlussendlich bezahlen – wogegen sich die meisten Sicherheitsanalysten aussprechen – fallen die tatsächlichen Kosten des Angriffs in den meisten Fällen weit höher aus.

Daten– und Produktivitätsverlust sind zwei der größten Ransomware-Probleme für Führungskräfte um proaktiv zu planen“, meint Gary Mello, Sicherheitsexperte bei SentinelOne. „Die Gesamtkosten eines Angriffs müssen den Verlust und die Zerstörung von Daten, Ausfallzeiten und Produktivität sowie das Potenzial für Störungen nach dem Angriff im normalen Geschäftsablauf umfassen.“

Hinweis: Diese Erpressersoftware sollten Sie kennen

Hier einige offensichtlichen und einige weniger offensichtlichen Kosten, die Sicherheitsmanager für eine Ransomware-Angriffskalkulation berücksichtigen müssen.

Ransomware: Reaktions-, Wiederherstellungs- und Wiederaufnahmekosten

Viele der Kosten, die in diese Kategorie fallen, sind typisch für größere Sicherheitsvorfälle. Beispiele hierfür sind die Kosten für Computeruntersuchungen, digitale Forensik und das Identifizieren und Löschen von Malware, so Reg Harnish, CEO von GreyCastle Security, einer der Firmen, die ECMC nach dem Angriff geholfen haben. Es beinhaltet die Kosten für das Abrufen von Backups und Re-Imaging und das Wiederherstellen von beschädigten Daten und Systemen.

Sofern Sie nicht über ein großes und qualifiziertes Sicherheits-Team verfügen, müssen Sie externe Experten und Berater hinzuziehen, um Ihr System wiederherzustellen. Zudem müssen sie möglicherweise neue Mitarbeiter einstellen und bereit sein, diese für zusätzliche Arbeitszeit zu bezahlen, meint Harnish.

Je nach Malware müssen Sie möglicherweise die Technologie aktualisieren oder ersetzen. Dies wird mit Kosten verbunden sein, die Sie berücksichtigen müssen wenn Sie versuchen, die Auswirkungen eines Ransomware-Angriffs zu prognostizieren.

Die Qualität Ihrer Datensicherungen ist ein weiterer großer Faktor. Ihre Kosten werden wesentlich höher sein, wenn Sie keine qualitativ hochwertigen Datensicherungen haben oder wenn der Angreifer auch Ihre Datensicherungen löschen oder verschlüsseln konnte. „Je länger Ihre Systeme down sind, desto höher die Kosten„, bemerkt Harnish. Eine globale Ransomware-Studie von SentinelOne aus dem Jahr 2018 fand heraus, dass die durchschnittliche Stundenzahl für die Entschlüsselung verschlüsselter Dateien oder den Ersatz verschlüsselter Daten durch BackupDaten rund 40 Stunden betrug. 2016 waren es noch 33 Stunden.

Lösegeldforderung

Die Zahlung eines Lösegelds garantiert keine sofortige Datenwiederherstellung. Selbst wenn Sie das Lösegeld zahlen, und  der Bedrohungsakteur die Daten wie versprochen bereitstellen würde, benötigen Sie immer noch einige Zeit um alle Systeme und Daten wieder herzustellen, meint Harnish.

Im Fall von ECMC zum Beispiel wurden durch den Angriff rund 6.000 Computer zerstört. Wenn jedes System ein 1-Terabyte-Laufwerk hätte, das verschlüsselt worden wäre, hätte es den großteil einer Woche gekostet, alles zu entschlüsseln, erklärt Harnish weiter.

Wenn Ihre Organisation für zwei Wochen offline ist, müssen Sie, wenn Sie alle Ihre Daten wiederherstellen können, besprechen was Sie in den zwei Wochen, in denen Sie offline waren, umgesetzt haben. All das erzeugt weitere Kosten, vor allem, wenn Sie auch die Lösegeldzahlung berücksichtigen, meint Harnish. „Das Lösegeld zu bezahlen ist kein Allheilmittel. Es gibt immer noch Ausgaben und es kann nicht alle Ihre Probleme lösen.“

Auch wenn Ihre Systeme nach der Zahlung wiederhergestellt werden, ist es nicht möglich zu sagen, wie sicher sie sind, erklärt Jack Danahy, CTO und Gründer des Endpoint-Protection-Anbieters Barkly. „Es ist fast unmöglich, sicher zu sein, dass es keine Infektion oder Korruption gibt, ohne die Maschine neu aufzusetzen“, meint er.

Selbst die wiederhergestellten Datendateien können betroffen sein, so dass sie nach der Wiederherstellung weiterhin eine Bedrohung darstellen. „Da die Maschine und die Daten ohnehin neu aufgesetzt werden müssen, warum das Lösegeld bezahlen?“

Kosten bei Ausfall während und nach einem Ransomware-Angriff

Ein Ransomware-Angriff kann sich negativ auf Ihre Geschäftsfähigkeit auswirken. Die Zeit, die Ihre Organisation benötigt, um bei einem Angriff zu reagieren, stellt eine verlorene Geschäftsmöglichkeit dar. „Bei den schädlichsten Angriffen können die am schwersten betroffenen Opfer ihre Produkte oder Dienstleistungen nicht liefern“, sagt Danahy. Krankenhäuser könnten Patienten nicht behandeln, Technologieanbieter könnten ihre Dienste nicht anbieten, Versender könnten nicht versenden und Responder könnten nicht antworten, sagt er.

Jemand hat Sie gehackt. Ihre Daten sind gesperrt und nur wenn Sie der Lösegeldforderung des Hackers nachkommen bekommen Sie ihre Daten wieder zurück. Aber Achtung! Die Lösegeldforderung ist nicht der einzige Geldbetrag der im Zusammenhang mit einem Ransomware Angriff entstehen. (c) Pixabay
Jemand hat Sie gehackt. Ihre Daten sind gesperrt und nur wenn Sie der Lösegeldforderung des Hackers nachkommen bekommen Sie ihre Daten wieder zurück. Aber Achtung! Die Lösegeldforderung ist nicht der einzige Geldbetrag der im Zusammenhang mit einem Ransomware Angriff entstehen. (c) Pixabay

Im November 2016 legte ein Ransomware-Angriff vorübergehend Ticketing-Systeme des öffentlichen Transportsystems von San Francisco lahm. Während Sicherheitsingenieure daran arbeiteten das Problem zu beheben, verlor die Stadt die gesamten Einnahmen an Fahrttickets für mehr als einen Tag. Das Fazit: „Führungskräfte sollten die Kosten für Ausfallzeiten einzelner Machinen auf der Grundlage der Auswirkungen, die die Abwesenheit dieser Maschine auf ihr Geschäft haben wird, planen.“, rät Danahy.

Mit Ausfallzeiten sind auch andere Kosten verbunden. Je länger Ihr IT– und Sicherheitspersonal daran arbeitet, das Problem zu beheben, desto länger sind sie von den Aufgaben entfernt, die sonst in Ihrem Aufgabengebiet stehen.

Folgekosten eines Ransomware-Angriffs

Weitere Kosten die Unternehmen übersehen, sind die Auswirkungen die ein Ransomware-Angriff auf Lieferanten und andere Dritte haben kann, sagt Mello. Der globale Ransomware-Bericht von SentinelOne zeigt, dass 46 Prozent der Drittanbieter von Organisationen in den USA, die einen Ransomware-Angriff erlitten hatten, ebenfalls betroffen waren.

Fünfunddreißig Prozent dieser Partner und Lieferanten verloren Aufträge, während 23 Prozent finanzielle Verluste geltend machten. Das einzige Land in der Studie, in dem Dritte noch stärker betroffen waren, war Frankreich. „Die Trickle-down-Ökonomie von Ransomware kann weitreichende Auswirkungen auf Partner und die Lieferkette haben und wird oft übersehen“, so Mello.

Reputationsverlust durch einen Randsomware-Angriff

Eine der schwersten zu messenden und budgetierenden Kosten, ist der Reputationsschaden durch einen Ransomware-Angriff, meint Engin Kirda, Mitbegründer und Chefarchitekt bei Lastline. Einem Finanzinstitut zum Beispiel muss der Kunde vertrauen können. „Die allgemeine Annahme ist, dass die Organisation gegen Cyber-Bedrohungen gut vorbereitet ist“, so Kirda, der auch Professor an der Bostoner Northeastern University ist. „Kunden, die von einer Ransomware-Attacke oder einer damit verbundenen Cyberbedrohung hören, vertrauen der Organisation nicht mehr vollständig.“

Unternehmen die Opfer großer Attacken werden, erhalten weitreichende Aufmerksamkeit und müssen oft mit hohen Entschädigungszahlungen oder Bußgeldern rechnen. Für öffentliche Unternehmen gibt es auch potenzielle Verluste beim Aktienkurs, als Antwort eines Anlegers auf einen Angriff, bemerkt SentinelOne’s Mello. Er weist auf eine Studie 2017 von Oxford Economics hin, die im Auftrag des in Montreal ansässigen CGI durchgeführt wurde und zeigte, dass die Aktienkurse bei 65 öffentlichen Unternehmen, die schwere Angriffe erlitten hatten, im Durchschnitt um 1,8 Prozent fielen. Für eine typische Firma am Financial Times Stock Exchange 100 Index entspricht dies einem dauerhaften Marktkapitalisierungsverlust von über 160 Millionen Dollar.

„Keine Organisation möchte in einer Situation sein, in der viele Medien darüber berichten, wie viele sensible Benutzerdaten verloren gegangen sind.“, so Kirda.

Zusätzliche mit einem Ransomware-Angriff verbundene Kosten

Sofern Sie nicht schlüssig nachweisen können, dass nicht auf geschützte Daten bei einem Ransomware-Angriff zugegriffen wurde, müssen Sie dies als Datenschutzverletzung deklarieren. Das bedeutet, dass alle damit verbundenen Kosten für die Meldung von Verstößen und die Kommunikation in Krisensituationen und mögliche regulatorische oder gesetzliche Sanktionen ins Budget fallen, sagt Harnsih. Ein Verstoß kann auch rechtliche Gebühren auslösen, mehr regulatorische Kontrolle und die Kosten, die mit der Einhaltung von Verpflichtungen verbunden sind, die von Bundes- oder Landesbehörden auferlegt werden, erklärt er weiter.

„Für regulierte Branchen sollten Führungskräfte sich mit ihren Anwälten und Compliance-Teams treffen, um zu erfahren, ob bestimmte Ransomware-Angriffe veröffentlicht und ob betroffene Benutzer benachrichtigt werden müssen“, erklärt Danahy. Ransomware-Infektionen werden häufiger als Compliance-Ereignisse angesehen, sagt er. „Dies kann erhebliche Kosten bedeuten.“

Hinweis: Unternehmen steigern Ausgaben für Cyber Security-Maßnahmen

 

*Jaikumar Vijayan schreibt für CSO.


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*