Fertigungsindustrie Top-Ziel von Ransomware-Attacken

Arctic Wolf Threat Report: Ransomware-Taktiken entwickeln sich weiter und nehmen gezielt Industrien mit geringer Toleranz für Ausfallzeiten ins Visier. [...]

Arctic Wolf veröffentlichte seinen jährlichen Threat Report. Die Ergebnisse der neuesten Auflage zeigen, wie Cyberkriminelle ihre Methoden anpassen, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen: Sie setzen bei Ransomware-Attacken verstärkt auf Datendiebstahl, statt Daten nur zu verschlüsseln, verfeinern BEC-Betrügereien (Business E-Mail Compromise) und nutzen bekannte Schwachstellen aus, um Unternehmen weltweit zu infiltrieren. Der Industriesektor ist besonders anfällig für solche Angriffe und steht vor der Herausforderung, proaktive Maßnahmen zu ergreifen, um sensible Daten sowie die Produktion vor Ausfallzeiten und den damit verbundenen Kosten und Imageschäden zu schützen.

Der Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gibt tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeigt weltweite Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen für das Jahr 2025.

Ransomware-Angriffe: Fertigungsindustrie am stärksten betroffen

Trotz verstärkter Strafverfolgung machen Ransomware-Attacken mit 44 Prozent den größten Teil der erfassten IR-Fälle aus. Da Unternehmen immer bessere Backup-Strategien aufbauen und so eine schnellere Recovery möglich ist, haben Cyberkriminelle ihre Strategie angepasst und setzen bei ihren Angriffen nahezu immer auch auf Datenexfiltration. So stahlen die Angreifer in 96 Prozent der analysierten Ransomware-Fälle Daten. Die Täter können die erbeuteten Daten dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen.

Mit fast 19 Prozent macht die Fertigungsindustrie den größten Anteil der erfassten Ransomware-IR-Fälle aus. Die Fertigungsbranche ist traditionell ein besonders attraktives Angriffsziel für Cyberkriminelle: Zum einen gibt es vielfältige Supply-Chain-Verflechtungen und eine potenziell große Angriffsfläche, zum anderen stehen Fertiger unter dem Druck, Ausfallzeiten auf ein Minimum zu reduzieren. Weil die Kapazitäten von Fertigungsstrecken nicht beliebig skaliert werden können, drohen Produktionsausfälle, die nicht mehr aufgeholt werden können – von Vertragsstrafen, Lieferengpässen und Reputationsverlusten ganz abgesehen. Außerdem verfügen Hersteller oft über wertvolle Informationen über industrielle Prozesse und Kunden, was sie anfällig für Datenerpressung macht.

Die durchschnittlichen Lösegeldforderungen betragen ähnlich wie im Vorjahr 600.000 USD – ein lukratives Geschäft für Cyberkriminelle. Gleichzeitig haben die Auswertungen gezeigt, dass Opferunternehmen die geforderten Beträge mit Hilfe von professionellen Ransom-Verhandlern deutlich senken können. So mussten Unternehmen, die mit Arctic Wolf zusammenarbeiten, durchschnittlich nur 36 Prozent des ursprünglich geforderten Betrags zahlen.

„Ransomware-Gruppen haben ihr Geschäftsmodell weiterentwickelt: Selbst, wenn es eine gute Backup-Strategie gibt, setzt die Drohung, gestohlene Kunden- und Geschäftsdaten zu veröffentlichen oder weiterzuverkaufen, Unternehmen massiv unter Druck – oft mit verheerenden finanziellen und reputativen Folgen“, erklärt Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Diese Taktik macht klassische Backups als alleiniges Schutzmittel wirkungslos. Unternehmen müssen daher verstärkt auf umfassende Bedrohungserkennung, Zero-Trust-Strategien und proaktive Security-Operations-Ansätze setzen, um Angriffe frühzeitig zu identifizieren und Datenabflüsse zu verhindern.“

BEC: Angreifer folgen dem Geld

Business E-Mail Compromise ist eine spezielle Form des E-Mail-Phishings, bei der Angreifer versuchen, Unternehmen zur Überweisung von Geld oder zur Herausgabe vertraulicher Daten zu bewegen – etwa durch Account-Kompromittierung oder CEO-Fraud. BEC Incidents machen 27 Prozent der beobachteten IR-Fälle aus und sind damit weiterhin die zweithäufigste Betrugstaktik.

Im Fokus dieser Art des Cyberbetrugs stehen Organisationen, die im großen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungsbranche entfielen 26,5 Prozent der BEC-IR-Fälle, etwa doppelt so viele wie auf die zweitplatzierte Branche Rechtswesen und Verwaltung. Auch die Fertigungsindustrie ist von dieser Art der Cyberkriminalität betroffen – sie folgt mit 12 Prozent auf Platz drei.

„Phishing und kompromittierte Zugangsdaten bleiben die Hauptursachen für BEC-Angriffe. KI ermöglicht Bedrohungsakteuren immer raffiniertere, personalisierte Attacken, sodass Awareness-Trainings allein nicht ausreichen, allen Vorfällen vorzubeugen – sie helfen aber, die Vielzahl unsauber ausgeführter Angriffe schnell zu erkennen. Unternehmen sollten deshalb neben Schulungen auch auf starke Zugangskontrollen setzen. Eine Kombination aus Passwortmanagement und moderner Multi-Faktor-Authentifizierung, etwa biometrischen Verfahren oder physischen Sicherheitsschlüsseln, ist entscheidend, um den unbefugten Zugriff effektiv zu verhindern“, erklärt Schmerl.

Wenige Schwachstellen werden überproportional oft ausgenutzt

Intrusions waren mit 24 Prozent die dritthäufigste Ursache der aufgezeichneten IR-Fälle – ein deutlicher Anstieg gegenüber dem Vorjahr (14,8 Prozent). So wurden 2024 über 40.000 Sicherheitslücken verzeichnet. Auch bei den kritischen und schwerwiegenden Schwachstellen gab es einen Anstieg um 134,46 Prozent. Auch hier gehört die Fertigungsindustrie zu den Top-5-Angriffszielen.

In 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus, von denen alle bereits bekannte Sicherheitslücken waren, für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Die meisten dieser Vorfälle standen in Verbindung mit Remote-Access-Tools und von außen zugänglichen Systemen und Services. In einigen Fällen nutzten die Angreifer beispielsweise Fehlkonfigurationen wie offene Ports, von außen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten aus, um sich Zugang zu verschaffen. Dies zeigt deutlich, wie wichtig proaktives Patch-Management ist.

„Viele Unternehmen zögern mit der Implementierung von Patches, obwohl Schwachstellen längst bekannt und Updates verfügbar sind. Oft fehlen klare Prozesse, es gibt Bedenken wegen möglicher Betriebsunterbrechungen oder personelle Engpässe bestehen. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle“, so Schmerl. „Ein effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren. Fehlen die internen Ressourcen, um dies abzudecken, können Unternehmen mit Security-Partnern wie Arctic Wolf zusammenarbeiten, die sie langfristig dabei unterstützen, ihre Sicherheitslage zu verbessern.“