Widerstand nicht nur am Anti-Ransomware-Tag

Leider ist jeder Tag zurzeit Ransomware-Tag. Man müsste den Anti-Ransomware-Tag am Montag, den 12. Mai, also auf das ganze Jahr ausdehnen. Denn die Attacken eskalieren in Qualität und Quantität - das zeigt der Blick auf die Nachrichtenlage. [...]

Dabei suchen die Angreifer längst nicht mehr nur nach Lösegeld – sondern für das Eigenmarketing auch nach Schlagzeilen. Die jüngsten Attacken zielen verschärft auf Opfer mit hohem Bekanntheitsgrad, wie jüngst eine Oettinger Brauerei, oder auf kritische Lieferketten und zudem auf ein Höchstmaß von Ausfallzeiten. Denn das erhöht die Erpressbarkeit der Opfer.

Die Schäden sind auf jeden Fall groß, wenn auch die entstehenden Summen durch Lösegeldzahlungen, entgangene Geschäfte oder andere Aufwendungen schwer zu errechnen sind. Eine Studie von Eset für Großbritannien beziffert die Kosten im Jahr auf 64 Milliarden Pfund. Fast jedes vierte Unternehmen, das von Commvault und der Enterprise Strategy Group (ESG) weltweit befragt wurde, gab im Herbst 2024 zu, Lösegeld gezahlt zu haben. 8 Prozent der Befragten antworteten, im Höchstfall weniger als 50.000 Euro bezahlt zu haben, bei 28 Prozent lag dieser Wert aber zwischen einer und fünf Millionen US-Dollar. Darüber hinaus beklagten die Opfer weitere Schäden wie Reputationsverlust für das Unternehmen, Diebstahl sensibler Daten oder Complianceverstöße. Nur 18 Prozent der Befragten glaubten, von keinem der Probleme betroffen zu sein.

In Österreich war laut einer Studie von EY von 2024 jedes fünfte Unternehmen von erpresserischen Cyberattacken betroffen, vier Prozent sogar mehrfach – laut eigenen Angaben hat jedoch keines der betroffenen Unternehmen gezahlt. Cyberangriffe kosten den Unternehmen dennoch Geld: In 22 Prozent der Fälle fiel ein Schaden von unter 25.000 Euro an, bei neun Prozent lag er teils deutlich über dieser Summe. Die Dunkelziffer bleibt unklar, da mehr als die Hälfte der Befragten (53 Prozent keine Angaben zur Schadenhöhe machen wollte.

Planungsdefizite

Dennoch sind Unternehmen schlecht auf diese Krise vorbereitet, obwohl ein erfolgreicher Angriff gegen ihre Infrastruktur wahrscheinlicher geworden ist. IT-Teams konzentrieren sich oft darauf, Angriffe in erster Linie abzuwehren. Und sie investieren zu wenig, um erfolgreiche Attacken einzudämmen und ihre Folgen zu beseitigen. Denn echte Cyberresilienz erreicht nur der, wer sich von einem Angriff dank effizienter Recovery-Verfahren schnell erholen kann. Ganz wichtig ist dabei eine nachhaltige und malwarefreie Recovery in einem digitalen Reinraum. Eine solche sichere, isolierte und erst bei Bedarf eingerichtete digitale Umgebung, die garantiert noch nicht angegriffen wurde, beschleunigt den Wiederaufbau von Datenbeständen, Anwendungen und Infrastrukturen. Durch Auswahl eines nicht infizierten Point-in-Time rekonstruieren die Verantwortlichen den letzten Status malwarefreier Systeme.

Um ein fortlaufendes Geschäft zu gewährleisten, ist es entscheidend, wie schnell die Wiederherstellung einer minimal funktionierenden IT-Landschaft gelingt. Im Schnitt benötigt eine Wiederherstellung mittlerweile 24 Tage. Aber einige Opfer brauchen sogar mehr als 200 Tage für den Vorgang. Das hat mehrere Gründe. Sie sind schlecht vorbereitet und ihnen fehlt das nötige Wissen darüber, welche Systeme und Datensets essenziell sind, um einen Notbetrieb ihrer IT zu gewährleisten und von dort in einem Reinraum alle anderen Systeme sauber wieder aufzuspielen.

Dieses Notfallpaket unterscheidet sich von Organisation zu Organisation und setzt sich aus verschiedenen Bestandteilen zusammen. Eine Sparkasse wird neben der Internetverbindung Abbilder ihrer Bezahlterminals als essenziell einstufen, während ein Logistik-Unternehmen eher das Flottenmanagement oder die Bezahlprozesse fürs Tanken als kritisch definiert. Für alle Pakete gilt aber, dass die darunter liegende digitale IT-Infrastruktur – mitsamt der vor dem Angriff gültigen und sauberen Konfigurationen – wiederhergestellt wird.

Es kann jeden Tag soweit sein, dass Firmen oder öffentliche Institutionen ihre Resilienz beweisen und eine erfolgreiche Attacke eindämmen und deren Folgen beseitigen müssen. Firmen und Behörden sollten sich auf diesen Tag vorbereiten. Denn jeder Tag ist Ransomware-Tag.

*Nicolas Veltzé ist Regional Sales Senior Director and General Manager Austria, Switzerland bei Commvault.

Zur Studie: Die Enterprise Strategy Group hat im Auftrag von Commvault weltweit 500 IT- und Cybersicherheitsprofessionelle aus Unternehmen der unterschiedlichsten Größen und Branchen in den Regionen Nordamerika (35 Prozent der Befragten) mit USA, Kanada, Westeuropa (35 Prozent) mit Frankreich, Deutschland und Großbritannien sowie Asia/Pacific (30 Prozent) mit Australien/Neuseeland für die Studie „Preparedness Gap: Why Cyber-recovery Demands a Different Approach From Disaster Recovery“ befragt. Die Teilnehmer verteilten sich zu gleichen Teilen auf die drei Regionen. Die gesamte Studie finden Sie hier.