Ransomware-Angriffe werden durch den Einsatz von künstlicher Intelligenz zunehmend gefährlicher, während viele Unternehmen ihre eigene Sicherheitslage deutlich überschätzen. ITWelt.at hat sich eine aktuelle Studie von CrowdStrike angesehen. [...]
Laut der globalen Erhebung „State of Ransomware Survey“ von CrowdStrike betrachten sich viele Organisationen als gut vorbereitet auf Ransomware-Angriffe – die Realität zeigt jedoch das Gegenteil. Befragt wurden 1.100 IT- und Sicherheitsverantwortliche aus sieben Ländern, darunter Deutschland, Frankreich, Großbritannien und die USA. Ganze 78 Prozent der Unternehmen waren im vergangenen Jahr von Ransomware betroffen. Die Hälfte dieser Organisationen hielt sich für „sehr gut vorbereitet“, doch nur 22 Prozent konnten innerhalb von 24 Stunden vollständig wiederherstellen. Fast ein Viertel erlitt massive Ausfälle oder Datenverluste.
CrowdStrike spricht von einer gefährlichen „Vertrauensillusion“. Während Angreifer zunehmend auf KI-gestützte Angriffsmethoden setzen, halten viele Unternehmen an veralteten Schutzmechanismen fest. Echte Resilienz erfordert laut Studie eine ehrliche Selbsteinschätzung, KI-gestützte Abwehrmechanismen und integrierte Bedrohungsanalysen.
Falsche Sicherheit: Diskrepanz zwischen Führung und IT
Ein zentrales Problem ist die unterschiedliche Wahrnehmung zwischen Management und Sicherheitsteams. 76 Prozent der Befragten berichten von einem wachsenden Auseinanderdriften in der Bewertung der eigenen Sicherheitslage. Während 54 Prozent der Führungskräfte ihr Unternehmen als „sehr gut vorbereitet“ einschätzen, teilen diese Ansicht nur 46 Prozent der IT-Verantwortlichen. Diese Fehleinschätzung kann gravierende Folgen haben, da sie zu falschen Prioritäten bei Investitionen führt.
Besonders groß ist diese Diskrepanz in Singapur (92 Prozent) und im Energiesektor (94 Prozent). Die Studie empfiehlt, den Austausch zwischen Sicherheitsabteilungen und Führungsebene zu intensivieren, um auf realistische Einschätzungen zu kommen und kritische Investitionen nicht zu verschleppen.
Regionale Unterschiede in der Krisenbewältigung
Die Studie zeigt deutliche regionale Unterschiede: In den USA halten sich 51 Prozent der Befragten für gut vorbereitet, aber nur 17 Prozent erreichen eine Wiederherstellung innerhalb von 24 Stunden. In Großbritannien und Deutschland gelingt dies 35 bzw. 25 Prozent, während in Singapur trotz hoher Eigenbewertung (58 Prozent „sehr gut vorbereitet“) lediglich 7 Prozent binnen eines Tages wiederherstellen konnten. Europäische Unternehmen tendieren laut CrowdStrike zu einer konservativeren Selbsteinschätzung, zeigen jedoch bessere Wiederherstellungszeiten.
Branchenspezifische Schwächen
Auch zwischen den Branchen gibt es klare Unterschiede. Besonders kritisch ist die Lage im öffentlichen Sektor: 60 Prozent der Befragten geben an, sehr gut vorbereitet zu sein, doch nur 12 Prozent konnten binnen 24 Stunden wiederherstellen. Ähnlich problematisch ist die Situation im produzierenden Gewerbe, wo 58 Prozent von hoher Vorbereitung sprechen, aber ebenfalls nur 12 Prozent schnell wieder arbeitsfähig waren. Die Finanzbranche bildet hier die Ausnahme: 38 Prozent der Unternehmen erreichten eine Wiederherstellung am selben Tag – ein Spitzenwert im Branchenvergleich.
Phishing bleibt Haupteinfallstor
Der häufigste Angriffsvektor ist nach wie vor Phishing: 45 Prozent der befragten Opfer geben an, dass der Angriff mit einer manipulierten E-Mail begann. Trotz intensiver Schulungen – 92 Prozent der Unternehmen glauben, ihre Mitarbeiter seien gut geschult – öffnen Angestellte weiterhin gefährliche Anhänge oder klicken auf infizierte Links. Weitere häufige Einfallstore sind ausgenutzte Sicherheitslücken (40 Prozent), kompromittierte Zugangsdaten (33 Prozent) oder der Missbrauch legitimer Fernwartungstools wie RDP oder AnyDesk (31 Prozent).
Besonders besorgniserregend: 84 Prozent der Unternehmen beobachteten einen Anstieg von Phishing- oder Credential-Angriffen, die sie als KI-gestützt einstufen. Moderne Angreifer nutzen KI, um E-Mails authentischer, kontextbezogener und damit schwerer erkennbar zu gestalten.
Die KI-Aufrüstung: Angreifer agieren schneller
76 Prozent der Befragten bestätigen, dass es immer schwieriger wird, sich auf KI-gestützte Angriffe vorzubereiten. KI verändere die Spielregeln: Während Angreifer ihre Prozesse automatisieren, bleiben Verteidiger oft an menschliche Reaktionszeiten gebunden.
87 Prozent halten KI-generierte Social-Engineering-Taktiken für überzeugender als herkömmliche Methoden. Besonders besorgt zeigen sich Führungskräfte und das Gesundheitswesen – 90 beziehungsweise 89 Prozent erwarten, dass Deepfakes künftig eine zentrale Rolle bei Angriffen spielen werden. 82 Prozent der Befragten glauben zudem, dass GenAI-gestützte E-Mails auch für geschulte Mitarbeiter kaum noch erkennbar sind.
Verteidiger geraten ins Hintertreffen
45 Prozent der befragten Organisationen befürchten, dass sie Angriffe nicht mehr so schnell erkennen oder abwehren können, wie KI-basierte Attacken ausgeführt werden. 85 Prozent halten herkömmliche Erkennungsmethoden für zunehmend ineffektiv, während nur etwas mehr als die Hälfte (53 Prozent) bereits KI-gestützte Systeme nutzt.
Der öffentliche Sektor hinkt bei der Einführung dieser Technologien besonders hinterher. Nur 41 Prozent verwenden KI-basierte Erkennungssysteme, verglichen mit 54 Prozent im Gesundheitswesen und 50 Prozent im Finanzsektor. Diese Lücke könnte laut Studie angesichts sensibler Datenbestände besonders riskant sein.
Zahlen, die nachdenklich stimmen: Ransom-Zahlung lohnt sich selten
Die wirtschaftliche Analyse der Studie zeigt: Lösegeldzahlungen bringen kaum Vorteile. 83 Prozent der Unternehmen, die zahlten, wurden erneut angegriffen, meist von derselben oder einer anderen Gruppe. 93 Prozent gaben an, dass ihre Daten trotz Zahlung entwendet wurden, und 45 Prozent konnten nicht einmal alle Daten wiederherstellen.
Auch Backups sind kein Allheilmittel: 39 Prozent der betroffenen Organisationen konnten nicht vollständig aus Sicherungen rekonstruieren, und selbst bei erfolgreicher Wiederherstellung bleibt der Reputationsschaden erheblich. Im Durchschnitt beziffert CrowdStrike die Kosten für Ausfallzeiten auf 1,7 Millionen US-Dollar pro Vorfall. Im öffentlichen Sektor sind es sogar 2,5 Millionen US-Dollar.
Ransomware als Geschäftsmodell
Angreifer agieren laut Studie zunehmend wie Unternehmen – mit klaren Strukturen, Automatisierung und Spezialisierung. Fast die Hälfte der Befragten sieht in der Beschleunigung und Automatisierung von Angriffen die größte Bedrohung. Multi-Extortion-Strategien, bei denen Verschlüsselung, Datendiebstahl, DDoS-Angriffe und Lieferkettenkompromittierungen kombiniert werden, erhöhen die Komplexität zusätzlich.
Insbesondere in der Region Asien-Pazifik agieren organisierte Gruppen wie „FunkLocker“ oder „KillSec“ nach dem Prinzip eines professionellen Dienstleisters, der gezielt Unternehmen mit schwacher Abwehr auswählt. Diese Entwicklung verdeutlicht, wie sehr Cyberkriminalität mittlerweile nach betriebswirtschaftlichen Prinzipien operiert.
Reaktion statt Prävention: Schwächen nach dem Angriff
Nach einer Attacke investieren viele Unternehmen zwar in ihre IT-Sicherheit, doch oft fehlt eine gezielte Strategie. 51 Prozent erhöhen ihre Ausgaben allgemein, 47 Prozent verbessern Überwachungs- und Erkennungssysteme und 45 Prozent schulen ihr Personal. Nur 38 Prozent jedoch beheben gezielt die Schwachstelle, die den Angriff ursprünglich ermöglichte – ein wesentlicher Grund, warum viele erneut Opfer werden.
Wege zu echter Ransomware-Resilienz
CrowdStrike fordert einen Paradigmenwechsel. Unternehmen sollen nicht länger auf subjektive Selbsteinschätzung vertrauen, sondern ihre Fähigkeiten regelmäßig durch Red-Teaming, Simulationen und Wiederherstellungstests überprüfen. Nur real gemessene Reaktionszeiten und geübte Notfallabläufe bieten eine verlässliche Grundlage für strategische Entscheidungen.
Auch die Kommunikation zwischen IT-Teams und Führungsebene müsse verbessert werden. Gemeinsame Metriken, die den tatsächlichen Sicherheitsstatus widerspiegeln, sollen helfen, Ressourcen gezielter einzusetzen.
KI als Verteidigungsinstrument
Die Studie betont, dass klassische Sicherheitskonzepte den heutigen Angriffsmethoden kaum noch standhalten. KI-gestützte Systeme zur Erkennung verdächtiger Verhaltensmuster gelten als entscheidend, um Angriffe frühzeitig zu stoppen. Insbesondere die Integration von Endpoint-, Identitäts- und Cloud-Schutzlösungen könne die Reaktionsgeschwindigkeit deutlich erhöhen.
Organisationen, die noch auf klassische Antivirus-Lösungen setzen, erleiden laut Studie deutlich höhere Schäden. Deutlich erfolgreicher sind Unternehmen mit moderner Endpoint Detection and Response (EDR), Identity Threat Detection (ITDR) und eingebetteter Bedrohungsanalyse.
Kulturwandel und Schulung bleiben unerlässlich
Trotz technischer Fortschritte bleibt der Faktor Mensch zentral. Schulungen müssen neu gedacht werden – traditionelle Phishing-Trainings greifen nicht mehr, wenn Angreifer KI-gestützte Deepfakes oder Sprachklone einsetzen. Sicherheit soll zur Unternehmenskultur werden: Verdächtige Aktivitäten müssen offen gemeldet, Informationen zwischen Teams ausgetauscht und Mitarbeiter aktiv in Sicherheitsprozesse eingebunden werden.
Ziel ist laut Studie nicht, Menschen zu ersetzen, sondern sie durch Technologie zu unterstützen. KI soll Routineaufgaben übernehmen, damit Analysten sich auf komplexe Entscheidungen konzentrieren können.
Das Fazit der ITWelt-Redaktion
Die CrowdStrike-Erhebung verdeutlicht, dass Ransomware nicht nur eine technische, sondern zunehmend eine strategische Herausforderung ist. Unternehmen unterschätzen die Geschwindigkeit und Anpassungsfähigkeit moderner Angreifer, während organisatorische und kommunikative Defizite ihre Verteidigungsfähigkeit zusätzlich schwächen.
Ransomware entwickelt sich weiter – getrieben von KI, Automation und professionellen Strukturen. Erfolgversprechende Abwehrstrategien setzen auf realistische Risikoeinschätzung, integrierte Schutzarchitekturen und eine Sicherheitskultur, die Mensch und Maschine gleichermaßen einbindet.
Die Studie kann hier heruntergeladen werden.
Be the first to comment