Ransomware: Wer stillsteht, verliert

Im Kampf gegen Cyberkriminelle können es sich Unternehmen nicht leisten, auf der Stelle zu treten. Andreas Müller, Vice President Enterprise Sales CE bei Delinea, verrät, warum sie insbesondere ihre Ransomware-Abwehr überdenken müssen und was es für den Schutz gegen die Cybererpresser braucht.

Die Anzahl erfolgreicher Cyberangriffe geht erneut durch die Decke, so Bitkom. Demnach ist der Anteil der betroffenen Unternehmen im Jahr 2024 von 72 auf 81 Prozent gestiegen. Bei etwa einem Drittel (31 Prozent) davon richtete Ransomware den größten Schaden an (2023: 23 Prozent).

Doch was begünstigt den Erfolg von Ransomware-Angriffen?

Wer über die Anmeldedaten von Personen aus einem Unternehmen verfügt, kann sich in der Regel ganz einfach im System anmelden und sich frei bewegen – sofern keine zusätzlichen Sicherheitsmechanismen wie Multifaktor-Authentifizierung oder eingeschränkte Zugriffsprivilegien aktiv sind. Für ein zusätzliches „Taschengeld“ verkaufen viele Betrüger die Anmeldedaten im Dark Web, was zum Wachstum des Ransomware-Marktes beiträgt (Initial Access Broker).

Bekannt als Ransomware-as-a-Service-Modell bieten kriminelle Gruppen und Einzelgänger darüber hinaus sowohl ihre Dienste als auch ihre Tools gegen Zahlung im Dark Web an. Damit können sogar Cyber-Crime-Laien ohne nennenswerte Hacking Skills Unternehmen erpressen. Ein weiteres rentables Geschäftsmodell bildet Double Extortion – also die doppelte Erpressung: zunächst durch Datenverschlüsselung und anschließend durch Veröffentlichung oder Verkauf der Daten an Höchstbietende.

And last, but not least: Cyberkriminellen steht – wie allen anderen auch – die Welt zu neuen Technologien offen. Mithilfe von KI steigern sie zum Beispiel die Erfolgsrate ihrer Phishing-Kampagnen, indem sie damit unter anderem die Inhalte glaubwürdiger gestalten.

Wo hakt es in IT-Abteilungen?

Es gibt verschiedene Faktoren, die es Cyberkriminellen unter günstigen Umständen besonders leicht machen, Unternehmen Ransomware unterzujubeln und sich dadurch sensible Daten unter den Nagel zu reißen. Diese Schwachstellen erklären, wieso Angriffe so häufig und erfolgreich sind und warum Unternehmen lange unter den Folgen von Ransomware-Attacken leiden müssen.

• Die Bereitschaft, nachzugeben

Über die Hälfte der Unternehmen haben sich laut einer aktuellen Studie gegen die allgemein bekannten Handlungsempfehlungen entschieden und das verlangte Lösegeld mit der Aussicht gezahlt, den Wiederherstellungsprozess zu beschleunigen. Allerdings haben sie es mit Kriminellen zu tun, die nicht immer ihr Wort halten. 26 Prozent, die sich auf die Forderungen eingelassen haben, erhielten ihre Daten nicht zurück. Somit gibt es keine Garantie, dass Angreifer die verschlüsselten Systeme und Daten wieder freigeben, geschweige denn darauf verzichten, ihre Ausbeute im Dark Web zu Geld zu machen.

• Alleiniges Vertrauen in die Basics

Wenn es um Cybersicherheit geht, setzen sehr viele Unternehmen auf diese vier Top-Maßnahmen: regelmäßige Updates, Backups sensibler Daten, vorgeschriebene Passworthygiene sowie Anwendungskontrollen. Robustere Mechanismen wie Identity- und Access-Management sucht man hier vergeblich. So hilfreich die aufgezählten Maßnahmen auch sind – die steigende Anzahl von Ransomware-Opfern beweist, dass sie allein nicht ausreichen, um sich wirksam gegen Phishing-Angriffe und Datendiebstahl zu schützen. 

• Ein verschobener Fokus

Auch wenn es in vielen Unternehmen an fortschrittlicheren Sicherheitsmaßnahmen fehlt, sind die meisten von ihnen (90 Prozent) zumindest teilweise auf den Ernstfall vorbereitet. Dieser Anteil verfügt nach eigenen Aussagen nämlich über Incident-Response- und Backup-Pläne. Allerdings zeigen die Umfrageergebnisse auch hier, dass die Konzepte mit hoher Wahrscheinlichkeit ihre Lücken haben. Denn 75 Prozent der Unternehmen benötigten im Schnitt zwei Wochen, um sich von einem Ransomware-Angriff zu erholen und ihre Ressourcen wiederherzustellen. Lediglich 18 Prozent schafften das innerhalb von 24 Stunden.

Prävention statt Reaktion

So lange es Sicherheitslücken gibt und Opfer bereitwillig das Lösegeld zahlen bleibt die Bedrohung bestehen. Gleichzeitig vergrößert sich aufgrund technologischer Innovationen die Angriffsfläche in Unternehmen, was Cyberkriminellen in die Karten spielt und den Schutz vor Datendiebstahl verkompliziert. Das macht eine präventive, proaktive und mehrschichtige Abwehrstrategie unerlässlich, die grundlegende und fortschrittliche Sicherheitsmaßnahmen sowie Incident-Response- und Recovery-Pläne miteinander verbindet.

Dazu gehören zum einen die wichtigen Basics wie risikobasiertes Patching, regelmäßige Backups, Anwendungskontrollen, aber auch Security-Awareness-Schulungen für alle Mitarbeitenden. Zum anderen spielt das Thema Access- und Identity-Management eine essenzielle Rolle. In diesem Kontext bilden Privileged Access Management, Least Privilege, Governance und Zero Trust den Hauptbestandteil einer robusten Sicherheitsstrategie. Denn nur wer ganz genau weiß, welche Mitarbeitenden und Geräte sich im Netzwerk befinden und ihnen nur ein Mindestmaß an Privilegien zuschreibt, kann das Risiko durch ungewollte Dritte minimieren. 

Der Einsatz von KI-Technologien kann die Ransomware-Abwehr zusätzlich stärken. Dabei geht es vor allem darum, potenzielle Bedrohungen und aktive Angriffe so schnell wie möglich aufzudecken. Dafür eignet sich ein KI-gestütztes Sicherheitssystem besonders gut, da es Unmengen an Daten durchgehend analysieren und Ausschau nach verdächtigen Mustern und Abweichungen halten kann (Indicators of Compromise). Neben Bedrohungsdaten kann es auch nach Verhaltensauffälligkeiten, unerwartet überprivilegierten Identitäten und nach verdächtigen Inhalten in E-Mail – sowohl im Text als auch im Anhang – suchen.

Künftig wird zudem das Thema Agentic AI im Security-Bereich zunehmend an Bedeutung gewinnen, da ein solches System autonom Aufgaben wie Threat Hunting und Intelligent Policy Authorization übernehmen kann und somit bereits stark unterbesetzte und unterbudgetierte IT-Teams noch mehr entlastet.