Ein Ransomware-Angriff kommt auf jedes Unternehmen zu; es ist nur eine Frage der Zeit. Wir von Trufflepig Forensics sehen bei unserer täglichen Arbeit die Kosten für einen solchen Angriff. Warum diese deutlich höher sind, als viele denken und warum Vorsorge nur ein Bruchteil der Kosten ausmacht, erklären wir in diesem Beitrag.
Nervöse IT Teams und Geschäftsführer, die eine Insolvenz vor Augen haben. Das ist leider immer wieder der Zustand, den wir beobachten, wenn wir zu einem Ransomware-Angriff gerufen werden. Diese Art der Angriffe gehören zu den teuersten und gefährlichsten Zwischenfällen in der IT.<
Ransomware ist ein Begriff, der auf das englische Wort „ransom" zurückgeht und sich auf den Zweck bezieht, zu dem Cyber-Kriminelle Schadprogramme einsetzen. Das Hauptziel von Ransomware ist die Verschlüsselung von Nutzerdaten. Sobald die Daten verschlüsselt wurden, versuchen die Angreifer, Lösegeld zu erpressen, indem sie drohen, die Daten erst nach Zahlung des meist digitalen Lösegelds wieder freizugeben. Opfer von Ransomware-Angriffen können alle Organisationsformen sein, also Großkonzerne, KMU, Krankenhäuser, Kommunen und eitere.
Die Bedrohungslage durch Ransomware nimmt kontinuierlich zu und laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI handelt es sich dabei um eine der größten operativen Bedrohungen der Cybersicherheit.
Ein solcher Angriff ermöglicht es den Angreifern, abhängig von der Zahlungsfähigkeit des Opfers, schnell hohe Summen zu erpressen.
Durch die immer stärkere Arbeitsteilung im Bereich Cybercrime (z. B. Ransomware-as-a-Service) ist die Einstiegshürde für solche Angriffe massiv gesunken.
Immer wieder sind wir im Alltag mit Ransomware-Angriffen konfrontiert. Die damit verbundenen Lösegeldforderungen betragen bis zu 2 Millionen Euro. Um die Höhe der Lösegeldforderung festzulegen, prüfen die Erpresser vorab genau, wie viel ein Unternehmen zahlen kann. Dabei gehen sie äußerst professionell vor und lassen unserer Erfahrung nach wenig Spielraum für Verhandlungen hinsichtlich des Betrags.
Wurde das Lösegeld bezahlt, ist der Ransomware-Angriff weiterhin nicht überstanden. Es ist nicht selten, dass die Erpresser das Kennwort der Verschlüsselung nach der Zahlung nicht übergeben und das System weiterhin verschlüsselt bleibt.
Doch auch wenn die Daten entschlüsselt werden können, entstehen während der Aufarbeitung des Angriffs weitere Kosten. Ein großer Faktor ist dabei in der Regel der Betriebsausfall.
Der Hauptteil der Kosten eines Ransomware-Angriffs resultiert in der Regel aus dem damit einhergehenden Betriebsausfall. Unsere Erfahrung zeigt, dass Unternehmen oft drei bis vier Wochen lang entweder überhaupt nicht oder nur eingeschränkt arbeiten können. Stellen Sie sich vor, was das für einen Betrieb mit 400 Angestellten bedeutet.
Welche Auswirkungen hätte ein solcher Betriebsausfall in Ihrem Unternehmen? Es ist entscheidend, diese Frage frühzeitig zu erörtern und Maßnahmen zu ergreifen, um vorbeugend agieren zu können.
Nicht immer ist das gesamte IT-System von einem Ransomware-Angriff betroffen. Gerade bei Systemen, die professionell geteilt wurden, kann der Schaden auf einen Bereich begrenzt sein, was bedeutet, dass oft ein großer Teil des Unternehmens weiterhin arbeitsfähig ist.
Im schlimmsten Fall wird ein Unternehmen nach einem Angriff allerdings überhaupt nicht mehr arbeitsfähig und geht in die Insolvenz. Vor einiger Zeit wurden wir von einem Unternehmen kontaktiert, welches Opfer einer Ransomware-Attacke geworden ist. Das Unternehmen hatte großes Glück: In ihrem Backup-System wurde ein letzter Snapshot gefunden, den die Angreifer offenbar übersehen und folglich nicht verschlüsselt hatten. Daran hing letztlich der Erfolg dieses Unternehmens. Ohne diese Sicherung hätte das Unternehmen seine kompletten Daten verloren, es hätte wahrscheinlich das Geschäft aufgeben müssen.
Die Wiederherstellungskosten sind ein weiterer signifikanter Posten der Gesamtkosten einer erfolgreichen Ransomware-Attacke. Abhängig von der Größe des Schadens und dem erforderlichen Aufwand können schnell Kosten von bis zu 100.000 € entstehen. Auch wenn eine Sicherungskopie vorhanden ist, die scheinbar nutzbar ist, kann ein zeitaufwendiger Säuberungsprozess erforderlich sein. Oftmals müssen die Systeme neu aufgesetzt werden, da die Ransomware in oft selbst in älteren Backups stecken kann. Werden diese installiert, ist die Ransomware weiter im System und beginnt erneut mit der Verschlüsselung.
Es ist daher wichtig, die Systeme mit professioneller Hilfe wieder in den betriebsbereiten Zustand zu versetzen. In einigen Fällen müssen sogar Hardwarekomponenten ersetzt werden.
Reputationsschäden durch Ransomware-Angriffe sind ein häufiges Problem. Besonders in Branchen, in denen ein guter Ruf ein wichtiger Faktor ist, können solche Schäden schwerwiegende Folgen haben. Ein Beispiel dafür ist die Logistikbranche, in der eine Unterbrechung der Lieferungen bei Kunden hohe Kosten verursachen kann. Eine unzuverlässige Lieferung führt daher schnell zu einem Image-Problem. Wenn ein Unternehmen gar zwei Wochen nicht liefern kann, weil es Opfer eines Ransomware-Angriffs geworden ist, sind langfristige Reputationsschäden ein wichtiger Kostenfaktor. Daher ist es wichtig, dass Unternehmen in der Logistikbranche und anderen Branchen, in denen Zuverlässigkeit ein wichtiger Faktor ist, sich vor Ransomware-Angriffen schützen.
Eine Frage stellen uns Unternehmer regelmäßig: Wie sehr lohnt sich eine Ransomware-Vorsorge? In der Regel sind Vorfälle sehr kostenintensiv und die durchschnittliche Schadenssumme steigt jedes Jahr an. Um die Wahrscheinlichkeit und die Kosten eines erfolgreichen Angriffs signifikant zu reduzieren, ist Vorsorge das beste Mittel. Die durchschnittlichen Kosten einer effektiven Vorsorge liegen unserer Erfahrung nach bei nur etwa 10 % der Kosten eines Ransomware-Angriffs.
Bei einem Mittelständler reicht häufig ein Investment von 10.000 bis 20.000 €, um einen signifikanten Unterschied zu erzielen, der die Schadenskosten bei einem Angriff deutlich reduziert.
Hat ein Unternehmen einen Incident-Response-Plan, der auch getestet wird, eine Zero-Trust-Policy und weitere kleine Vorkehrungen, sehen wir im Alltag eine durchschnittliche Kostensenkung auf 20 bis 25 % bei einem Angriff.
Wir empfehlen Unternehmen daher immer, in eine gute Ransomware-Vorsorge zu investieren, um sich vor teuren Schäden zu schützen. Hierfür bieten wir den Trufflepig Basisschutz an.