zurück zur Übersicht

The Rise (and fall?) of Ransomware

Warnschuss: der "Rise of Ransomware" Report mahnt zum RealitätsabgleichMit der Studie „The Rise of Ransomware“ liefert das Ponemon Institute in Zusammenarbeit mit Carbonite Einsicht in ein Thema, das aktuell jeden betrifft, der hin und wieder an einem internetfähigen Gerät sitzt.

Also, Hand aufs Herz, uns alle.

In der Studie wurden 618 Mitarbeiter von Unternehmen in den Vereinigten Staaten über Ransomware-Zwischenfälle befragt. Jeder der Befragten ist für Ransomware-Infektionen zuständig, sei es als Manager, als Business Owner oder als Techniker.

Damit gehören die Studienteilnehmer zu der Klasse von Mitarbeitern, deren Einschätzung über die Ransomware-Lage in Unternehmen am aussagekräftigsten ist. Die meisten von ihnen liefern ihre Einschätzungen und Informationen direkt an den CIO, CEO oder CISO.

Auch die Zusammensetzung der befragten Firmen ist sehr gemischt. So sind sowohl Unternehmen aus dem Finanzsektor, als auch aus dem Gesundheitswesen, Energie- und Technologiewesen, sowie aus dem öffentlichen Sektor in der Liste vertreten. Im Schnitt hat jeder von ihnen mehr als 300 Mitarbeiter weltweit. Ein wertvoller Schnitt quer durch die Unternehmenslandschaft also!

Abgleich mit der Wirklichkeit

Deshalb sind die Ergebnisse der Studie – wenn auch nicht weiter überraschend – trotzdem einen zweiten Blick wert. Die vollständige Studie gibt es hier (Achtung: pdf-Datei!).Ein paar interessante Fakten zum Abgleich mit der eigenen Wahrnehmung:

  • 75% der Befragten glauben, dass ihre Firma für einen gezielten Angriff zu klein ist.

Tatsächlich sorgt die „niedrige Zahlungsmoral“ im privaten Sektor dafür, dass sich der Fokus der Angriffe verschoben hat. Wir berichteten schon darüber, dass verstärkt Firmen angegriffen werden. Trotzdem wäre es fahrlässig, sich einfach so zurückzulehnen und in Sicherheit zu wiegen, denn:

  • 51% der Befragten gaben an, dass ihr Unternehmen im letzten Jahr von Ransomware attackiert worden ist
  • 59% dieser Betroffenen glauben an einen gezielten Angriff

Das passt nicht nur im ersten Moment nicht zu den Ergebnissen der ersten Frage. Es ist ein Warnschuss zum Abgleich mit der Realität. Die gezielten Angriffe gibt es tatsächlich, zumal insbesondere kleine und mittelständische Unternehmen oftmals unter Pauschalverdacht stehen, sich nicht ausreichend abzusichern. Aus Sicht von Angreifern sind sie also ohne Zweifel ein lohnendes Ziel.

Dazu kommt, dass ein Großteil der Befragten außerdem auch noch sicher ist, dass ein Ransomware-Zwischenfall bei ihnen großen Schaden anrichten könnte. Das betrifft sowohl den Verlust von Kunden als auch den Ausfall der Systeme oder der Produktion und die nötige Mehrarbeit von Mitarbeitern. Allein 42 Stunden vergehen durchschnittlich für jede entdeckte (!) Ransomware, bis die befallene Maschine wieder einigermaßen hergerichtet ist. Von den potentiellen Schäden an kritischer Infrastruktur noch gar nicht zu reden.

Mitarbeiter als Sicherheitsrisiko?

  • 58% glauben, dass ihre Belegschaft das höchste Sicherheitsrisiko darstellt
  • nur 29% der Befragten trauen ihren Angestellten die Erkennung potentieller Ransomware zu

Auch das ist wahrscheinlich eine zutreffende Beobachtung, zumal die meisten Infektionen über gefälschte E-Mails mit präparierten Anhängen (Phishing oder Spoofing) oder über unsichere Websites ins System gelangen. Mit „Bernd und der Killer-Mail“ haben wir uns in diesem Blog schon einmal befasst. Aber auch gefälschte Bewerbungen, Angebote oder Rechnungen sind eine Herausforderung für jede Personal-, Vertriebs- oder Rechnungsabteilung. Trainings und Schulungen können Abhilfe schaffen, sind jedoch bei manchen, sehr raffinierten Spear-Phishing-Attacken zu wenig effektiv.

Ein Hoffnungsschimmer

  • 47% der Befragten glauben, dass ihre Firma niemals Lösegeld zahlen würde
  • lediglich 55% der bezahlten Lösegelder haben tatsächlich dazu geführt, dass die Rechner entsperrt wurden

Die geringe Zahlungsbereitschaft liegt zum Teil daran, dass die Befragten angeben, ein sicheres Backup zu haben, aber auch daran, dass ihre Firma sich grundsätzlich nicht erpressen lässt. Das sind hoffnungsvolle Aussichten, die sich im besten Fall verbreiten. Lohnt sich die Erpressung mit Malware nicht mehr, wird sie sich auch nicht weiterentwickeln. Bei regelmäßig beglichenem Lösegeld entwickelt sie sich mehr und mehr zu einem aussichtsreichen Geschäftsmodell mit Programmierern mit geregelten Arbeitszeiten. Jede Zahlung sorgt also für bessere Überlebenschancen dieses erpresserischen Geschäfts.

Was die Zahlungsbereitschaft ebenfalls nicht gerade erhöht: knapp die Hälfte der Lösegelder ist vollkommen umsonst gezahlt worden. Diese Zahl sollte fett geschrieben und rot markiert jeden Betroffenen aufmerksam machen. Nur 55% der zahlenden „Kunden“ von Ransomware-Entwicklern werden tatsächlich beliefert. Eine sehr schlechte Quote, selbst für einen kriminellen Dienstleister. Ist dieses Risiko die Zahlung wirklich wert? Oder ist dieser Betrag in der Prävention nicht besser angelegt? Aber auch das ist nicht so einfach und anerkannt wie gedacht.

Im Kampf gegen Ransomware

  • 27% der Befragten glauben, dass ihre eigene AV-Lösung Ransomware aufhalten kann
  • 44% gestehen, dass mindestens einmal pro Monat eine Ransomware an ihren Sicherheitsmechanismen vorbeischlüpft

Diese Vermutung ist symptomatisch. Dabei gibt es durchaus gute Lösungen zum Schutz gegen Ransomware, sogar gegen aktuelle Varianten. Wir haben es erst kürzlich frisch getestet und die Ergebnisse in einem Report zusammengefasst. Nur ist es notwendig, genauso wie die Malware-Entwickler auf dem neuesten Stand der Technik zu sein. Klassische signaturbasierte Erkennung ist längst vollkommen machtlos gegen modernen Schadcode.

Das bedeutet nicht, dass auf den Aufstieg von Ransomware nicht früher oder später auch automatisch ihr Fall folgt. Einfach abzuwarten wird eher zu weiteren schweren Angriffswellen führen. Von allein wird diese Masche nicht von der Bildfläche verschwinden. Dafür müssen wir selbst aktiv werden.

Schreibe einen Kommentar