Wirtschaft

Ransomware: Back-ups von Unternehmen sind Angriffsziel Nr. 1

Mitarbeiter erblickt nach einer Ransomware-Attacke völlig unverständliches Kauderwelsch auf seinem Laptop-Bildschirm

Datensicherheits-Experte Mario Zimmermann erklärt Studienergebnisse, die zeigen, wie Firmen mit Ransomware-Angriffen umgehen.

Von David Kotrba

11.11.24, 05:00

Wenn Kriminelle es schaffen, in das Computernetzwerk eines Unternehmens einzudringen und wichtige Daten quasi zu kidnappen und dafür Lösegeld zu verlangen, kann das sehr unangenehm werden. Auch öffentliche Institutionen können ein trauriges Lied von Ransomware-Angriffen erzählen, etwa die Kärntner Landesverwaltung, die 2022 schwer damit zu kämpfen hatte. Der Datensicherungsspezialist Veeam Software hat eine neue Studie zu Ransomware-Trends veröffentlicht. Wir haben mit Veeam Regional Director für Österreich Mario Zimmermann über die Ergebnisse gesprochen.

Fakten

Ransomware
ist eine bösartige Software, die darauf abzielt, den Zugriff auf Daten zu blockieren. Sie verschlüsselt Dateien. Firmen müssen Cyberkriminellen hinter der Attacke dann ein Lösegeld zahlen, um den Schlüssel zur Entschlüsselung zu erhalten

Back-ups
sind Sicherheitskopien von Daten. Sie werden im Idealfall regelmäßig automatisiert erstellt, auf Festplatten, Cloud-Speicherdiensten im Internet oder Magnetband

KURIER: Bei Unternehmen, die Ransomware-Angriffe erlitten, wurden 40 Prozent der Produktionsdaten verschlüsselt. Wieso nicht 100 Prozent? Zielen Angreifer nicht darauf ab?
Mario Zimmermann: Das hängt von mehreren Faktoren ab. Erfahrungsgemäß befinden sich Angreifer schon über Monate hinweg in den IT-Systemen eines Unternehmens und greifen auf Wirtschaftsdaten zu, tätigen vielleicht sogar Überweisungen. Erst wenn sie merken, sie fliegen auf, werden Daten verschlüsselt. Es ist der letzte Versuch abzukassieren. Aber Daten sind ja verteilt, auf mehrere Firmenstandorte oder Cloud-Dienste. Angreifer haben oft keinen Zugriff auf alle Daten. Aber 40 Prozent bedeuten schon ein echtes Problem.

Wie die gefährlichste Cybergang der Welt zu Fall gebracht wurde

81 Prozent der betroffenen Unternehmen zahlen Lösegeld, um ihre Daten wieder entschlüsseln zu können, aber nur 54 Prozent erhalten ihre Daten tatsächlich wieder zurück. Wie ratsam ist es also zu zahlen?
Da scheiden sich die Geister. Am Ende des Tages ist das Bezahlen oftmals die einzige Möglichkeit, sofern man nicht selbst einen Weg heraus findet. Die Wahrscheinlichkeit, dass Geld fließt, ist hoch, aber ohne zu wissen, was man zurück bekommt. Man weiß nicht, wie vertrauenswürdig Betrüger sind. Außerdem hat man ständig das Risiko einer Reinfektion, auch wenn ich die Daten wieder bekomme.

28 Prozent der betroffenen Unternehmen haben gezahlt, konnten die verlorenen Daten aber nicht wiederherstellen. Heißt das, sie wurden reingelegt?
Genau so ist es. Auch wenn ich den richtigen Schlüssel bekomme, kann ich Daten oft nicht sofort wiederherstellen und nutzen. Manchmal dauert es Tage oder Wochen, bis die Entschlüsselung durchgeführt ist.

14 Prozent der betroffenen Unternehmen konnten ihre Daten wiederherstellen, ohne Lösegeld zu zahlen. Wie?
Durch Back-ups. Die Zahl ist extrem gering. 86 Prozent der Unternehmen haben es nicht geschafft, einen Ransomware-Angriff unbeschadet zu überstehen.

"Erschreckend": Europas Industrie ist schlecht auf Cyberattacken vorbereitet

Nicht jedes Back-up ist automatisch sicher

Back-ups sind offenbar eine große Baustelle. 75 Prozent der dafür zuständigen Administratoren halten eine Generalüberholung ihres Systems für erforderlich. Wird das Thema nicht ernst genommen?
Es wird definitiv ernst genommen, aber Unternehmen stehen vor Herausforderungen. Manchmal erschwert die wirtschaftliche Situation Investitionen. IT-Abteilungen sind extrem unter Druck und haben kaum Zeit. Die Härtung und Absicherung von Daten trägt außerdem nichts zum Geschäft des Unternehmens bei. Es ist schwierig, diesen Spagat zu schaffen.

Manchmal sind aber offenbar auch Back-ups keine Versicherung gegen Ransomware, richtig?
Wir haben im Laufe der Jahre gemerkt, dass Back-up-Umgebungen zum Angriffsziel Nummer eins geworden sind. Angreifer versuchen zuerst, Back-ups zu verschlüsseln, erst dann werden die restlichen Daten verschüsselt. Man kann sich aber darauf vorbereiten und sicherstellen, dass Back-ups nicht verändert werden können. Man spricht von gehärteten Umgebungen, von "Immutability". Dabei wird sichergestellt, dass Back-ups nicht von Ransomware-Gruppen verschlüsselt werden können.

Wie Cyberkriminelle Künstliche Intelligenz einsetzen

Interessant ist auch, dass von 4 Prozent der angegriffenen Unternehmen kein Lösegeld gefordert wird. Wieso?
In manchen Fällen kommen Angreifer darauf, dass eine Lösegeldzahlung unwahrscheinlich ist, etwa wenn das Unternehmen pleite ist. Manchmal wird auch aus unerfindlichen Gründen der Kontakt abgebrochen.

68 Prozent der Unternehmen, die Lösegeld bezahlt haben, bekamen das Geld von Versicherungen. Sind das spezielle Ransomware-Versicherungen?
Das sind ganz herkömmliche Versicherungen. Auch in Österreich wird das angeboten. Man mus nur sehr ins Kleingedruckte schauen, um zu erfahren, in welchen Fällen es zu einer Zahlung kommt. Oft müssen auch Bedingungen erfüllt werden, etwa dass Daten offline auf Magnetband gespeichert werden, so wie früher. In größeren Unternehmen ist das üblich.

NIS-2-Umsetzung hängt stark von Mitarbeitern ab

Wie sieht es in den Unternehmen momentan mit der Umsetzung der NIS-2-Richtlinie aus?
Das österreichische NIS-Gesetz wurde nicht zeitgerecht umgesetzt, da gibt es politisch gerade andere Prioritäten. Zwei Drittel der Unternehmen sind noch nicht vorbereitet auf NIS 2. Für uns sind die Inhalte der Richtlinie, bei der es um Resilienz geht, nichts Neues. Wir beraten Unternehmen seit Jahren bei Risikoanalyse, Cyberhygiene, Vergabe von Zugriffsrechten, Health Checks.

Wie schwer fällt es Unternehmen, all diese Dinge durchzuführen?
Das ist eine Frage der Priorität. Organisatorisch ist es definitiv eine Herausforderung. Unternehmen müssen Prozesse definieren und Mitarbeiter schulen. Ich kann noch so viele technische Vorkehrungen treffen und Geld investieren, wenn dann jemand gedankenlos auf einen Link klickt. Das andere Problem sind Fachkräfte.

Gehen zu wenige davon aus den heimischen Hochschulen hervor?
Es gibt ja top ausgebildete IT-Fachkräfte in Österreich, das Problem ist nur, dass jeder IT-Abteilungen ausbauen will. Jedes Unternehmen ist inzwischen ein Software-Unternehmen, egal in welcher Branche. Wenn die IT nicht funktioniert, wird das Unternehmen in Zukunft nicht mehr geschäftsfähig sein. Egal, ob es sich um das Kassensystem einer Bäckerei handelt, oder um einen Onlineshop, wird sind von IT abhängig geworden. IT-Spezialisten werden von allen gesucht.

(kurier.at, dko) | 11.11.2024, 5:00