Viele Firmen jeden Tag mit Ransomware-Angriffen konfrontiert

Die Situation ist dramatisch. Laut einer aktuellen Erhebung sind 28 Prozent der österreichischen Unternehmen täglich mit Cyberangriffen mit erpresserischer Software, sogenannter Ransomware, konfrontiert. In den vergangenen beiden Jahren hat sich die Zahl der betroffenen Firmen mehr als verdoppelt, geht aus einer von der Beraterfirma Deloitte in Auftrag gegebenen Umfrage unter Führungskräften heimischer Unternehmen hervor, die Mitte März veröffentlicht wurde.

Bei solchen Angriffen versuchen Cyberkriminelle, in die Computersysteme ihrer Opfer einzudringen und ihre Daten zu verschlüsseln. Gelingt ihnen das, verlangen sie für die Freigabe der Daten Lösegeld. Im schlimmsten Fall stehen Unternehmen dann still, bis bezahlt wird oder die Firmendaten aus Back-ups wiederhergestellt werden können. 

Um den Druck zu erhöhen, drohen die Cyberkriminellen häufig auch damit, die Daten zu veröffentlichen. Firmeninterna und meist auch persönliche Daten von Mitarbeiterinnen und Mitarbeitern könnten dann im Darknet, dem dunklen Teil des Internets, zum Download angeboten werden und so an die Öffentlichkeit gelangen.

Knapp ein Viertel oder 24 Prozent der befragten Firmen gab an, dass es bei ihnen schon einmal zur Verschlüsselung von Daten durch Cyberkriminelle gekommen ist. 2025 lag die Zahl noch bei 21 Prozent, 2014 bei 19 Prozent.

Acht von zehn Unternehmen konnten Angriffe mithilfe technischer Infrastrukturmaßnahmen abwehren. Häufig werden die Attacken auch durch aufmerksame Mitarbeiter vereitelt. Die Abwehrmaßnahmen der Unternehmen haben sich zwar verbessert, wenn aber etwas passiere, seien die Folgen schwerwiegend, sagt Georg Schwondra, der bei Deloitte für das Thema Cybersicherheit zuständig ist. Nur in 23 Prozent der Fälle konnten die Daten ganz oder großteils wieder entschlüsselt werden. Nur jedem vierten Unternehmen gelang es, sie aus Back-ups wiederherzustellen.

Professionalisierung

Ransomware-Attacken betroffenen Unternehmen so stark gestiegen? Cyberkriminelle hätten sich in den vergangenen Jahren zunehmend professionalisiert, sagt Schwondra. Die geopolitische Lage habe zusätzlich für Unsicherheiten gesorgt. Dazu kommen neue technologische Möglichkeiten durch Künstliche Intelligenz (KI).

Die Technologie wird auch zur Abwehr eingesetzt. Angreifern ermöglicht sie einen niederschwelligen Zugang zu ausgefeilten technologischen Möglichkeiten. Phishingmails, mit denen versucht wird, Mitarbeiterinnen und Mitarbeitern Zugangsdaten zu Firmensystemen zu entlocken, können etwa mithilfe von KI-Übersetzung geschliffen formuliert und fehlerfrei in mehrere Sprachen übersetzt werden. 

Viele können wochenlangen Stillstand nicht ausschließen

Zwei Drittel der heimischen Firmen könnten laut der Erhebung einen wochenlangen totalen Stillstand infolge von Cyberattacken nicht ausschließen. Stehe eine Firma so lange still, könne das existenzbedrohend sein, sagt Schwondra: „Es gefährdet die Stabilität des Unternehmens und Arbeitsplätze.“

Automatisierte Attacken

Der Großteil der Attacken passiert automatisiert. „Werden Schwachstellen gefunden, wird nachgesetzt“, erzählt Schwondra. Dass Unternehmen gezielt ausgewählt werden, komme eher selten vor, sagt Manuel Löw-Beer, Geschäftsführer von Risikomonitor. Sein Unternehmen beobachtet die Aktivitäten von mehr als 1.600 Ransomware-Gruppen im Darknet, dem dunklen Teil des Internets, der nur über spezielle Software erreichbar ist. 

Die Banden seien arbeitsteilig organisiert. Sie zählen zwischen 20 und 60 Mitarbeiter und sind organisiert wie Firmen, sagt der Experte. Opfern werde eine Schadensnummer zugeordnet, mit der sie sich auf einer Plattform anmelden und Verhandlungen über das Lösegeld aufnehmen können. 

Im Schnitt werden vier Bitcoin (nach aktuellem Kurs rund 238.000 Euro) an Lösegeld für die Daten verlangt, sagt Löw-Beer. Mit einer professionellen Verhandlungsführung könnten die Forderungen meist auf ein Viertel davon heruntergehandelt werden. Er rät betroffenen Unternehmen, sich professionelle Hilfe zu suchen und nur zu bezahlen, wenn man sonst keine andere Wahl habe.

Firmen überschätzen sich

Österreichische Unternehmen haben in den vergangenen Jahren zwar viel in Cybersicherheit investiert. Das Thema sei bei den Firmen angekommen, sagt Deloitte-Managing-Partnerin Karin Mair. Das hat bei vielen allerdings dazu geführt, dass sie sich zu sicher fühlen. 13 Prozent der Unternehmen halten ihre Systeme sogar für „absolut sicher“. „Das hat mit der Realität nichts zu tun“, sagt Mair. 

Eine Folge daraus ist auch, dass jedes sechste bis jedes siebente Unternehmen die Ausgaben für Technik und Personal für die Cybersicherheit trotz steigender Bedrohungslage im laufenden Jahr unverändert lassen will. In Technik und Prozesse wollen immerhin 30 Prozent viel oder etwas mehr investieren, für das Sicherheitspersonal wollen 18 Prozent der heimischen Firmen mehr Geld ausgeben.

Wie viel sollen Firmen investieren?

Wie viel sollen Firmen in Cybersicherheit investieren? Je nach Branche und Regulatorik gehe man davon aus, dass zwischen fünf und 15 Prozent des IT-Budgets in die Cybersicherheit fließen sollen, sagt Schwondra. In der Finanzindustrie, wo es strenge regulatorische Vorgaben gebe, werde sich die Summe im oberen Bereich bewegen, in Branchen, die weniger kritisch sind, eher im unteren Bereich. 

Auch für kleinere Firmen, die sich weniger leisten können, gebe es entsprechende Angebote, sagt der Deloitte-Berater. Bei ihnen sei die Angriffsfläche auch nicht so groß. Wichtig sei es, Basismaßnahmen, etwa regelmäßige Sicherheitsupdates, durchzuführen und Mitarbeiter für die Gefahren zu sensibilisieren: „Das sind die Kerneinfallstore“, sagt Schwondra.

Regulatorische Vorgaben

Viele Firmen werden in Österreich auch nicht um Investitionen in Cybersicherheit herumkommen, weil sie durch gesetzliche Vorgaben, etwa die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) oder den AI Act dazu verpflichtet sind. Bei der Umsetzung sind aber gar nicht so wenige Firmen laut der Deloitte-Umfrage noch säumig. Fast 10 Prozent haben etwa noch keinerlei konkrete Pläne, wie sie die  gesetzlichen Vorgaben erfüllen sollen.

Notfallpläne

Die Deloitte-Berater empfehlen Unternehmen, den Fokus nicht nur auf Schadenseindämmung zu legen, sondern auch Notfallpläne zu entwickeln, um den Normalbetrieb nach einem Angriff so schnell wie möglich wiederherstellen zu können. Solche Pläne seien wichtig, sagt Schwondra. Sie müssen auch regelmäßig getestet werden: „Wie Brandschutzübungen.“