Bollwerke gegen Erpresser-Angriffe

Manchmal kostet Ransomware Menschenleben. Im September 2020 legten Hacker die bildgebenden Lösungen und IT-Systeme des Universitätsklinikums in Düsseldorf durch Verschlüsselung von Daten weitgehend lahm und verhinderten so die Notversorgung. Sie forderten Lösegeld (engl. „Ransom“), um die Daten wieder freizuschalten. Wegen des Angriffs musste die Uniklinik einen Rettungswagen mit einer schwer erkrankten Patientin abweisen, der dann nach Wuppertal ausweichen musste. Das dauerte eine halbe Stunde länger. Die Folge: Die Patientin starb direkt nach Einlieferung in das Krankenhaus in Wuppertal c v^und die Staatsanwaltschaft ermittelte wegen fahrlässiger Tötung gegen die Hacker.

Und noch ein zweites Beispiel: Im Oktober 2021 setzte ein Ransomware-Angriff Teile der Produktion und die Verwaltung des Automobilzulieferers Eberspächer für fast zwei Wochen außer Gefecht. Das Unternehmen musste seine Mitarbeiter für einige Wochen in Kurzarbeit schicken, die finanziellen Einbußen durch den Produktionsausfall dürften im hohen zweistelligen Millionenbereich liegen. Hinzu kommt ein beträchtlicher Imageschaden.

Kein Wunder also, dass Ransomware aktuell die größte Cyberbedrohung für Unternehmen darstellt. Auch ein Blick auf die Zahlen stützt diese Einschätzung. Von Januar bis November 2021 stand beim Global Emergency Response Team des Security-Spezialisten Kaspersky fast jeder zweite Sicherheitsvorfall im Zusammenhang mit Ransomware, ein Anstieg um fast 12 Prozentpunkte im Vergleich zu 2020. Laut IDCs „2021 Ransomware Study: Where You Are Matters!” hat zwischen Mitte 2020 und Mitte 2021 mehr als ein Drittel der Unternehmen weltweit einen Ransomware-Angriff oder eine Sicherheitsverletzung erlebt, die den Zugang zu Systemen oder Daten blockiert hat. Nur 13 Prozent der angegriffenen Unternehmen gaben dabei an, kein Lösegeld gezahlt zu haben.

Auch der Security-Anbieter Trend Micro stuft Ransomware als die derzeit größte Cyberbedrohung ein. Bevorzugtes Ziel der Angreifer ist demnach der Bankensektor. Er verzeichnete laut Trend Micro in der ersten Hälfte des Jahres 2021 einen Anstieg der Ransomware-Angriffe um 1318 Prozent (!) im Vergleich zum Vorjahr. Durch den Einsatz von fortschrittlichen und zielgerichteten Tools und Techniken wurden Daten gestohlen und verschlüsselt.

„Moderne Ransomware-Angriffe sind überaus zielgerichtet, verdeckt und gehen dabei nach bewährten, von APT-Gruppen (Advanced Persistent Threat) bereits perfektionierten Ansätzen vor. Indem sie Daten stehlen sowie wichtige Systeme sperren, versuchen Gruppen wie Nefilim, Egregor oder Conti global agierende Unternehmen zu erpressen“ berichtet Richard Werner, Business Consultant bei Trend Micro. Häufig arbeiten sie auch mit Dritten zusammen, um sich Zugang zu den Netzwerken ihrer Opfer zu verschaffen.

Ransomware-Angreifer nutzen häufig legitime Tools wie AdFind, Cobalt Strike, Mimikatz oder MegaSync, um ihr Ziel zu erreichen und dabei unbemerkt zu bleiben. „Dadurch kann es für Security-Analysten, die sich Ereignisprotokolle aus verschiedenen Teilen der IT-Umgebung ansehen, zu einer Herausforderung werden, die übergeordneten Zusammenhänge sowie Angriffe zu erkennen“, erklärt Richard Werner.