Ransomware-Attacken: Drei Viertel zahlen Lösegeld
Zahlen oder nicht zahlen? Geht es nach den Ergebnissen des aktuellen "Ransomware Risk Report" von Semperis, entscheidet sich die Mehrheit der Unternehmen dafür, den Forderdungen der Erpresser nachzukommen. Und das, obwohl nicht wenige Firmen immer wieder angegriffen werden und trotz des Lösegelds Datenverlust oder eine Betriebsunterbrechung zu beklagen haben. Auch die Backupstrategie lässt laut der Befragung in vielen Organisationen nach wie vor zu wünschen übrig.
Die internationale Studie zum "Ransomware Risk Report 2024" wurde von Semperis in der ersten Jahreshälfte 2024 durchgeführt, 900 IT- und Security-Verantwortliche hat das Unternehmen dabei befragt. Eines der wichtigsten Ergebnisse: Ransomware-Angriffe bleiben meist kein einmaliges Ereignis: 74 Prozent der Befragten, die in den letzten zwölf Monaten gegen Lösegeld angegriffen wurden, sahen sich mehrfachen Attacken ausgesetzt – viele innerhalb einer Woche.Generell waren in Deutschland 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen, davon 78 Prozent öfter als einmal. 66 Prozent bezahlten mehrfach Lösegeld, 49 Prozent – mit diesem Wert ist Deutschland unter allen Regionen in dieser Studie Spitzenreiter – sogar öfter als vier Mal. Im Gesamtdurchschnitt aller befragten Länder zahlten 78 Prozent der betroffenen Unternehmen Lösegeld, davon 72 Prozent mehrmals und 33 Prozent viermal oder häufiger.
87 Prozent der Angriffe führten zu Betriebsunterbrechungen – selbst bei den Firmen, die Lösegeld zahlten – einschließlich Datenverlust und der Notwendigkeit, Systeme offline zu nehmen. Für 16 Prozent der Befragten stellte der Angriff ein Dilemma um alles oder nichts dar – bei den Befragten aus Deutschland lag dieser Wert bei 19 Prozent. Trotzdem garantiert die Zahlung von Lösegeld keine Rückkehr zum normalen Geschäftsbetrieb: 35 Prozent der Opfer, die Lösegeld gezahlt haben, erhielten entweder keine oder fehlerhafte Decodierungsschlüssel. Auch was die Wiederherstellung der Daten betrifft, verheißen die Zahlen nichts Gutes, werden doch die Recovery Time Objectives (RTOs) meist nicht erreicht: 49 Prozent der Befragten benötigten ein bis sieben Tage, um den Geschäftsbetrieb nach einem Ransomware-Angriff auf ein Minimum an IT-Funktionalität wiederherzustellen, und 12 Prozent benötigten sogar eine Woche oder länger.
Nur wenige Unternehmen verfügen zudem über umfassenden, dedizierten Identitätsschutz Obwohl 70 Prozent der Befragten angaben, dass sie über einen Plan zur Wiederherstellung von Identitäten verfügen, was einen starken Fortschritt in Richtung IAM-zentrierter Sicherheit signalisiert, gaben nur 27 Prozent (36 Prozent in Deutschland) an, über dedizierte, Active-Directory-spezifische Backup-Systeme zu verfügen. Ohne AD-spezifische, Malware-freie Backups und einen getesteten Wiederherstellungsplan dürfte die Wiederherstellung aber länger dauern, was die Wahrscheinlichkeit erhöht, dass sich das Unternehmen entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen. Semperis rät deshalb abschließend: Unternehmen müssen ihren Wiederherstellungsplan in einem möglichst realitätsnahen Szenario testen und ihn dem Vorstand vorstellen, bevor ein Angriff erfolgt. Auf diese Weise sind die Entscheidungsträger im Ernstfall in der Lage, den Angreifern eine Zahlung zu verweigern.