Ransomware-Angriffe sind eine der größten Cyberbedrohungen für Unternehmen in Deutschland. Die Schadprogramme verschlüsseln Dateien oder ganze Systeme und geben sie erst gegen Zahlung eines Lösegelds wieder frei. Die Täter wollen so Geld erpressen – oft Kryptowährungen, um unerkannt zu bleiben.
Laut dem Sophos Ransomware-Report sind 2024 rund 58 Prozent der 500 befragten deutschen Unternehmen Opfer von Ransomware-Angriffen geworden. Einen Teil der Angriffe haben sie schnell entdeckt und unterbrochen. Doch insgesamt 70 Prozent waren zumindest zu Beginn erfolgreich und führten zu einer Verschlüsselung geschäftsrelevanter Daten, bevor die Attacke abgewehrt werden konnte.
Angriffsvektoren: So gehen Cyberkriminelle vor
Technische Lücken in den Softwaresystemen sind ein typischer Angriffsvektor. Gefährdet sind vor allem Systeme, auf die längere Zeit keine Sicherheits-Updates aufgespielt wurden. Dadurch haben Angreifer leichtes Spiel. Es gibt sogar automatisierte Tools, die IP-Adressen nach bekannten Sicherheitslücken in veralteter Software scannen. Die Sophos-Befragung zeigt eindeutig: Etwa 32 Prozent aller Angriffe nutzen nicht geschlossene Schwachstelle von Betriebssystemen und Anwendungen aus.
Einer der häufigsten Übertragungswege für Ransomware sind E-Mail-Anhänge. Diese Angriffe werden Phishing genannt, eine Anspielung auf das englische Wort Fishing (Angeln). Es ist eine Metapher für das Vorgehen der Betrüger: Sie ködern ihre Opfer mit gefälschten Nachrichten. Dabei geben sie sich oft als vertrauenswürdige Akteure aus, etwa Banken, Online-Dienste oder sogar Mitglieder der eigenen Geschäftsführung. Sie verleiten den Empfänger der E-Mail dazu, auf einen Link zu klicken oder einen Anhang zu öffnen. Dadurch wird Ransomware auf das System des Empfängers geladen.
E-Mails und Webseiten sind die Hauptquellen für diese Angriffe. Schädlicher Ransomware-Code kann in Skripten auf der Website versteckt oder an Werbe-Banner gebunden sein. Es ist sogar möglich, dass allein der Aufruf einer infizierten Website dazu führt, dass die Ransomware automatisch heruntergeladen wird. In manchen Fällen handelt es sich dabei um legitime Websites, die von Cyberkriminellen mit Schadcode infiziert wurden.
Unternehmen müssen die richtigen Vorkehrungen treffen, um solche Angriffe abzuwehren oder ihre Auswirkungen zu verringern. Fünf Maßnahmen haben sich in der Praxis als unverzichtbar erwiesen: eine zuverlässige Backup-Strategie, umfassende Systemhärtung, konsequente Netzwerksegmentierung, Notfallpläne und regelmäßige Mitarbeiterschulungen.
Backup-Strategie: zuverlässig mit der 3-2-1-Regel
Eine wirkungsvolle Back up-Strategie ist so etwas wie eine Lebensversicherung gegen Ransomware-Angriffe. Ein bewährter Standard für die Datensicherung ist die 3-2-1-Regel: Unternehmen sollten drei Kopien ihrer wichtigen Geschäftsdaten (Primärdaten & zwei Backups) anfertigen und auf zwei verschiedenen Medien speichern, wovon eine Kopie offline, also vom Netz getrennt, aufbewahrt wird. So bleibt mindestens eine Datenkopie unversehrt, selbst wenn Ransomware alle lokal erreichbaren Speicher verschlüsselt.
Wichtig: Die IT-Teams müssen die Sicherungen regelmäßig (automatisch) erstellen und ihre Wiederherstellung – das Restore – testen. Was genau regelmäßig heißt, kommt auf die Daten ein. In vielen Unternehmen wird eine tägliche Sicherung ausreichen. Im E-Commerce dagegen sind eher stündliche Backups angesagt. Je nach Umsatzvolumen können beim Verlust der Daten eines ganzen Tages hier erhebliche geschäftliche Schäden entstehen.
Systemhärtung: Angriffspunkte verhindern
Systemhärtung ist der Oberbegriff für ein Bündel von Maßnahmen, die Computer widerstandsfähiger gegen Angriffe machen. Dazu gehören alle Sicherungsmaßnahmen, die im IT-Grundschutz des BSI empfohlen werden. Das Schließen aller offenen Ports, Whitelisting zugelassener Anwendungen, ein konsequentes Patchmanagement und der Einsatz von Lösungen für Endpoint Detection & Response sind dabei die Stichworte.
Wie es nicht laufen sollte, zeigte 2017 ein weltweiter Angriff der Ransomware WannaCry. Viele Organisationen hatten eine Windows-Sicherheitslücke nicht geschlossen. Die Konsequenz: Die Ransomware hat die Lücke ausgenutzt und zahlreiche Computer lahmgelegt. Betroffen waren unter anderem Telekommunikationskonzerne, Logistikunternehmen und verschiedene Automobilhersteller. Weltweit waren etwa 230.000 Computer in 150 Ländern teilweise oder ganz ausgefallen. Auf gepatchten Systemen dagegen verlief der Angriff weitgehend wirkungslos.
Netzwerksegmentierung: Ausbreitung verhindern
Netzwerksegmentierung bedeutet, dass ein Firmennetz in voneinander getrennte Bereiche unterteilt wird. Kritische Systeme werden in ein eigenes, streng abgeschirmtes Netzwerksegment gestellt. Dazu zählen zum Beispiel die Kernsysteme in der Versicherungs- und Finanzbranche oder die Betriebstechnologie (Operational Technology) in Industrieunternehmen.
Idealerweise sind geschäftskritische OT/IT-Systeme durch ein „AirGap“ voneinander getrennt. Dabei gibt es keine Netzwerkverbindung zwischen den Bereichen und der Austausch von Daten erfolgt über Datenträger. (Leider lässt sich das nicht immer praktikabel umsetzen, da meist der einfache Datenaustausch gewünscht ist.) Mit einer strikten Segmentierung ihres Netzwerkes betreiben Unternehmen jedoch eine wirkungsvolle Schadensbegrenzung. Im schlimmsten Fall wird lediglich das Segment verschlüsselt, wo der Cyberangriff begonnen hat.
Notfallpläne: Reaktionsfähigkeit stärken
Unternehmen müssen sich auf den Ernstfall vorbereiten. Dazu gehört nicht nur die bereits erwähnte Backup-Strategie. Jedes größere Unternehmen braucht einen Incident-Response-Plan für die unmittelbare Reaktion auf einen Angriff und einen Disaster-Recovery-Plan für die schnelle Wiederherstellung der in Mitleidenschaft gezogenen Systeme und Daten.
Der Incident-Response-Plan legt fest, wer bei einem Ransomware-Vorfall was zu tun hat. Durch klare Vorgaben geht im Chaos eines Angriffs keine wertvolle Zeit verloren.
Der Disaster-Recovery-Plan bestimmt, wie der Geschäftsbetrieb wieder anlaufen kann. Auf welche Systeme werden in welcher Reihenfolge Backups zurückgespielt? Wo steht Ersatzhardware bereit? Welche manuellen Prozesse helfen im Notfall?
Bei einem Backup ist es essenziell, die Pläne regelmäßig zu testen und zu aktualisieren. Dazu gehören auch Notfallübungen, an denen sich alle Mitarbeitenden beteiligen. Nur so weiß jeder genau, was im Ernstfall zu tun ist.
Mitarbeitende schulen – die menschliche Firewall stärken
Der Verweis auf Notfallübungen zeigt es bereits: Technische Schutzmaßnahmen greifen nur bedingt, wenn die Mitarbeiter nicht ausreichend sensibilisiert und geschult werden. Sie müssen als menschliche Firewall Cyberangriffe möglichst frühzeitig erkennen, um Schäden zu verringern oder erst gar nicht entstehen zu lassen. Erschwerend kommt hinzu: Die Cyberkriminellen ändern ständig ihre Angriffstaktiken . Deshalb sind regelmäßige Awareness-Schulungen unerlässlich.
Simulierte, in Auftrag gegebene Phishing-Angriffe sind dabei ein effektives Training für die Mitarbeitenden. So lernen sie, tückische Phishing-Mails leichter zu erkennen und nicht auf verdächtige Anhänge zu klicken. Einige Unternehmen halten die Tests geheim, um einen Eindruck von der Reaktion ihrer Belegschaft gegenüber echten Angriffen zu erhalten, ihre Mitarbeitenden sozusagen auszutesten. Das kann allerdings zu Unruhe unter den Mitarbeitenden führen. Unternehmen sollten daher die Folgen eines geheimen Tests genau abwägen.
Fazit: Angriffsabwehr ist ein Marathon
Auch wenn ihr Unternehmen noch nicht betroffen war: Ransomware ist eine ernstzunehmende Gefahr, die Zahl der Angriffe steigt jährlich. Mit den richtigen Vorkehrungen können Unternehmen ihr Risiko jedoch deutlich senken. Mit einmaligen Maßnahmen ist es jedoch nicht getan. Angesichts der sich stetig weiterentwickelnden Angriffstechniken sollten Unternehmen auch ihre Abwehrstrategien regelmäßig überprüfen, die Mitarbeitenden einmal pro Quartal schulen und kontinuierlich in Sicherheitslösungen investieren, um widerstandsfähig gegenüber Cyberbedrohungen zu bleiben.
