Britische Unternehmen verlieren den Kampf gegen Ransomware: Was ist los?

Kurz vor dem Osterwochenende wurde Marks & Spencer Opfer eines der schlimmsten Ransomware-Angriffe der letzten Jahre. Andere namhafte Einzelhändler wie Co-op folgten bald. Die finanziellen Auswirkungen allein dieser beiden Vorfälle betrugen ist geschätzt auf bis zu 440 Millionen Pfund.

Tatsächlich zielt die Mehrzahl der Ransomware-Angriffe jedoch nicht auf bekannte Organisationen wie diese ab. Stattdessen haben es die Angreifer auf eine größere Zahl kleinerer Unternehmen abgesehen, von denen viele nicht über die Ressourcen oder das Know-how verfügen, um sich angemessen zu verteidigen. Wie neue Forschungsergebnisse zeigen, kommt ihnen das teuer zu stehen. Angesichts der bevorstehenden neuen Cybersicherheitsgesetze sollte der Aufbau von Widerstandsfähigkeit dringende Priorität haben.

Durch die Nase bezahlen

Großbritannien ist aufgrund seines relativen Wohlstands und seiner hoch digitalisierten Wirtschaft seit langem ein beliebtes Ziel für Ransomware-Angreifer. Doch es ist ein himmelweiter Unterschied, ob ein Ransomware-Angriff erfolgt oder ob Daten gestohlen und/oder verschlüsselt werden. Bessere Cyberhygiene sowie verbesserte Erkennung und Reaktion können die Auswirkungen deutlich abmildern. Leider scheint dies laut einer Sophos-Studie nicht der Fall zu sein.

Die Umfrage unter Sicherheitsanbietern über 200 IT- und Cybersicherheitsführer in Großbritannien im Rahmen einer umfassenderen Studie, die die Reaktionen von 3400 Ransomware-Opfern umfasst. Der Stand der Ransomware in Großbritannien 2025 zeigt, dass die Daten von sage und schreibe 70 % der Opfer in Großbritannien verschlüsselt waren. Das ist deutlich mehr als der weltweite Durchschnitt von 50 % und die Zahl von 46 %, die von britischen Opfern im Jahr 2024 gemeldet wurde.

Dies ist in beiden Fällen besorgniserregend. Es scheint zu zeigen, dass weniger Ransomware-Opfer den nötigen Einblick in ihre IT-Umgebung haben, um zu erkennen, dass sie betroffen sind. Der Unterschied zwischen Co-op und M&S bestand darin, dass Co-op in Incident-Response-Funktionen investierte, die mutmaßliche Eindringlinge meldeten und es ermöglichten, die Systeme zu schließen, bevor sie verschlüsselt werden konnten. Die Auswirkungen des daraus resultierenden Angriffs waren daher weniger schwerwiegend.

Vielleicht deshalb hatten britische Opfer das Gefühl, sie hätten keine andere Wahl, als ihrem Erpresser durchschnittlich 103 % der Lösegeldforderung zu zahlen, was deutlich über dem weltweiten Durchschnitt von 85 % liegt. Dies ist umso wichtiger, als die durchschnittliche Lösegeldforderung in Großbritannien im vergangenen Jahr bei 5.4 Millionen US-Dollar (3.9 Millionen Pfund) lag – mehr als doppelt so viel wie die 2.5 Millionen US-Dollar (1.9 Millionen Pfund), die in der vorherigen Umfrage gemeldet wurden. Etwa 89 % der Lösegeldforderungen lagen bei über einer Million US-Dollar, gegenüber 1 % im Jahr 71.

„Meiner Erfahrung nach hängt die Verschlüsselungsrate eng mit der Erkennungsgeschwindigkeit eines Angriffs zusammen und oft auch damit, ob externe Incident-Response-Hilfe frühzeitig in den Angriff eingebunden wurde“, erklärt Chester Wisniewski, Global Field CISO von Sophos, gegenüber ISMS.online. „Unternehmen mit 24/7-Überwachung und EDR/XDR-Tools sind in der Regel erfolgreicher darin, laufende Angriffe zu stoppen. Zu oft bemerken Opfer den Angriff erst, wenn sie die Lösegeldforderung erhalten, was viel zu spät ist.“

Wo liegen ihre Fehler?

Ausgenutzte Schwachstellen (36 %), bösartige E-Mails (20 %) und kompromittierte Anmeldeinformationen (19 %) waren die häufigsten Ursachen für den Erstzugriff unter den von Sophos befragten Ransomware-Opfern. Um diese und andere Bedrohungen zu bekämpfen, empfiehlt der Sicherheitsanbieter einen Vier-Punkte-Plan:

Verhütung: Reduzieren Sie die häufigsten technischen und betrieblichen Ursachen eines Angriffs, indem Sie Widerstandsfähigkeit aufbauen.

Schutz: Schützen Sie die häufigsten Einstiegspunkte für Ransomware-Angreifer, wie z. B. Endpunkte und Server. Spezielle Anti-Ransomware-Tools helfen, bösartige Verschlüsselungen zu blockieren und rückgängig zu machen.

Erkennung und Reaktion: Stoppen und begrenzen Sie einen Angriff so schnell wie möglich, bevor er größeren Schaden anrichten kann. Unternehmen, die dies nicht intern umsetzen können, können Managed Detection and Response (MDR) nutzen.

Vorausplanung: Erstellen Sie einen Notfallplan, um die Wiederherstellung nach einem Angriff zu optimieren. Regelmäßige Offsite- und Offline-Backups beschleunigen die Wiederherstellung zusätzlich.

„Cyberkriminelle betreiben hocheffiziente Unternehmen. Sie streben nach minimalem Output und maximalem Profit. Daher wirkt eine doppelte Verriegelung der digitalen Türen als erhebliche Abschreckung“, argumentiert Lauren Wilson, Field CTO bei Splunk. „Aber Prävention allein reicht nicht – man muss in der Lage sein, Ransomware zu erkennen, zu reagieren und die Folgen zu beheben, um die weitreichenden Auswirkungen wirklich einzudämmen.“

Zeit für eine Ausrichtung

Britische IT- und Sicherheitsverantwortliche müssen angesichts der bevorstehenden Gesetzgebung möglicherweise ihre Ransomware-Resilienzpläne überarbeiten. Die neues Gesetz zur Cybersicherheit und Resilienz is auf Verbot eingestellt Lösegeldzahlungen für staatliche und kritische Infrastrukturanbieter (CNI) werden in den Geltungsbereich des Gesetzes einbezogen. Neue Organisationen (wie MSPs) werden in den Geltungsbereich des Gesetzes einbezogen. Zudem werden voraussichtlich schnellere und umfassendere Vorfallsberichte, ein Risikomanagement für Drittanbieter und eine stärkere Lieferkettensicherheit vorgeschrieben. Es könnten höhere Geldstrafen verhängt werden, und die Branchenregulierungsbehörden erhalten sicherlich mehr Macht. Darüber hinaus soll eine engere Angleichung an NIS 2, ISO 27001, ISO 27002 und andere Sicherheitsstandards und -rahmenwerke erreicht werden.

Dies ist eine großartige Gelegenheit für diejenigen, die bereits an ISO 27001 arbeiten, den neuen Anforderungen zuvorzukommen und ihre Cyber-Resilienz kosten- und zeiteffizient zu stärken. Wilson erklärt gegenüber ISMS.online, dass solche Standards „darauf ausgelegt sind, die Cyber-Reife so zu erhöhen, dass alle davon profitieren“.

Sie fügt hinzu: „Standards wie NIST oder ISO 27001 haben eines gemeinsam: Sie helfen Unternehmen, sich auf die Grundlagen zu konzentrieren. Dazu gehören Zugriffskontrolle, regelmäßiges Patchen, Multifaktor-Authentifizierung und Schulungen für alle Mitarbeiter. Das ist zwar leichter gesagt als getan, aber die Konzentration auf diese Grundlagen kann einen großen Beitrag zur Abwehr eines hohen Prozentsatzes von Cyberangriffen leisten.“

Wisniewski von Sophos stimmt dem Wert von Best-Practice-Standards zu.

„Die überwiegende Mehrheit der Angriffe lässt sich durch die konsequente Implementierung grundlegender Kontrollen im gesamten Unternehmen verhindern“, argumentiert er. „Unser aktueller Active Adversary-Bericht zeigt, dass die meisten Ransomware-Fälle entweder mit gestohlenen Anmeldeinformationen oder ungepatchten Schwachstellen beginnen. Beides wird durch Compliance-Frameworks abgedeckt.“

Allerdings könne man Compliance nicht isoliert angehen, so Wilsons Fazit.

„Es muss als Teil einer ganzheitlichen Cybersicherheitsstrategie betrachtet werden, die Menschen, Prozesse und Technologie umfasst“, so ihr Fazit. „Unternehmen müssen in Resilienz investieren. Das bedeutet, Risiken zu verstehen, Abwehrmaßnahmen zu ergreifen und sicherzustellen, dass Ausfallzeiten bei Betriebsunterbrechungen minimiert werden.“