Ransomware ist nach wie vor eine der größten Bedrohungen für die Cybersicherheit von Unternehmen. Laut neuere Forschungen Laut Check Point wuchs dieser Angriffsvektor im ersten Quartal 126 um 2025 %. Insgesamt ereigneten sich in diesem Zeitraum 2289 Vorfälle, wobei Konsumgüter und Unternehmensdienstleistungen am stärksten betroffen waren.
Doch Ransomware-Angriffe nehmen nicht nur zahlenmäßig zu. Sie werden auch immer raffinierter. Hacker setzen zunehmend auf doppelte Erpressung und künstliche Intelligenz, um ihren Opfern größeren Schaden zuzufügen und ihre schändlichen Aktivitäten auszuweiten. Was können Cybersicherheitsteams also tun, um mit dieser schnell wachsenden und sich weiterentwickelnden Bedrohung Schritt zu halten?
Ransomware entwickelt sich schnell
Eine bemerkenswerte Änderung in der Ransomware-Taktik besteht darin, dass Hacker gestohlene Daten nicht mehr einfach verschlüsseln. Sie drohen auch damit, sie ins Internet hochzuladen, falls die Opfer das Lösegeld nicht zahlen. Dies wird als doppelte Erpressung bezeichnet. Die Ransomware-Bande Maze setzte diese Taktik 2019 bekanntermaßen gegen das amerikanische private Sicherheits- und Personaldienstleistungsunternehmen Allied Universal ein.
Nachdem Allied Mazes Lösegeld in Höhe von 2.3 Millionen Dollar nicht bezahlt hatte, veröffentlichten die Hacker daraufhin einen kleinen Teil der gestohlenen Daten des Unternehmens online und erhöhten das ursprüngliche Lösegeld um 50 %. Trotz dieses Ultimatums weigerte sich Allied standhaft, die Forderung der Hacker zu erfüllen. Daraufhin gab Maze noch mehr Daten preis.
Seitdem hat Maze ähnliche Angriffe gegen die Stadt Pensacola in Florida und den Dienstleistungsriesen Cognizant gestartet. Schätzungen zufolge kostete die Maze-Ransomware Cognizant zwischen 50 und 70 Millionen US-Dollar, was die schwerwiegenden finanziellen Auswirkungen von Ransomware verdeutlicht.
Angesichts der hohen Profitabilität von Ransomware-Kampagnen wie denen von Maze agieren Hacker nun wie Unternehmen, um ihre Gewinne zu maximieren. Laut Dray Agha, Senior Manager für Sicherheitsoperationen bei der Managed Cybersecurity Platform, sind die heutigen Ransomware-Angriffe daher hochkomplexe Angelegenheiten. JägerinEr stellt fest, dass an diesen Operationen häufig Tochterunternehmen, Kundendienstportale und gezielte Strategien beteiligt sind – mit dem Ziel, sicherzustellen, dass Ransomware über lange Zeiträume tief in Unternehmensnetzwerken verborgen bleibt und gleichzeitig Schwachstellen bei Menschen, Prozessen und Technologien ausnutzt.
Diese Meinung wird von Pierre Noel, Field CISO von EMEA bei Managed Detection and Response Platform, geteilt. Vertreiben, der Ransomware-Gruppen als „große Ökosysteme“ beschreibt. Er sagt, sie arbeiten unermüdlich daran, „ihre Komponenten zu perfektionieren“ und setzen Strategien ein, die auch von seriösen Software-as-a-Service-Unternehmen verwendet werden. Beispiele hierfür sind unterschiedliche Preisoptionen, umfassende Benutzerdokumentation und benutzerfreundliche Dashboards, die sowohl unerfahrenen als auch erfahrenen Hackern erfolgreiche Ransomware-Kampagnen mit doppelter Erpressung ermöglichen. Er fügt hinzu: „Ransomware ist zunehmend polymorph geworden und startet Angriffe in allen Bereichen. Dabei nutzen Cyberkriminelle alle Informationen und KI-Systeme, die sie finden können, um die Effizienz ihrer Angriffe zu steigern.“
Aufgrund dieser sich entwickelnden Taktiken sind Ransomware-Kampagnen nicht mehr nur eine Domäne großer Cyber-Gangs und Nationalstaaten. Heutzutage kann jeder Ransomware-Angriffe durchführen, dank der zunehmenden Zuverlässigkeit und Verfügbarkeit handelsüblicher Ransomware-Tools und -Kits, so Mick Baccio, globaler Cybersicherheitsberater beim amerikanischen Softwareunternehmen Splunk. Er fügt hinzu: „Ransomware ist industrialisiert.“
Ein weiterer alarmierender Trend ist die Zunahme von Ransomware-Angriffen auf Basis künstlicher Intelligenz.
Giles Inkson, Direktor für EMEA-Dienste bei einem Cybersicherheitsunternehmen NetSPILaut Hackern nutzen Hacker diese Technologie, um Ransomware-Angriffe zu automatisieren, Phishing-Kampagnen zu optimieren, schwer zu erkennende Malware zu entwickeln und große Mengen an Passwörtern schneller zu knacken. Er fährt fort: „KI kann zwar Cyber-Abwehrstrategien stärken, vergrößert aber auch die Angriffsfläche des Unternehmens, wodurch Vermögenswerte potenziell ungeschützt und anfällig für Angreifer werden.“
Vielschichtige Risiken
Mit der Weiterentwicklung von Ransomware-Taktiken steigen auch die Risiken für Unternehmen. Baccio von Splunk warnt, dass Unternehmen im Falle eines Ransomware-Angriffs nicht nur mit dem Verlust gestohlener Dateien rechnen müssen. Auch finanzielle Verluste, Reputationsschäden, Vertrauensverluste bei den Kunden und rechtliche Konsequenzen sind unvermeidlich.
Insbesondere die finanziellen Kosten von Ransomware-Angriffen können für die Opfer verheerend sein. Der Cost of Downtime Report von Splunk zeigt, dass ungeplante IT-Ausfälle die 2000 weltweit größten Unternehmen jährlich 400 Milliarden US-Dollar kosten. Darüber hinaus können die Aktienkurse nach einem Ransomware-Angriff laut Baccio um bis zu 9 % einbrechen. Die durchschnittlichen Bußgelder betragen 22 Millionen US-Dollar, die Lösegeldzahlungen 19 Millionen US-Dollar.
Schlimmer noch: Er sagt, der durch Ransomware verursachte Markenschaden lasse sich finanziell nicht beziffern. Er sagt gegenüber ISMS Online: „Ausfallzeiten bedeuten heute mehr als nur Umsatzeinbußen. Sie bedeuten einen Imageschaden, Compliance-Probleme und die Gefahr, dass Ihre Kunden es bemerken, bevor Sie es tun.“
Agha von Huntress stimmt zu, dass die Auswirkungen von Ransomware-Angriffen vielschichtig sind.
Rechtlich gesehen, wenn ein Unternehmen durch einen Ransomware-Angriff sensible Daten verliert, müsse es strenge Meldepflichten, Klagen und Geldstrafen einhalten, so der Experte. Unternehmen, die keinen ausreichenden Schutz vor Cybersicherheit nachweisen können, seien von diesen Strafen am stärksten betroffen, so der Experte.
Darüber hinaus werden Ransomware-Angriffe auf große Organisationen oft zu einem öffentlichen Spektakel. Agha warnt, dass Aufsichtsbehörden, Kunden, Investoren und Journalisten wissen wollen, warum ein Unternehmen Opfer von Ransomware werden konnte. Er fährt fort: „Die frühzeitige Einbindung von Rechts- und PR-Teams stellt sicher, dass die Reaktion nicht nur technisch fundiert, sondern auch rechtlich konform und reputationsschonend ist.“
Eindämmung von Ransomware
Bei der Abwehr von Ransomware müssen Unternehmen laut Huntress' Agha bedenken, dass diese Angriffe oft mehrere Schritte umfassen und daher nicht mit einem einzigen Cybersicherheitsprodukt gestoppt werden können. Typischerweise verbreiten Hacker Phishing-E-Mails, bevor sie die Anmeldedaten ahnungsloser Nutzer stehlen, die auf schädliche E-Mail-Links klicken und sich so Zugriff auf Daten und Systeme im kompromittierten IT-Netzwerk verschaffen. Anschließend verbreiten sie informationsstehlende Schadsoftware, exfiltrieren vertrauliche Daten, verschlüsseln sie und fordern schließlich Lösegeld.
Vor diesem Hintergrund empfiehlt er Unternehmen dringend, einen mehrschichtigen Ansatz für Cybersicherheit zu verfolgen. Dieser sollte Schulungen zur Sensibilisierung für Cybersicherheit umfassen, um sicherzustellen, dass Mitarbeiter Phishing-Versuche frühzeitig erkennen, den Einsatz einer verwalteten Erkennungs- und Reaktionslösung, damit Bedrohungen nicht durchs Netz schlüpfen, und Datensicherungen, damit sich Unternehmen nach einem Ransomware-Angriff schnell erholen können.
Darüber hinaus sollten Unternehmen Sicherheitslücken regelmäßig schließen, robuste Zugriffskontrollen einrichten und einen umfassenden Notfallplan implementieren. Dies führt zu einer „widerstandsfähigen, koordinierten Verteidigung“, die Unternehmen vor den neuesten Ransomware-Taktiken schützt. Agha erklärt: „Es geht nicht nur um den Kauf von Tools; es geht darum, eine Sicherheitskultur aufzubauen, die auf die Realität heutiger Angriffe vorbereitet.“
Auch Baccio von Splunk ist der Ansicht, dass sich Ransomware-Angriffe nicht mit einem Patentrezept verhindern lassen. So wie man mehrere Schichten Kleidung trägt, um einen Schneesturm zu überstehen, benötigen Unternehmen seiner Meinung nach mehrere Schichten zum Schutz vor Ransomware. Diese Schichten sollten Firewalls, Endpunktschutz, Netzwerküberwachung, Zero-Trust-Architekturen, Backups und Schulungen umfassen. Er fügt hinzu: „Denn wenn der Angriff zuschlägt, ist Muskelgedächtnis gefragt, nicht Chaos.“
Um die reibungslose Umsetzung mehrschichtiger Cybersicherheitsstrategien zu gewährleisten, hat Satish Swargam – leitender Berater bei einem Unternehmen für Anwendungssicherheitssoftware Black Duck – empfiehlt Unternehmen, jeden Schritt in einer Roadmap detailliert zu beschreiben. Investitionen in KI-gestützte Tools könnten viele dieser Schritte beschleunigen, so Inkson von NetSPI. Er betont jedoch, dass Automatisierung menschliche Cybersicherheitsexperten ergänzen und nicht ersetzen sollte.
In diesem Sinne, Shobhit Gautam – Staff Solutions Architect für EMEA beim Anbieter offensiver Cybersicherheitslösungen HackerOne – argumentiert, dass die Einbeziehung externer Experten im Rahmen von Bug-Bounty-Programmen Organisationen dabei helfen wird, Sicherheitslücken zu identifizieren und zu beheben, die zu Ransomware-Angriffen führen können.
Natürlich sind Ransomware-Strategien nur dann wirksam, wenn jeder im Unternehmen seinen Beitrag leistet. Professionelle Branchenstandards wie ISO 27001 sind hier jedoch enorm hilfreich. Javvad Malik, leitender Sicherheitsberater bei der Schulungsplattform für Sicherheitsbewusstsein KnowBe4, erklärt: „Es richtet Menschen, Prozesse und Technologie auf eine robuste Informationssicherheit aus und verbessert die allgemeine Cyber-Resilienz über den bloßen Ransomware-Schutz hinaus.“
Da es keine Anzeichen für eine baldige Abschwächung gibt, kann Ransomware nicht ignoriert werden. Angesichts der Dynamik der aktuellen Ransomware-Bedrohungen können Unternehmen dieser Bedrohung jedoch nicht mit der Investition in eine einzelne Cybersicherheitsanwendung begegnen. Sie müssen eine mehrschichtige Cybersicherheitsstrategie entwickeln und implementieren, die effektive Lösungen für jeden Schritt des Ransomware-Prozesses bietet. Wichtig ist, dass alle Mitarbeiter bei der Umsetzung dieser Strategie eine Rolle spielen. So werden Ransomware-Angriffe schnellstmöglich verhindert.
