Ransomware bleibt auch 2024 größte Cyber-Gefahr – Worauf müssen sich KMU einstellen?

Cyberkriminelle entwickeln Geschäftsmodelle und Vorgehensweisen weiter 

Kriminelle Gruppen spezialisieren sich und organisieren sich arbeitsteilig. Einige Gruppen entwickeln Angriffswerkzeuge weiter. Andere Gruppen handeln mit Zugängen zu kompromittierten Netzwerken und gephishten Benutzerdaten. Wieder andere Gruppen nutzen die eingekaufte Vorleistung, um den tatsächlichen Angriff durchzuführen. Teils stehen Gruppen in enger Beziehung und teils werden Daten und Leistungen anonym im Dark Web gehandelt. Einige Angriffe erfolgen zielgerichtet. Der größere Teil jedoch dort, wo sich gerade eine Gelegenheit bietet. Während die erpressten Lösegelder steigen, reduzierte sich die Zeit (und damit der Aufwand) für einen durchschnittlichen Ransomware-Angriff von einigen Monaten auf wenige Tage.  

In den Anfangstagen war die Geschäftsidee hinter Ransomware einfach. Daten wurden verschlüsselt. Cyberkriminelle erpressten mit der Nichtverfügbarkeit der Daten. Dann wurden zudem sensible Daten ausgeschleust und – mit der Drohung diese zu veröffentlichen – der Zahlungsdruck erhöht. Doch es blieb nicht bei der doppelten Erpressung (Double-Extortion). Triple- oder gar Multi-Extortion folgten durch Androhung von DDoS-Angriffen (Distributed Denial-of-Service) und Erpressung von Kunden und Geschäftspartnern, sofern die gestohlenen Daten auch dafür Möglichkeiten boten. 

Nun beobachten die Analysten von Zscaler Threatlabs wie erste Ransomware-Gangs auf die Verschlüsselung der Daten verzichten. Das Kalkül dahinter: Entstehen beim Opfer keine Kosten für Betriebsausfall und Wiederherstellung, stehen größere Summen für Lösegelder zur Verfügung. Zudem ist es wahrscheinlicher, dass Opfer den Angriff verschweigen, wenn es keinen Ausfall gibt. Der Anreiz, die Veröffentlichung zu verhindern, ist also größer. 

Außerdem ist zu erwarten, dass Cyberkriminelle KI-gestützte Werkzeuge einsetzen, um ihren Aufwand weiter zu reduzieren. Auf Seiten der Verteidiger hat sich der Einsatz von künstlicher Intelligenz bereits bewährt. Mittels Verkehrs- und Verhaltensanalysen gelingt es KI, Schadsoftware und Angreifer zu erkennen und zu blockieren. Aufgrund der Komplexität und vergleichsweise hohen Einstiegskosten sind es vor allem große Unternehmen, bei denen diese nächste Generation von Virenschutz bereits im Einsatz ist. Dieselben Unternehmen sind eher bereit zu investieren und Teams aufzubauen, die Angriffe erkennen und abwehren. 

Die Kombination der Entwicklungen lässt erwarten, dass kleine und mittelständische Unternehmen (KMU) in den Fokus der Angreifer rücken. Cyberangriffe können mit immer weniger Aufwand durchgeführt werden, sodass sich bereits geringere Lösegelder lohnen. Wenn Schutzmaßnahmen, Erkennungs- und Reaktionsfähigkeit noch nicht so weit entwickelt sind, können Angriffe einfacher durchgeführt werden. Das Risiko entdeckt zu werden, ist geringer. 
 

Welchen Chancen können KMU nutzen? 

Präventive Maßnahmen bleiben wichtig. Eine aktuelle und unveränderliche Datensicherung erlaubt im Notfall eine schnelle Wiederherstellung. Zeitnah gepatchte Systeme erschweren das Eindringen in das Unternehmensnetz und Bewegungen innerhalb des Netzwerks. Multi-Faktor-Authentisierung (MFA) ist eine wirksame Hürde beim Einsatz gestohlener Zugangsdaten. 

Keine Organisation sollte darauf vertrauen, für Cyberkriminelle zu klein oder zu uninteressant zu sein. Prävention reicht nicht. Auch KMU müssen sich auf den Ernstfall vorbereiten. Dazu gehört: 

• verdächtige Aktivitäten und Cyberangriffe erkennen zu können. Nur so kann Schaden eingedämmt und das Schlimmste verhindert werden. 
• einen Reaktionsplan (einen sogenannten Incident Response Plan) zu haben. Darin sollte geregelt sein, wer wen informiert, wer zur Unterstützung hinzugezogen werden kann und welche taktischen Prioritäten (Wiederherstellen oder Beweise sichern?) gelten sollen. 
• einen Kontinuitätsplan zu haben. Dieser erlaubt die Fortführung der wichtigsten Aktivitäten trotz des Angriffs. 

Eine Cyberversicherung kann sinnvoll sein, um finanzielle Risiken zu beherrschen. Aber: Cyberkriminelle wissen, dass versicherte Unternehmen eher bereit sind (höhere) Lösegelder zu bezahlen. Zudem sind technische und organisatorische Voraussetzungen eine Hürde, die vor Abschluss einer Police genommen werden muss. 

Cyber Security ist ein komplexes Themengebiet mit vielen Facetten. Notwendige und sinnvolle Maßnahmen von reinen Möglichkeiten und Unnützem zu unterscheiden, erfordert umfassendes Wissen und einen neutralen Blick. Lassen Sie sich beim Beurteilen ihrer Sicherheitsaufstellung, beim Identifizieren von Risiken und beim Entwickeln sinnvoller Maßnahmen unabhängig und mit umfassender Expertise beraten.  

Gern steht Ihnen unser interdisziplinäres Team bei Fragen rund um Ihre Cyber Security und Ihre Cyber-Resilienz zur Seite.