Warum Ransomware-Angriffe auf dem Vormarsch sind

Blog
Pic source: kobu agency via Unsplash

Ransomware-Angriffe sind allgegenwärtig. Ob durch mediale Berichterstattung, Erzählungen aus dem Arbeitsumfeld oder dem Bekanntenkreis – man kommt um das Thema Cyberkriminalität und vor allem Ransomware nicht mehr herum. Die zunehmende Präsenz hat allerdings einen faktenbasierten Ursprung.

Angriffsmuster werden vielfältiger, die Frequenz und der Umfang der Angriffe steigen und die Betroffenen werden immer branchen- und unternehmensgrößen-unabhängiger. Der US-Cybersicherheitsexperte Recorded Future hat eine Analyse der Ransomware-Angriffslandschaft in Deutschland durchgeführt, aus der sich spannende Erkenntnisse ziehen lassen. In diesem Blogbeitrag verschaffen wir einen Überblick.

Was ist eigentlich Ransomware und warum ist sie so gefährlich?

Ransomware-Attacken sind Angriffe mit Schadprogrammen, die darauf abzielen, PCs und sich darauf befindliche Daten sowie Programme zu verschlüsseln und unbrauchbar zu machen. Das Ziel dabei ist, die Betroffenen zu erpressen und dazu zu bewegen, auf Lösegeldforderungen einzugehen – mit dem Versprechen, nach erfolgter Zahlung die Daten wieder freizugeben. Angriffe dieser Art finden mittlerweile vermehrt auf Unternehmen sowie Behörden und Verwaltungen statt. Dabei werden diese immer aufwendiger, ausgeklügelter und personalisierter. Cyberkriminelle gehen zielgerichtet und zumeist mehrstufig vor. Alltägliche Cybervorfälle wie Spamnachrichten werden sich dabei zunutze gemacht, um Zugang zum Unternehmensnetzwerk zu erhalten. In einem zweiten Schritt wird die IT-Infrastruktur analysiert, um entweder besonders wichtige oder sensible Daten zu verschlüsseln oder das gesamte System einschließlich angeschlossener Backups lahmzulegen. Auf diese Weise können die Erpresser einen größeren Druck auf die betroffenen Unternehmen ausüben und höhere Lösegelder fordern. Ob die Daten nach erfolgter Zahlung tatsächlich freigegeben werden, ist allerdings stets ungewiss. Denn: Bei einigen Ransomware-Programmen ist eine Entschlüsselung z.B. nicht vorgesehen oder erst gar nicht möglich.

Der deutsche Industriesektor war 2020 und 2021 am stärksten von Ransomware betroffen

Zu beobachten ist, dass das Volumen von Ransomwareangriffen weltweit und auch auf deutsche Unternehmen stetig zunimmt – mit gravierenden Konsequenzen für die Betroffenen: Systeme werden von der Schadsoftware befallen und unbrauchbar gemacht. Geschäftszweige müssen temporär geschlossen werden, sodass Beschäftigte als Konsequenz in Teilzeit versetzt werden könnten. Es besteht auch das Risiko, dass Unternehmensgeheimnisse öffentlich gemacht werden. In besonderen branchenspezifischen Fällen können Sozialleistungen nicht erbracht werden oder Krankenhäuser haben nicht die Möglichkeit, Patientinnen und Patienten aufzunehmen. Unabhängig der individuellen Folgen stellen Ransomware-Angriffe eine ernsthafte sowie folgenschwere Bedrohung für Unternehmen dar und gelten zurecht als eines der größten Geschäftsrisiken der heutigen Zeit.

Recorded Future hat in einem Bericht die Angriffslage mit Ransomware auf deutsche Unternehmen in den Jahren 2020 und 2021 zusammengefasst. Daraus lassen sich spannende und gleichzeitig besorgniserregende Erkenntnisse ziehen.

Auf einen Blick: die Ransomware-Bedrohungslage

Insgesamt stieg die Anzahl der Ransomware-Angriffe in Deutschland von 2020 auf 2021 um 83 %. Laut der Analyse von Recorded Future ist der Trend mitunter auf folgende Faktoren zurückzuführen:

  • Die Anzahl der aktiven kriminellen Hackergruppen, die Angriffe mit Ransomware verüben, hat sich verdoppelt. Die Professionalität der Gruppen ist parallel dazu gestiegen.
  • Das Volumen und die Frequenz der Angriffe nimmt ebenfalls zu – es ist eine erhöhte Aktivität der Banden zu beobachten.
  • Es werden höhere Lösegeldforderungen geltend gemacht, die die Zahlungen verkomplizieren.
  • Der Druck auf Unternehmen, Vorfälle zu melden, ist durch zunehmende mediale Berichterstattung gestiegen.
  • Fortschreitende und teils übereilte Digitalisierung durch die Pandemie führen zu Sicherheitslücken, die als einfaches Einstiegstor dienen können.

Entwicklungen, die letztlich dazu führen, dass Ransomware-Angriffe zum einen häufiger verübt werden, zum anderen aber auch einfacher durchzuführen sind und existentielle Konsequenzen für die Betroffenen haben.

Rund 42 % der Ransomware-Angriffe in Deutschland betreffen den Industriesektor, der als Rückgrat der deutschen Wirtschaft gilt. Nach Recorded Future fallen in diesen Sektor der Maschinenbau und Automobilindustrie, die Metallindustrie, die Elektrotechnik sowie das Baugewerbe. Auch weitere Branchen wie das Bildungswesen, der öffentliche Sektor und das Gesundheitswesen geraten immer weiter in den Fokus von Cyberkriminellen. Die Branchenzugehörigkeit ist jedoch kein ausschließliches Indiz für die Wahrscheinlichkeit einer Cyberattacke. Durch das vermehrte Auskommen und die erleichterte Ausführung kann es heutzutage jeden treffen.

Die Entwicklungen der letzten Jahre im Detail

Die Weiterentwicklung der Angriffsmethodik steht nicht still. Sowohl Angriffsarten als auch die genutzte Software werden durch Cyberkriminelle kontinuierlich ausgebaut und dadurch immer ausgefeilter. Welche Trends lassen sich hier vor allem beobachten?

Allgemein betrachtet werden Ransomware-Angriffe größer, umfangreicher und folgenschwerer. Während in der Vergangenheit Ransomware-Attacken vor allem individualisiert auf einzelne Nutzende verübt wurden, finden sie heutzutage in breiter Masse statt und zielen vor allem auf Netzwerke sowie Lieferketten großer Organisationen ab. Durch die Verschlüsselung gesamter vernetzter Betriebssysteme unterschiedlicher Unternehmen werden die Auswirkungen eines Angriffs sowie die Druckmittel der Angreifer immer massiver. Neben breit gefächerten Angriffen finden personalisierte und höchst professionelle Angriffe auf akribisch ausgewählte Zielorganisationen weiterhin statt.

Der zweite besorgniserregende Trend betrifft die Präzision, mit der Cyberkriminelle ihre Opfer angreifen. Mit der erhöhten Frequenz der Angriffe und den breiteren Zielen ging eine Optimierung der verwendeten Technologien einher. Um sich Zugriff und Kontrolle über sämtliche Betriebssysteme zu verschaffen, greifen Bedrohungsakteure auf Software zurück, über die sich Angriffe weniger zeitaufwendig und zielgenauer realisieren lassen.  Zum Einsatz kommen oftmals Methoden zur Beschleunigung von Verschlüsselungen wie z.B. die Software LockBit. Darüber hinaus wird mithilfe von Domänencontrollern Kontrolle über alle aktiven Verzeichnisse übernommen, von denen aus in einem zweiten Schritt komplette Netze verschlüsselt werden können. Auch Lösegeldzahlungen finden nunmehr nicht allein über Bitcoin statt, sondern zusätzlich über alternative Kryptowährungen wie Monero. Hier profitieren Angreifer von einfacher Verschleierung der Transaktionen sowie der Wahrung von Privatsphäre und Anonymität.

Auffällig in den Entwicklungen der letzten Jahre sind auch die Professionalität sowie die interne Organisation von kriminellen Hackergruppen. Hier ist eine Umgestaltung der Organisationsstrukturen zu verzeichnen. Allen voran sind hier vor allem kriminelle Banden zu nennen, die ihre Services im Darknet in Form von Ransomware-as-a-Service-Modellen (RaaS) zum Verkauf anbieten. Es ist nunmehr so, dass faktisch jeder Zugang zu den Diensten von Cyberkriminellen hat und sich diese in einfachen Schritten zunutze machen kann. Das ist fast so einfach wie ein Taxi zu bestellen: Kriminelle  werden gebucht, bezahlt und zum Teil sogar in Bewertungsportalen im Darknet evaluiert. Diese Aufträge können alles umfassen: von Wahlmanipulation über Bitcoin-Mining, Ransomware, Sabotage, Spionage und vieles mehr. Auch Partnerschaften zwischen den Bedrohungsakteuren werden über Foren im Darknet geschlossen. Einzelne Akteure spezialisieren sich hier auf unterschiedliche Bestandteile der Angriffe und schließen sich daraufhin für Aktivitäten zusammen. Die Rückführung der Ransomware-Attacken auf einzelne Banden wird dadurch erheblich erschwert.

Ferner, wirkt sich die fortschreitende Globalisierung nicht nur auf Politik, Wirtschaft und Gesellschaft aus, sondern betrifft auch organisierte Cyberkriminalität. Cyberangriffe sind ein globales Geschäftsrisiko, welches sich nicht nur auf ein Land oder eine Region beschränkt, sondern von internationaler Relevanz ist. Während laut Recorded Future in der Vergangenheit vor allem die USA von Cybercrime betroffen war, zeigen die aktuellen Statistiken, dass die USA die Rangliste zwar noch anführt, es aber keine geographischen Limitationen gibt. Die Gefahr ist für Unternehmen und Organisationen nicht nur real, sondern steigt weltweit vehement. Entscheidende Faktoren sind hier insbesondere Umsätze, besonders anfällige IT-Infrastruktur und kritische Relevanz der einzelnen Zielorganisationen – keine territoriale Zugehörigkeit.

Woher kommen die Erkenntnisse und wie sieht die Zukunft aus?

Die Dunkelziffer von Ransomware-Angriffen wird höher geschätzt, als die tatsächlich registrierten Fälle. Die Herausforderung in der Erfassung der tatsächlichen Vorkommnisse ist zum einen darauf zurückzuführen, dass die Fälle den Behörden zum Teil nicht gemeldet werden und  zum anderen, dass Ransomware-Angriffe teilweise als reguläre Sicherheitsvorfälle identifiziert und entsprechend registriert werden. Die Analyse von Recorded Future basiert auf Daten, die über verschiedene Kanäle gesammelt wurden: Es wurden Medienberichte und Berichte der jeweils betroffenen Organisationen gesammelt bzw. ausgewertet. Der Großteil der Datensatzes stammt allerdings von sogenannten Leak-Sites: Webseiten, die Ransomware-Angreifer zur Kommunikation mit der Öffentlichkeit und zur Erpressung ihrer Opfer nutzen.

Eine allgemeine Prognose der zukünftigen Entwicklungen ist zwar schwer zu treffen – man kann allerdings davon ausgehen, dass sich die hier aufgeführten Trends noch weiter verstärken werden. Basierend auf den Erkenntnissen werden Technologien zukünftig noch raffinierter, Angriffe umfangreicher und kriminelle Banden noch organisierter sowie spezialisierter. Das gesamte Ökosystem von Cyberkriminalität wird zugänglicher und immer mehr vernetzt.

Neben diesen dunklen Aussichten lässt sich allerdings auch ein durchaus positiver Trend beobachten, der in der Bekämpfung von Cyberkriminalität verwurzelt ist: Es sind immer mehr international koordinierte Strafverfolgungsmaßnahmen zu beobachten, kriminelle Banden werden zerschlagen und zwielichtige Webseiten offline genommen. Bemühungen finden dahingehend statt, die Infrastruktur, in denen Banden agieren, zu durchbrechen, Bedrohungsakteure sowie deren Partner und Vermittler zur Rechenschaft zu ziehen.

Zusätzlich zu den Maßnahmen der Strafverfolgungsbehörden ist das allgemeine Bewusstsein für Cyberkriminalität in der Gesellschaft allgemein – aber insbesondere auch in Unternehmen und Organisationen – gestiegen. Dies führt zu Bemühungen, sich aktiv gegen Cybergefahren zur Wehr zu setzen und durch präventive Maßnahmen den Ernstfall zu verhindern. Gepaart mit Initiativen zur weiteren Bewusstseinsbildung und dem Einsatz von technischen Ressourcen findet heutzutage eine aktive Gegenwehr bei Cyberangriffen statt, die die Ransomware-Erfolgsquote hoffentlich senken und dem Trend ein Ende setzen werden.

Was tun Sie aktiv gegen Cyberkriminalität? Sind Ihre Mitarbeitenden auf den Ernstfall vorbereitet?