Ransomware-Erpressungszahlungen erreichen neue Rekordwerte:

Parallel zu einer immer stärker vernetzten Welt nehmen auch die Versuche von Ransomware-Angriffen auf Unternehmen immer weiter zu und die Summe an Erpressungszahlungen erreichte im letzten Jahr neue Rekordwerte.¹

Unter einem Ransomware-Angriff versteht man dabei die Verschlüsselung von Daten eines Unternehmens und die Erpressung von Lösegeldzahlungen zur Entschlüsselung.

Finanzabteilungen sind dabei ein attraktives Ziel für Cyberkriminelle, da es hier sensible Finanzdaten zu erbeuten gibt und geschäftskritische Prozesse wie der Zahlungsverkehr behindert oder unterbunden werden können. Bei einem Ransomware-Angriff sind eben diese Datenmengen im ersten Schritt das Ziel von Angriffen und es kommt üblicherweise zu einer Verschlüsselung von einzelnen Dateien, ganzer Laufwerke oder zur Blockierung des Zugangs zu Applikationen. Ein erfolgreicher Ransomware-Angriff kann dementsprechend nicht nur zu erheblichen finanziellen Verlusten führen, sondern auch das Vertrauen der Kunden, Lieferanten und Investoren in das Unternehmen beeinträchtigen. Das führt zu einem sehr hohen Schadenpotenzial.

Zusätzlich zu präventiven Maßnahmen, um sich vor Ransomware-Angriffen zu schützen, sollten Unternehmen daher eine Business-Continuity-Strategie ausarbeiten, um selbst für den Schadensfall vorbereitet zu sein. Strukturen zu schaffen, welche auch unter schwierigen Bedingungen die betriebliche Kontinuität sicherstellen oder wiederherstellen, kann das Ausmaß des Schadens erheblich verringern. 

Bei einem Ransomware-Angriff wird der Zugriff auf die internen Daten eines Unternehmens durch eine Verschlüsselung blockiert. Dabei kommen sowohl ein öffentlicher als auch ein privater Key zum Einsatz, die zum Verschlüsseln bzw. Entschlüsseln der betreffenden Daten verwendet werden. Der öffentliche Key wird an die Opfer des Angriffs gesendet, während der private Key nur den Angreifern bekannt ist. Auf diese Weise können die Angreifer die Daten verschlüsseln, ohne dass die Opfer in der Lage sind, sie zu entschlüsseln, es sei denn, sie zahlen eine geforderte Lösegeldsumme. Wenn das Lösegeld nicht innerhalb der Frist gezahlt wird, besteht die Bedrohung und die resultierende Gefahr, dass die Angreifer den privaten Schlüssel löschen, wodurch eine Entschlüsselung der Daten in der Regel unmöglich gemacht wird.

Die Angriffe können sowohl von gut organisierten Hackergruppen als auch von Einzelpersonen ausgehen. Eine Studie, welche die auf europäische Unternehmen erfolgten Ransomware-Angriffe ausgewertet hat, sieht folgende typische Vorgehensweise:²

Zuerst kommt der „Reconnaissance“-Schritt, wobei die Angreifer die Schwachstellen im Informationssystem und den Schnittstellen vom Unternehmen sammeln. Sobald diese Punkte erkannt und die geeignete Angriffsmethode ausgewählt wurden, wird ein entsprechendes Skript über verschiedene Kanäle an das Unternehmen weitergeleitet und versucht, es zum Herunterladen in interne Systeme zu verleiten. Das heruntergeladene Skript sorgt dafür, dass die Angreifer eine Fernkontrolle auf das interne System erhalten und danach die beabsichtigte Verschlüsselung der nicht öffentlichen Daten durchführen. 

Alternativ zu dem gezielten Angriff auf Einzelunternehmen bestreiten Hackergruppen regelmäßig den gegenteiligen Weg und attackieren eine Vielzahl von Unternehmen durch die Weiterleitung von entsprechenden Skripten, beispielsweise via E-Mail, um im Nachgang zu prüfen, ob ein Download ins Informationssystem erfolgt ist. 

Allein in Deutschland wurden gemäß einer Veröffentlichung vom Bundeskriminalamt im Jahr 2023 von mehr als 800 Unternehmen bzw. Institutionen Anzeigen hinsichtlich Ransomware-Angriffen bei der Polizei gemeldet³, und laut einer EU-Studie⁴ ist Deutschland nach den Vereinigten Staaten das weltweit am häufigsten betroffene Land für Ransomware-Angriffe. Die jährliche bundesweite Studie des Bundesamts für Sicherheit in der Informationstechnik aus dem Jahr 2023 zeigt ebenfalls⁵, dass bei den sogenannten Angriffen mit „doppelter Erpressung“ (wobei die Daten nicht nur verschlüsselt werden, sondern auch gedroht wird, dass es zur Datenveröffentlichung kommt) die größte Anzahl an mutmaßlichen Opfern aus Deutschland in einem einzigen Jahr identifiziert wurde und sich die Summe im Vergleich zum Jahr 2022 verdoppelt hat. Die Angriffe beschränkten sich dabei nicht auf einen bestimmten Wirtschaftssektor, sondern stellten eine Bedrohung für Unternehmen verschiedenster Branchen und Größen dar (siehe dazu Abbildung 1), wobei mittelständische Unternehmen statistisch betrachtet, am stärksten betroffen waren. 

Ransomware-Erpressungszahlungen erreichen neue Rekordwerte:

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Die steigende technische Komplexität der Treasury-Abteilungen bedeutet, dass die möglichen Quellen solcher Angriffe schwer vollständig aufzulisten sind. Insbesondere können nicht optimal gesicherte APIs, also Programmierschnittstellen, ein Einfallstor für Schadsoftware darstellen⁷. Darüber hinaus werden täglich im Durchschnitt eine Viertelmillion neue Varianten von Schadprogrammen identifiziert, die bei solchen Angriffen in Verwendung kommen und über verschiedene Wege in das technische System der Unternehmen gelangen können.⁸ Die Firewall eines Unternehmens, also eine Software, welche den Datenfluss zwischen internen und externen Netzwerken kontrolliert, unterliegt somit einer ständig veränderten Prüfung. Auch menschliche Fehler, wie beispielsweise das Öffnen von Phishing-E-Mails oder das Herunterladen von infizierten Dateien, können zu einem erfolgreichen Angriff führen.

Es ist daher von entscheidender Bedeutung, dass Treasury-Abteilungen angemessene Sicherheitsmaßnahmen ergreifen, um sich vor Ransomware-Angriffen zu schützen. Eine Hauptkomponente der IT-Systemlandschaft einer Treasury-Abteilung besteht dabei in der Implementierung des Treasury-Management-Systems, welches ebenso wie die dazugehörigen Schnittstellen regelmäßig aktualisiert und hinsichtlich ihrer Sicherheit geprüft werden sollte. 

Zum Schutz sollten Unternehmen auch andere Maßnahmen ergreifen: Eine Möglichkeit ist, regelmäßige Backups ihrer Daten zu erstellen und diese an einem sicheren Ort aufzubewahren. Insbesondere im Bereich Zahlungsverkehr ist es nicht unüblich, regelmäßig Spiegelungen vom produktiven System zu machen und diese auf einen Disaster-Recovery-Server zu überführen. 

Dadurch können sie im Falle eines Angriffs ihre Daten ganz oder zumindest teilweise wiederherstellen, ohne auf die Zahlung von Lösegeld angewiesen zu sein. Trotzdem sollte die Sicherheit solcher Backups immer wieder überprüft und aktualisiert werden, da die Ransomware-Angriffe ebenfalls versuchen, die Wiederherstellung der Daten durch Backups zu gefährden: Laut dem diesjährigen Ransomware-Report von Sophos, einem Entwickler für Sicherheitssoftware, haben 94% der durch Ransomware angegriffenen Unternehmen gemeldet, dass die Angreifer ebenfalls ihre Backups verschlüsseln wollten⁹. Eine Möglichkeit ist hier ein Offline-Backup vorzuhalten¹⁰, damit das Unternehmen selbst für nicht funktionierende Cloud-Backups gerüstet ist.

Eine weitere Schutzmaßnahme ist es, die IT-Systeme des Unternehmens regelmäßig zu aktualisieren und zu patchen, um Schwachstellen zu schließen und Angriffe zu verhindern. Unternehmen sollten auch Schulungen für ihre Mitarbeiter durchführen, um sie über die Risiken von Ransomware-Angriffen zu informieren und sie zu sensibilisieren. Durch eine Kombination dieser Maßnahmen können Unternehmen ihre Chance erhöhen, Ransomware-Angriffe abzuwehren und ihre Daten zu schützen. Nach BSI-Statistiken von August 2022 repräsentierten Spam-Nachrichten etwa 34% aller E-Mails in der Wirtschaft in Deutschland, was besonders hervorhebt, wie essenziell der Schutz gegen diese Angriffe ist¹¹.

Wenn aber alle diese Maßnahmen nicht ausreichend waren und ein Angriff auf das Unternehmen erfolgreich durchgeführt wurde, bleibt die Frage, ob das gewünschte Lösegeld bezahlt werden sollte. Laut einer europaweiten Studie haben ungefähr 60% der angegriffenen Unternehmen sich entschieden, das Lösegeld zu bezahlen, um wieder auf ihre Daten bzw. ihre IT-Infrastruktur zugreifen zu können¹². Dasselbe ist insbesondere vor dem Hintergrund erstaunlich, dass selbst eine Lösegeldzahlung die Entschlüsselung der Dateien nicht garantiert, und weiter das Risiko eines Verlustes bzw. einer Veröffentlichung von betriebsinternen Daten besteht. 

Bei der Entscheidung bezüglich der auf den Angriff folgenden Reaktion spielt auch die geografische Lage der betroffenen Organisation eine entscheidende Rolle, da je nach Land unterschiedliche regulatorische Vorschriften zu berücksichtigen sind. In den Vereinigten Staaten könnte eine solche Zahlung beispielsweise als Terrorismusfinanzierung eingestuft werden, weshalb hier der rechtliche Rahmen vorab geprüft werden sollte. Striktere Regelungen oder Einschränkungen von Ransomware-Zahlungen könnten außerdem in der Zukunft in vielen Ländern eingeführt werden. Die Organisation „International Counter Ransomware Initiative“, die zurzeit mehr als 40 Länder beinhaltet, setzt sich für härtere Gesetze gegen solche Zahlungen ein, da dadurch Anreize für solche Angriffe geschaffen werden. Bis dahin bleibt es aber die individuelle Entscheidung der betreffenden Unternehmen, einzuschätzen, ob eine Lösegeld-Zahlung oder der Schaden ohne Zahlung für das Unternehmen das kleinere Übel darstellt. 

Sollte ein Unternehmen dabei eine Lösegeldzahlung nicht kategorisch ausschließen, sollte es sich im Rahmen der Business-Continuity-Strategie auch mit Kryptowährungen beziehungsweise mit den Verwahrstellen von Kryptowährungen, sogenannten Wallets, befassen. Kryptowährungen werden oft als Zahlungsmittel für Lösegeldforderungen verwendet. Cyberkriminelle nutzen Kryptowährungen aufgrund ihrer dezentralen Natur und Anonymität, um Zahlungen zu erhalten, ohne sofort identifiziert zu werden. Hier sollte geprüft werden, ob bereits vorab Strukturen geschaffen werden, um Zahlungen in Kryptowährungen für das Unternehmen durchführen zu können. Einige Unternehmen gehen hier sogar so weit, bereits bestimmte Kryptowährungen vorzuhalten, um im Schadenfall diese nicht kurzfristig beschaffen zu müssen und sicherzustellen, dass diese Möglichkeit als eine Stand-Alone-Lösung auch ohne klassischen Zahlungsverkehr existiert.

Quelle: KPMG Corporate Treasury News, Ausgabe 149, November 2024
Autoren: Börries Többens, Partner, Finance and Treasury Management, Corporate Treasury Advisory, KPMG AG
Marvin Berning, Manager, Finance and Treasury Management, Corporate Treasury Advisory, KPMG AG

1 Vgl. Ransomware-Zahlungen erreichen Rekordhoch – DerTreasurer.
2 Vgl. The Ransomware Landscape in Europe, European DIGITAL SME Alliance.
3 Vgl. Cyberkriminalität erneut gestiegen: Sicherheitsbehörden zerschlagen kriminelle Infrastrukturen, Bundeskriminalamt, 13. Mai 2024.
4 Vgl. EU-Agentur für Cybersicherheit (Daten von Juli 2021 bis Juli 2022), Europäische Union, 2022.
5 Vgl. Die Lage der IT-Sicherheit in Deutschland 2023, Bundesamt für Sicherheit in der Informationstechnik.
6 ebd.
7 Vgl. Unsichere APIs sorgen für Milliardenschäden, der Treasurer, 29. Juni 2022.
8 Vgl. Die Lage der IT-Sicherheit in Deutschland 2023, Bundesamt für Sicherheit in der Informationstechnik.
9 Vgl. The State of Ransomware 2024, Sophos, April 2024.
10 Vgl. Maßnahmenkatalog Ransomware, BSI, 2022.
11 Vgl. Ausgabe 08/2022: E-Mails und Spam-E-Mails in der Wirtschaft in Deutschland, BSI.
12 Vgl. EU-Agentur für Cybersicherheit (Daten von Juli 2021 bis Juli 2022), Europäische Union, 2022.