Auffällig ist dabei: Ransomware arbeitet rasant schnell und die Forderungen zur Entschlüsselung sind äußerst unbarmherzig und brutal. Vor allem im Vergleich zu anderen Cyberangriffen, die langsam, fast unbemerkt und äußerst geschickt vorgehen.
Manche Experten bezeichnen Ransomware mittlerweile als die größte Bedrohung im Internet und die USA haben unlängst Ransomware-Angriffe auf Betreiber von kritischer Infrastruktur mit einem terroristischen Anschlag gleichgestellt. Seit März 2020 haben sich Cyberangriffe mit Ransomware – die Pandemie in der Pandemie - so rasant weiterentwickelt, dass es für fachlich Außenstehende fast unmöglich geworden ist, hier noch thematisch mitzuhalten. Dabei stellt sich oft die Frage: Müssen wir hier mithalten und warum – trifft es nicht ohnehin nur die anderen? Wir sagen: Es kann uns alle treffen, denn Ransomware gefährdet die Digitalisierung von Behörden und Unternehmen hat das Potenzial, unsere Gesellschaft über Angriffe auf kritische Infrastruktur elementar zu gefährden.
Ransomware ist im Jahr 2021 eine aufstrebende und höchst lukrative „Industrie“ geworden. Irrtümliche Angriffe auf Betreiber von kritischer Infrastruktur, das Ausnutzen von Netzwerkeffekten, die Verkettung von Angriffen durch unterschiedliche Akteure und vermutete staatliche Interessen wie Sabotage (Destabilisierung) zeigen, dass wir uns in ferner Zukunft auf einen Cyberkonflikt zubewegen, der entweder zu einem Ausfall oder wahrscheinlicher zu einer Segmentierung des weltweiten Internets führen könnte. Eine politisch motivierte Absicht muss jedoch nicht dahinterstecken. Ob Russland bewusst Ransomware-Gruppierungen wie Clop, Evil Corp. und REvil zur Destabilisierung im Westen einsetzt, kann aktuell weder bestätigt noch ausgeschlossen werden.
Sind die Opfer selbst Schuld?
Wenn sich solche Ransomware-Gruppierungen danach anonym in Interviews melden, dann wird oft ein fehlender oder nicht adäquater Schutz als Begründung genannt – die Opfer hätten einen Ransomware-Angriff ja schließlich irgendwie selbst zu verantworten. BlackMatter, DarkSide, LockBit 2.0 und LockFile setzen seit kurzem „Intermittent Encryption“ als neueste Technik ein, um so bewusst einer Erkennung durch Schutzsoftware zu umgehen. Also, liegt es tatsächlich nur am Opfer?
Somit stellt sich für viele betroffene Unternehmen die Frage: Zahlen oder nicht zahlen bei Ransomware? Die Erpressungsschreiben von Ransomware an Betroffene mögen vielleicht eine unfreiwillige, aber eine „notwendige Dienstleistung“ suggerieren. Jedoch sind die darin gegebenen Versprechen, wie etwa gestohlene Dateien zu löschen oder deren Kopien im Internet zu entfernen, bis dato höchst unzuverlässig gewesen. Viele Betroffene sprechen Wochen später von weiteren Angriffen mit anderer Ransomware, quasi einer „Nacherpressung“ mit Datenlecks, oder von defekten Dateien nach der Entschlüsselung.
Beim kommenden CFO Forum „CFOs im Krisenmodus“ möchten wir daher zwei Impulse geben:
Erstens, können oder sollen wir Ransomware wie eine Steuer einkalkulieren? Eine Steuer, die eigentlich nur Kriminelle beflügelt, aber durch das Verhalten westlicher Staaten – Stichwort Sanktionen – mitausgelöst wurde?
Zweitens, der Schutz vor Ransomware wird immer komplexer. Ein CFO soll kontinuierlich einsparen, Werte aufbauen und schützen, dazu noch ständig neue Risiken einer komplexen Welt bestehend aus Lieferketten und digitalisierten Werten erkennen – geht das überhaupt noch?
Der Autor: Mag. Lorenz Szabo ist Manager, IT & Risk Advisory bei der BDO Consulting GmbH. Beim CFO Forum 2021 wird er in seinem Vortrag die Themen Cyber-Security, Risiken und Resilienz beleuchten.
Zum CFO Forum
Weiterführende Links:
Wer sich einen aktuellen Lagebericht zum Thema Ransomware wünscht, verstehen möchte, ob wir kurz vor einem Cyberkrieg stehen und ob man sich überhaupt schützen kann, dem empfehlen wir als vertiefende Lektüre diesen Artikel auf der Homepage von BDO
Weiterführender Artikel auf Sophos News (Englisch)
