In den achtziger Jahren sorgte ein Virus weltweit für Schrecken: Aids verbreitete sich rund um den Globus. Auch bei der ersten Infektionswelle mit Computer-Malware spielte das Virus eine Rolle. Über Disketten mit der Aufschrift „Aids Information“ wurde im Dezember 1989 eine Schadsoftware verbreitet, selbstverständlich noch offline. Per Post gingen die Disketten an Tausende Adressaten. Wer die Diskette einschob und das Programm installierte, löste die Schadsoftware aus. Um wieder Zugriff auf ihre Systeme zu erhalten, sollten die Opfer eine Zahlung nach Panama leisten.

Der Disketten-basierte Angriff vor 35 Jahren gilt heute als erste dokumentierte Ransomware-Attacke. Seitdem hat sich Ransomware zu einem regelrechten Industriezweig entwickelt, befeuert durch die zunehmende Vernetzung von IT-Systemen und das Aufkommen von Kryptowährungen. Deren Struktur bietet den Kriminellen gute Chancen, unerkannt das Lösegeld einzustreichen. Längst zielen die Angreifer auch auf Behörden und Unternehmen. Laut einer im September vom Digitalverband Bitkom veröffentlichten Umfrage unter 1.000 Unternehmen in Deutschland wurden in den vorangegangenen zwölf Monaten 60% der Firmen mit Ransomware attackiert. Den Schaden durch Cybercrime insgesamt beziffert der Verband im Bericht „Wirtschaftsschutz 2024“ auf 178,6 Mrd. Euro, ein Plus von 30 Mrd. Euro im Vergleich zum Vorjahr.

„Hinter Ransomware-Angriffen stehen heute hochprofessionelle Organisationen, die aus den Attacken ein Geschäftsmodell gemacht haben“, sagt Thorsten Rosendahl, Technical Leader bei Cisco Talos, der Security Research-Einheit des IT-Unternehmens Cisco, das unter anderem auch Cybersicherheitstechnologie anbietet. Gruppen, die es beispielsweise auf ein großes Unternehmen abgesehen haben, machen vor einem Angriff eine regelrechte Due Diligence ihres potenziellen Opfers. „Die Angreifer prüfen beispielsweise die IT-Sicherheitsmechanismen und versuchen abzuschätzen, bis zu welcher Höhe das Opfer wohl Lösegeld zahlen könnte“, erklärt Rosendahl. Dabei erpressen die Angreifer ihre Opfer nicht nur mit Verschlüsselung der Systeme, sondern auch mit einer möglichen Veröffentlichung erbeuteter Daten. Fachleute kategorisieren solche Fälle, die auf große Organisationen abzielen, als „big game hunting“, als Großwildjagd.

Ransomware-Attacken schädigen Unternehmen nicht nur durch die namensgebenden Lösegeldzahlungen („Ransom“). Hinzu kommen oft Produktionsausfälle, weil Systeme stillstehen, sowie Kosten für Berater und IT-Dienstleister, die bei der Aufarbeitung der Attacke helfen müssen. Die Folgen können das Geschäft über lange Zeit beeinträchtigen. Der Sicherheitssoftwareanbieter Sophos hat Anfang des Jahres in einer Befragung unter 5.000 IT- und Cybersicherheitsentscheidern weltweit ermittelt, dass es oft mehrere Wochen oder gar Monate dauert, bis ein Unternehmen sich vollständig von einer Ransomware-Attacke erholt hat. Nur 35% der betroffenen Unternehmen hatten den Angriff binnen einer Woche vollständig verarbeitet. Weitere 30% schafften dies binnen eines Monats, 27% benötigten bis zu drei Monate. Bei 8% der Betroffenen dauerte es sogar noch länger, alle Folgen aufzuarbeiten.

Der Anteil der Betroffenen, die den Angreifern nach einem Ransomware-Angriff wirklich ein Lösegeld zahlen, ist in der Tendenz allerdings rückläufig. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland schreibt, waren Anfang 2021 noch 56% der Ransomware-Opfer zu Zahlungen bereit. Mittlerweile seien es nur noch 36%. In der im September veröffentlichten Bitkom-Umfrage sagten sogar drei Viertel der Unternehmen, die mit Ransomware angegriffen wurden, dass sie den Kriminellen nichts bezahlt hätten. „Wer Opfer von Ransomware wird, sollte auf keinen Fall Lösegeld bezahlen“, lautet in dem Kontext der Ratschlag von Felix Kuhlenkamp, Referent Sicherheitspolitik beim Bitkom. Zum einen finanziere man damit weitere Angriffe der Täter. Zum anderen sei die Schadsoftware häufig so schlecht programmiert, dass die Täter die Verschlüsselung gar nicht vollständig rückgängig machen könnten.

Thorsten Rosendahl von Cisco Talos findet es persönlich richtig, die Angreifer nicht zu bezahlen. „Man muss den Geldhahn zudrehen, damit sie aufhören“, sagt er. Allerdings geht er davon aus, dass es eine hohe Dunkelziffer an Unternehmen gibt, die im Geheimen doch bezahlen, auch wenn sie in Umfragen das Gegenteil behaupten. Er geht davon aus, dass das Geschäft mit Ransomware-Angriffen weitere Cyberkriminelle anziehen wird. „Wir sehen seit einiger Zeit eine Explosion an Ransomware-Gruppen. Die Zahl der Akteure nimmt kontinuierlich zu, und es ist kein Ende absehbar.“ Die gute Nachricht: „Einige sehr effektive Gegenmaßnahmen zum Schutz vor Angriffen lassen sich einfach umsetzen und gehören zum Kanon dessen, was wir IT-Sicherheitsexperten seit Jahren predigen.“

Eine bewährte Schutzmaßnahme sind Back-ups. Die Sicherheitskopien müssen allerdings so abgelegt sein, dass sie nicht bei einer Attacke direkt mitverschlüsselt werden, mahnt Rosendahl. Noch besser wäre es, wenn die Angreifer gar nicht erst ins System kommen. Denn die Verschlüsselung der Dateien, durch die ein Ransomware-Angriff unweigerlich auffällt, ist in der Regel nur das große Finale einer Attacke. „Der Angreifer hat Tage oder Wochen zuvor schon Zugriff auf das System erhalten, konnte sich im Netzwerk breitmachen und Daten absaugen“, erklärt Rosendahl.

Mehr als 60% der Angreifer gelangen Rosendahl zufolge über kompromittierte Passwörter in die Systeme. „Viele Vorfälle ließen sich bereits mit besserer Passworthygiene und einer korrekt implementierten Multi-Faktor-Authentifizierung verhindern.“ Weitere 20% der Angreifer erreichten ihr Ziel, weil die angegriffenen Organisationen öffentlich bekannte Sicherheitslücken und Schwachstellen („Common Vulnerabilities and Exposures“, CVE) nicht geschlossen haben. Dabei seien Fälle, in denen die ausgenutzten Schwachstellen seit zwei oder drei Jahren bekannt waren, keine Seltenheit.

Regelmäßige Updates bei Patches und Konfigurationsänderungen sowie eine flächendeckende Multi-Faktor-Authentifizierung sind laut Rosendahl bereits eine gute Basis, um der Ransomware-Industrie ihr illegales Geschäft in den kommenden Jahren so schwer wie möglich zu machen. „Das sind die großen Hebel, an denen alle ansetzen müssen.“