Auch wenn diese Art von Angriffe auf Autohäuser, Hotelbetreiber oder Freiberufler es selten in die Schlagzeilen schaffen, kommen sie doch bei allen Betriebsarten ganz regelmäßig vor. Dies beweisen nicht nur die Großzahl der Schadenfälle, die doch in der regionalen Presse veröffentlicht wurden. 

Schäden, die durch Einsatz von Verschlüsselungssoftware entstanden sind, belaufen sich 2021 auf €16,5 Mrd.Dies ist das 57-fache von 2015.

Das bedeutet, dass das erfolgreichste Geschäftsmodel Cyberkrimineller noch erfolgreicher wird. Warum? Das liegt daran, dass Cyberkriminelle die enormen Profite nicht nur einstreichen, sondern in Verbesserungen reinvestieren und damit weiter professionalisieren. Wir sprechen mittlerweile von RaaS (Ransom-As-A-Service), das heißt so viel wie Verschlüsselungssoftware-Zum-Mieten, und zwar aus dem Dark Web für jedermann für eine Handvoll Euro Grundpauschale zzgl. eines Prozentsatzes an den fließenden Lösegeldern, die bei erfolgreicher Attacke eingenommen werden. Das Ganze kann man bequem online mit einem Dashboard verfolgen. Wenn diese Software nicht funktioniert kann man sogar eine Hotline anrufen.

Zielgerichtete Attacken: Einige Betriebsarten haben durchaus attraktive Daten, die für ihre Reputation bzw. Wertschöpfung extrem wertvoll sein können. Dies sind beispielsweise Freiberufler vertraulicher Daten, wie Ärzte, Rechtsanwälte oder Steuerberater.

Streuattacken: Diese dargestellten Erpresserwerkzeuge mit Verschlüsselungssoftware lassen sich auch sehr leicht über gut gemachte SPAM-E-Mails an sehr große Verteiler schicken. Dabei sind gerade kleinere KMUs deshalb eine beliebte Zielgruppe, da bei ihnen die Cybersicherheit bekanntermaßen nicht groß geschrieben wird. Und wenn nur bei jedem 100ten Unternehmer ein Mitarbeiter unachtsam auf einen infizierten Link klickt lohnt sich das Investment. Kleinvieh macht auch Mist.

Kollateralschaden: Dies ist der wohl am meisten unterschätzte Grund, warum auch kleinere Unternehmen zum Ziel werden können. 2017 war im Ukrainekonflikt zwischen Russland und der Ukraine ein Update einer dort weitverbreiteten Steuersoftware (vergleichbar in Deutschland mit DATEV-Lösungen) nach Expertenmeinungen von russischen Agenten infiziert worden. Ziel war es eigentlich mit dem zentralen Update dieser Software einen Großteil der ukrainischen Infrastruktur von Administration, Versorgung und Wirtschaft lahmzulegen. Folge der Verbreitung dieser Steuersoftware waren jedoch massive Infektionen internationaler Firmen weltweit, also die Beeinträchtigung von Firmen und Ländern weltweit, die nie im Fokus standen.  

Diese Erklärungen belegen, dass jede noch so kleine oder große Firma bei entsprechender Digitalisierung jederzeit zum Ziel werden kann.

Nun auch wenn in der Vergangenheit bei derartigen Attacken ‚nur‘ ein Bitcoin verlangt wurde, so ändert sich das momentan dramatisch. Erstens war der Bitcoin vor ein paar Jahren nur ca. €1.500 wert und jetzt steht der Kurs oft in der Größenordnung von €25.000 bis €45.000 und es wird immer noch oft 1 Bitcoin verlangt und nicht 1/8 oder 1/16. Das liegt natürlich auch daran, das die Kriminellen jetzt mit der zusätzlichen Möglichkeit die verschlüsselten Daten auch häppchenweise als Drohpotential zu veröffentlichen, ein wesentlich höheres Drohpotential haben.

Der entstandene Gesamtschaden bei den betroffenen Unter­nehmen und Institutionen ist zudem in der Regel weitaus größer als ein gegebenenfalls gezahltes Lösegeld, da durch einen Ausfall der IT neben den teils beträchtlichen Kosten zur Bereinigung und Wiederherstellung von Systemen unterschiedliche weitere Kosten entstehen. Umsatzausfälle führen zu direkten Verlusten. Die Kosten steigen aber auch durch die Installation alternativer Geschäftsprozesse (wenn etwa zusätzliches Personal eingestellt werden muss) oder die Beauftragung von Fremdfirmen. Bei der Wiederherstellung der IT-Infrastruktur nach einem Angriff wird oft auch die Hardware ausgetauscht, um notwendige, erneuerte Sicher­heitskonzepte umsetzen zu können. Auch diese Migration bewirkt Störungen und Verzögerungen im Betriebsablauf und hat zum Beispiel Schulungsbedarf zur Folge.

Mit einer Cyberversicherung ist man sehr gut geschützt, die erforderlichen Maßnahmen gegen eine derartige Attacke zeitnah durchführen zu können und Folgeschäden ersetzt zu bekommen

Was sind aktuelle Ergebnisse der Weiterentwicklung? Seit einiger Zeit kann man nicht nur angegriffene Systeme verschlüsseln, sondern genau die verschlüsselten Daten zusätzlich ‚exfiltrieren‘, oder einfacher gesagt ‚stehlen‘.

Wenn bislang gut geschützte Opfer, die beispielsweise durch funktionierende Back Ups, ihre Systeme wieder mit gesicherten Daten hochfahren konnten und die Forderungen der Cybererpresser ignorieren konnten ist dies seit kurzem problematischer, wenn die nachträgliche Veröffentlichung der verschlüsselten Daten für das Unternehmen zum Problem würde. Und das ist bei sensiblen oder vertraulichen Daten oft das Problem. Man denke nur an Patienten-, Mandanten-, Kundendaten oder Betriebsgeheimnisse.

Derzeit werden gerade von Cyberkriminellen Infrastrukturen aufgebaut, in all denjenigen Fällen, in denen geforderte Lösegelder nicht gezahlt wurden, die dabei gestohlenen Daten in eine international verfügbare Datenbasis zu stellen gegen oder ohne Entgelt. Diese Folgen können für zahlreiche Unternehmen auf Grund der damit belegten Datenschutzverstöße (DSGVO) oder Reputationsverluste existentielle Konsequenzen haben.

Weitere Details: