Mit der wachsenden Digitalisierung und dem zunehmenden Grad der Vernetzung in Unternehmen geht hohes Potenzial einher. Viele Prozesse können automatisiert, Silos geschlossen und Synergien genutzt werden. Doch wo Licht ist, gibt es bekanntlich auch Schatten – und im Falle von Cyberkriminalität ist das Erpressen von Lösegeldern im digitalen Raum ein äußert lukratives Geschäft. Das Bundeskriminalamt stellt fest, dass von allen Modi Operandi im Bereich Cyberkriminalität digitale Erpressung – durch so genannte Ransomware, auch Verschlüsselungs- oder Erpressungstrojaner genannt – das höchste Schadpotenzial besitzt.
Daten des Digitalverbands Bitkom zufolge, hatten Ransomware-Attacken 2022 rund 12 Prozent der in diesem Jahr von Cyberkriminalität betroffenen Unternehmen zum Opfer. Fatal: Längst sind es nicht mehr einzelne, informationstechnisch sehr versierte Hacker, die Ransomware in den Umlauf bringen. Vielmehr lassen sich die Schädlinge mittels sogenannter Crimeware-Kits erwerben. So können Kriminelle auch ohne IT-Expertise sich Schadprogramme nach dem Baukastenprinzip zusammenstellen lassen und Unternehmen bedrohen.
So nutzen Kriminelle Ransomware für Cyber-Angriffe und digitale Erpressung
Bei einem Ransomware-Angriff auf Unternehmen wird der Systemzugriff blockiert und Daten werden verschlüsselt, so dass das Unternehmen digital praktisch handlungsunfähig ist. Neben den eigenen sind dadurch oftmals auch die Daten von Lieferanten und Partnern in Gefahr.
Wie bei allen Schadprogrammen und DDoS-Angriffen gibt es unterschiedliche Wege, derer sich Cybererpresser bemächtigen. Neben infizierter Software oder Filmen, die Hacker im Internet zum kostenfreien Download ins Netz stellen, ist Phishing ein beliebter Weg, um möglichst viel Schaden im Unternehmen anzurichten. Dabei versenden Cyberkriminelle Emails, die denen seriöser Quellen wie etwa Banken, Online-Marktplätzen oder Telekommunikationsanbietern täuschend ähnlich sehen, und rufen zum Download oder zur Dateneingabe auf.
Fatal: Auch Sicherheitslücken in offiziellen Software-Produkten wie zum Beispiel Videoplayern oder Desktop-Anwendungen können von Cyberkriminellen genutzt werden, um Ransomware einzuschleusen – in diesem Fall spricht man von so genannten Supply Chain Angriffen.
Auch ungesicherte IoT-Geräte stellen im Zeitalter rasant wachsender Vernetzungsmöglichkeiten ein großes Risiko dar. So können beispielsweise schon infizierte Kleinstteile, wie etwa Kameras, großen Schaden anrichten, da sich von dort aus die Schadsoftware über das gesamte Netzwerk lateral ausbreiten kann.
Gerade für technisch wenig versierte Menschen ist zudem die so genannte Tech-Support-Betrugsmasche eine große Gefahr. Unter dem Vorwand, IT-Support zu leisten, lassen sich Cyberkriminelle Fernzugriff freischalten, um dann auf den jeweiligen Rechnern Ransomware einzuschleusen.
Cyberangriffe erkennen: Das können Indizien sein
In puncto Typisierung unterscheiden Cybersicherheits-Experten im Wesentlichen zwischen zwei unterschiedlichen Arten von Ransomware. Zum einen gibt es so genannte Screenlocker, die den Bildschirm sperren, Erpresserbriefe einblenden und weitere Handlungen seitens der Opfer unmöglich machen. Zum anderen gibt es File-Encrypter, die die Daten auf dem Computer verschlüsseln und wertvolle Dateien und Ordner als „Geisel“ nehmen. Eine Freigabe soll nur gegen eine Lösegeldzahlung erfolgen. Was bleibt, ist der Hinweis mit dem Aufruf zur Lösegeldforderung – ein Hinweis, den Betroffene nicht selbständig wieder schließen können.
Effektive Schutzmaßnahmen, um digitale Erpressung zu verhindern
Der beste Schutz gegen Ransomware und das Verhindern von Cyber Erpressungen besteht in regelmäßigen Updates, einer umfangreichen, holistischen Sicherheitslösung sowie Security Awareness Trainings und Weiterbildung von Mitarbeitern. Nur, wenn Mitarbeiter die aktuellen Cybergefahren kennen und wissen, welche Einfallstore Hacker nutzen, können sie dem Ernstfall aktiv vorbeugen.
Sie werden erpresst? Richtiges Verhalten im Ernstfall
„Der Verlust der Kontrolle über die eigenen Daten kann für kleine Unternehmen genauso geschäftsschädigend sein, wie für große. Wenn sie beispielsweise nicht mehr auf eigene Kundendaten, Rechnungen oder Bestände zugreifen können, dauert es vor allem bei kleinen Unternehmen nicht lang bis zur Insolvenz. Deshalb sind gerade diese Unternehmen oft bereit, die geforderten Lösegeldsummen an die Erpresser zu zahlen, um den Betrieb schnell wieder aufnehmen zu können.“ weiß Matthias Nehls , geschäftsführender Gesellschafter und Gründer der Deutschen Gesellschaft für Cybersicherheit.
Dabei rät der Experte dringend von Lösegeldzahlungen ab. Auch der Digitalverband Bitkom rät: „Bei Ransomware gilt: Durch technische Vorkehrungen und Schulung der Beschäftigten lassen sich Angriffe abwehren. Und wer aktuelle Backups zur Verfügung hat und einen Notfallplan aufstellt, der kann den Schaden einer erfolgreichen Attacke zumindest deutlich reduzieren“, sagt Bitkom Präsident Achim Berg. Auf keinen Fall sollte ein Lösegeld gezahlt werden, da dies keinesfalls die Freigabe der unbeschädigten Daten gewährleiste und zudem Täter zu weiteren Angriffen motiviert würden. Frei nach dem Motto: „Wer einmal zahlt…“.
Vielmehr sollten Unternehmen, die eine Datenverschlüsselung bemerken, die betroffenen Systeme möglichst sofort vom Netz nehmen und Experten wie die Deutsche Gesellschaft für Cybersicherheit zurate ziehen. Im Rahmen eines gut strukturierten Incident Response Managements kann dann direkt „Erste Hilfe“ geleistet werden, so dass Unternehmen schnell wieder einsatzfähig und für die Zukunft noch besser geschützt sind.
Cyber Erpressung melden: So informieren Sie Polizei und Betroffene
Bemerkt ein Unternehmen Ransomware in seinen Systemen, ist schnelles Handeln gefragt. Das BSI empfiehlt betroffenen Unternehmen, unverzüglich Anzeige bei der Polizei zu erstatten.
Ebenfalls hat nach Artikel 33 der Datenschutzgrundverordnung (DSGVO) eine Meldung an die zuständige Aufsichtsbehörde zu erfolgen. Auch die Mitarbeiter gilt es im Falle eines Angriffs umgehend zu informieren, da sie möglichst schnell ihre Anmeldedaten ändern müssen.
Erste Hilfe bei digitaler Erpressung: Mit Incident Response Auswirkungen des Angriffs minimieren
Neben den genannten Stellen sollte unmittelbar nach Entdeckung des Angriffs ein Cyber Sicherheitsexperte wie die Deutsche Gesellschaft für Cybericherheit (DGC) zu Rate gezogen werden. Im Rahmen eines umfangreichen Incident Response Services unterstützen die Profis dabei, infiltrierte Geräte direkt vom Netz zu trennen, die eingeschleuste Schadsoftware zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten. Dabei steht natürlich die rasche Datenwiederherstellung und Freischaltung der kompromittierten Systeme im Vordergrund.
Digitale Erpressung: Unser Fazit
Digitale Erpressung in Form von Ransomware hat in den vergangenen Jahren stark zugenommen. Durch den technologischen Fortschritt müssen Cyberkriminelle heute nicht mal selbst IT-Profis sein, sondern können die Schadsoftware als perfide „Service-Leistung“ im Darknet einkaufen. Eine große Gefahr für Unternehmen, die wichtige Schutzmaßnahmen unverzichtbar macht. Neben einer intensiven Schulung aller Mitarbeiter, etwa durch regelmäßige Security Awareness Trainings, sowie den Einsatz einer hoch performanten Sicherheitslösung sollte eine regelmäßige Datensicherung Standard sein. Wichtig ist es, dass Unternehmen das Thema Cybersicherheit holistisch betrachten – denn von Sicherheitslücken ist immer ein ganzes Ökosystem mit all seinen Teilnehmern betroffen – IT, Mitarbeiter und Kunden.
Dabei unterstützt die DGC: „Ob Monitoring von Schwachstellen und IT-Infrastrukturen, effektive Angriffsüberwachung und –abwehr oder präventive Notfallstrategien: Unser Anliegen ist es, Transparenz und Widerstandsfähigkeit zu schaffen, um Risiken frühzeitig zu erkennen und Netzwerke sowie öffentlich erreichbare Systeme gegen Hacker, Schadprogramme und Datenlecks abzusichern,“ resümiert DGC-Geschäftsführer Matthias Nehls.
Denn: So perfide Cyberangriffe auch sind, werden sie sich auch in Zukunft mit den passenden Maßnahmen und der richtigen Prävention abwehren oder in ihrem Ausmaß begrenzen lassen.