NEUE Semperis Ransomware-Studie: Globale Organisationen sollten sich auf Cyberattacken in der Urlaubssaison vorbereiten
Ransomware-Risikobericht: Die Denkweise des Einbrechers annehmen

Opfer mehrfach getroffen, 78% zahlten Lösegeld

Eine weltweite Studie unter 900 IT- und Sicherheitsexperten hat ergeben, dass 74 % der Unternehmen, die von Ransomware betroffen waren, mehrfach angegriffen wurden und 78 % der Opfer Lösegeld gezahlt haben. Dies deutet auf einen Kreislauf von Sicherheitsverletzungen hin, die eskalierende Schäden in Form von Umsatzverlusten, Betriebskosten und - in einigen Fällen - Gefahr für Leib und Leben verursachen.

Holen Sie sich den Bericht

Wir müssen davon ausgehen, dass die Bedrohung ständig präsent ist. Dabei geht es nicht nur um die berüchtigten Fälle, von denen wir jedes Quartal oder so hören. Dies geschieht jeden Tag, jeden Tag, für eine Reihe von Unternehmen.

Chris Inglis Strategischer Berater, Semperis & erster nationaler Cyber-Direktor der USA, ehemaliger stellvertretender Direktor der NSA

Alarmierende Häufigkeit, Schwere und Folgen von Angriffen

Ransomware, einst eine sporadische Bedrohung, hat sich zu einem unerbittlichen Feind entwickelt. Kriminelle Gruppen führen mehrere Angriffe in schneller Folge durch und nutzen Schwachstellen in Unternehmen aus. Kritische Systeme, einschließlich Microsoft Active Directory, sind ein Top-Angriffsziel.

Der Ransomware Risk Report 2024 zeigt besorgniserregende Statistiken für Unternehmens-, IT- und Sicherheitsverantwortliche.

Holen Sie sich den Bericht
83%
der befragten Unternehmen waren in den letzten 12 Monaten Opfer eines Ransomware-Angriffs
74%
der Ransomware-Opfer wurden mehrfach angegriffen
78%
der Opfer zahlten Lösegeld (32% zahlten 4 Mal oder mehr)
35%
der Opfer, die Lösegeld gezahlt haben, haben keine Entschlüsselungsschlüssel erhalten oder konnten ihre Dateien und Vermögenswerte nicht wiederherstellen

Wenn es zu mehreren Angriffen kommt, geschieht dies meist kurz hintereinander. Diese Daten deuten darauf hin, dass mehrere kriminelle Banden die Schwachstellen von Unternehmen ausnutzen, um einen zweiten oder dritten bösartigen Angriff zu starten - in einigen Fällen sogar gleichzeitig.

Simon Hodgkinson Strategischer Berater von Semperis & ehemaliger CISO von bp

Mit Ransomware zurechtkommen

Unternehmen werden innerhalb eines Jahres mehrfach von erfolgreichen Ransomware-Angriffen heimgesucht, was zu Betriebsschließungen, Entlassungen, Umsatz- und Vertrauensverlusten bei Kunden und der Kündigung von Cyber-Versicherungen führt.

74%

der Unternehmen wurden nicht nur einmal, sondern mehrfach von Ransomware angegriffen - 54 % am selben Tag und die meisten innerhalb einer Woche.

78%

der angegriffenen Unternehmen zahlten das Lösegeld - 72% zahlten mehrmals und 32% zahlten 4 Mal oder öfter.

Mickey Bresman, Semperis CEO

Die Kosten, die Sie an eine Ransomware-Gruppe zahlen, sind nicht das Ende des Schadens. Bestimmte Angriffe zielen nicht auf Geld ab, sondern darauf, Chaos und Störungen zu verursachen.

Mickey Bresman CEO von Semperis

Angriffe führen zu Datenverlust und Geschäftsausfällen, selbst bei Opfern mit allgemeinen Backups

Ransomware-Angriffe verursachen weit verbreitete und allgegenwärtige Störungen, selbst bei Unternehmen, die über allgemeine Backups verfügen. Die Angreifer dringen über eingebettete Betriebssysteme, veraltete Technologie, die nicht regelmäßig mit Sicherheitsupdates versorgt wird, und längst vergessene Hintertüren in die Systeme ein.

Insgesamt nimmt die Komplexität zu, und Sie können an einem Tag nur eine bestimmte Menge erledigen. Cloud Computing hat die Belastung nicht verringert oder die betriebliche Komplexität reduziert. Sie müssen davon ausgehen, dass in Ihrem Netzwerk bösartige Aktivitäten stattfinden, und Sie müssen in der Lage sein, diese zu finden und rückgängig zu machen.

Guido Grillenmeier Semperis Principal Technologist (EMEA)

Können Unternehmen "Nein" zu Ransomware sagen?

Obwohl 70 % der Befragten über einen Plan zur Wiederherstellung der Identität verfügten, hatten nur 27 % der Befragten dedizierte, AD-spezifische Backup-Systeme. 61% der Ransomware-Opfer benötigten mehr als einen Tag, um minimale IT-Funktionen wiederherzustellen, was die Unterbrechungen des Geschäftsbetriebs verlängert.

72%

der Opfer zahlten mehrfach Lösegeld

32%

4 Mal oder öfter Lösegeld bezahlt

Warum haben die Unternehmen Lösegeld gezahlt?

Viele der Befragten gaben als Grund für die Lösegeldzahlung den Wunsch an, so schnell wie möglich zum normalen Geschäftsbetrieb zurückzukehren. Andere, vor allem aus der IT-/Telekommunikationsbranche, zahlten, weil sie über eine Cyberversicherung verfügten, um die Kosten zu decken. Wieder andere waren der Ansicht, dass die Bedrohung für Patienten, Kunden, ihr Unternehmen oder ihren Ruf den Preis des Lösegelds wert war. Leider ist die Zahlung des Lösegelds keine Garantie für den Erhalt von brauchbaren Entschlüsselungsschlüsseln. Darüber hinaus verwenden Angreifer Ransomware oft, um Malware zu verbreiten, die Systeme neu infizieren oder andere Schäden verursachen kann.

Bedrohung für das Geschäft, die Kunden oder den Ruf
Zugang zur Cyberversicherung
Schnelles Wiederherstellen des Geschäftsbetriebs
Systemische Schwäche macht AD zu einem weichen Ziel
Eine Frage von Leben und Tod

Die wahren Kosten von Ransomware

In jedem komplexen Unternehmen sind Entscheidungen über das Sicherheitsbudget, die Personalausstattung und die Ressourcen ein Balanceakt. Im Falle von Ransomware kann es jedoch sein, dass die Unternehmensleitung diese Entscheidungen trifft, ohne die potenziellen Kosten nach einem Angriff vollständig zu kennen. Die Zahlung von Lösegeld ist keine Garantie für den Erhalt von brauchbaren Entschlüsselungsschlüsseln. Darüber hinaus verwenden Angreifer Ransomware häufig, um Malware zu verbreiten, die Systeme neu infizieren oder andere Schäden verursachen kann. Ein erfolgreicher Angriff kostet in der Regel viel mehr als eine Lösegeldzahlung.

Ransomware-Angriffe verursachen Kollateralschäden, die weit über die Zahlung des Lösegelds hinausgehen

Die Lösegeldzahlung selbst ist nur der Anfang der Kosten, die durch einen Ransomware-Angriff entstehen.

"Die Kosten für die Lösegeldzahlung sind nicht die Summe des tatsächlichen Schadens", sagt Mickey Bresman, CEO von Semperis. "Bei bestimmten Angriffen geht es nicht um Geld, sondern darum, Chaos und Unterbrechungen zu verursachen. Außerdem wird das von Ihnen gezahlte Geld für andere kriminelle Aktivitäten wie Menschenhandel, Drogen und Waffen verwendet."

Chris Inglis weist darauf hin, dass ein Ransomware-Angriff kein einmaliges oder zeitlich begrenztes Ereignis ist, das Sie schnell beheben und dann hinter sich lassen können.

"Dies ist ein lebensveränderndes Ereignis, das dauerhafte, anhaltende Auswirkungen hat. Der Verlust des Kundenvertrauens, der Verlust der Cyber-Versicherung, die behördliche Verfolgung ... diese Prüfung geht nie vorbei."

Systemische Schwäche macht AD zu einem weichen Ziel
Unterbrechung des Geschäftsbetriebs
Vorübergehende oder dauerhafte Schließungen
Brandschaden
Verlust von Einnahmen oder Kunden
Geldstrafen, Gerichtsverfahren und Kündigung der Cyberversicherung
Mehr als 80 % aller Sicherheitsverletzungen betreffen den Missbrauch von Zugangsdaten
Entlassungen und Rücktritte

Nur wenige Unternehmen unterhalten einen speziellen Identitätsschutz

Das Identitätssystem, insbesondere Active Directory, ist jetzt die Sicherheitsgrenze für Unternehmensorganisationen. Die Digitalisierung des modernen Unternehmens hat die Idee eines verteidigbaren Perimeters beseitigt und eine komplexe Landschaft für Sicherheitsexperten geschaffen - und eine breite Angriffsfläche für Cyberkriminelle. Ohne AD-spezifische, Malware-freie Backups und einen getesteten cyber-spezifischen Wiederherstellungsplan wird die Wiederherstellung langwierig sein, was die Wahrscheinlichkeit erhöht, dass das Unternehmen sich entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen.

Im Mittelpunkt dieser ganzen Diskussion steht die Rentabilität des Unternehmens: die Fähigkeit des Unternehmens, seine Ziele und Verpflichtungen im Namen seiner Aktionäre und Kunden zu erfüllen. Angreifer versuchen, dies zu gefährden, damit sie Sie überzeugen können, sie auszuzahlen. Wenn ihnen ein erfolgreicher Angriff auf die Identität gelingt, dann besitzen sie Privilegien und können diese zu ihrem Vorteil nutzen.

Chris Inglis Strategischer Berater von Semperis und erster US National Cyber Director

Alles bezieht sich auf den Kern des Zugangs. Sobald sich ein Angreifer Zugang zur Stufe 0 verschafft hat, bleibt Ihnen nur wenig Zeit, um die restliche Infrastruktur zum Tier 0.

Jeff Wichman Senior Director of Incident Response

Jede Minute, in der das Identitätssystem ausfällt, ist äußerst schmerzhaft. Ich habe mich mit einem Kunden unterhalten, der den Wiederherstellungsplan für Active Directory (AD) mit den Systemen getestet hat, die er im Einsatz hatte. Sie kamen zu dem Schluss, dass sie für die Abwehr eines Angriffs sieben Tage benötigen. Das ist nicht akzeptabel, denn das bedeutet, dass alles andere in der Organisation ebenfalls sieben Tage lang ausfällt.

Mickey Bresman CEO von Semperis

Es überrascht mich nicht, dass die Mehrheit der Ransomware auf das Identitätssystem abzielt. Wenn ein Angreifer die größtmögliche Wirkung erzielen will, um Geld zu erpressen, möchte er die Kontrolle über Ihre Umgebung übernehmen - und er wird unbedingt Active Directory besitzen wollen. Sobald Active Directory kompromittiert ist, haben die Angreifer die Schlüssel zu Ihrem Königreich in der Hand.

Simon Hodgkinson Strategischer Berater von Semperis & ehemaliger CISO von bp

Warum räumen Unternehmen dem Schutz vor Ransomware keine Priorität ein?

Unternehmen stehen bei der Einführung einer mehrschichtigen Strategie zur Abwehr von Ransomware vor mehreren Herausforderungen. Die meisten Befragten gaben an, dass die größte Hürde auf dem Weg zur Resilience die fehlende Unterstützung durch den Vorstand ist.

Chris Inglis weist darauf hin, dass für eine wirksame Cybersicherheit ein dreistufiger Ansatz erforderlich ist, der die Unternehmensdoktrin, den Aufbau von Fähigkeiten und die Technologie umfasst. Erster Schritt: Erklären Sie den Wert der identitätsbasierten Sicherheit in geschäftlicher Hinsicht

"Technologie kann uns dabei helfen, das Geschehen zu analysieren und zu bewerten, Sekunde für Sekunde", sagt Inglis. "Sie kann uns helfen, schneller zu reagieren und uns schneller zu erholen. Aber was wir jetzt am meisten brauchen, ist die gemainsame Erkenntnis, dass wir alle eine Rolle zu spielen haben. Das fängt beim Vorstand an, nicht bei der IT-Abteilung. Der Vorstand ist rechenschaftspflichtig; die Börsenaufsicht hat das deutlich gemacht. Die Vorschriften machen es immer deutlicher: Cybersicherheit ist ein Geschäftsthema."

Mangelnde Unterstützung durch den Vorstand
Budgetbeschränkungen
Veraltete oder veraltete Systeme
Personalknappheit
Cybersecurity-Vorschriften

Die Menschen neigen dazu, ihre Ressourcen und Bemühungen in den Schutz von Endgeräten zu stecken. Aber Bedrohungsakteure werden den Endpunkt überwinden. Und wenn sie erst einmal im Netzwerk sind, gehen sie durch das gesamte Identitätssystem. Welchen Schutz haben Sie, wenn das passiert? Denn sobald Ihr Identitätssystem in ihrem Besitz ist, haben sie die ganze Macht. Wenn Ihr Identitätssystem ausfällt, wird keine Ihrer anderen Lösungen funktionieren.

Sean Deuby Semperis Leitender Technologe (Nordamerika)

Weitere Ressourcen

Erfahren Sie mehr darüber, wie Sie identitätsbasierte Angriffe verhindern, erkennen und darauf reagieren können.

Lernen Sie Silver SAML kennen: Goldenes SAML in der Cloud

Lernen Sie Silver SAML kennen: Goldenes SAML in der Cloud

  • Blog
Abwehr von LDAP-Injection-Angriffen: AD-Sicherheit 101

Abwehr von LDAP-Injection-Angriffen: AD-Sicherheit 101

  • Blog
Semperis DSP: Verbessern Sie den Schutz von AD und Entra ID vor Cyber-Bedrohungen

Semperis DSP: Verbessern Sie den Schutz von AD und Entra ID vor Cyber-Bedrohungen

  • Blog
Active Directory Angriffe: 5 gängige AD-Angriffsmethoden

Active Directory Angriffe: 5 gängige AD-Angriffsmethoden

  • Blog
Alle anzeigen