15. Juli 2023 Von Dr. Stefan Wagner, IT-Sicherheitsexperte

Ransomware-Angriffe auf deutsche Unternehmen nehmen zu

Ransomware-Angriffe auf deutsche Unternehmen

In den letzten Monaten hat Deutschland einen alarmierenden Anstieg von Ransomware-Angriffen erlebt. Besonders beunruhigend ist, dass zunehmend mittelständische Unternehmen ins Visier der Cyberkriminellen geraten, die bisher dachten, sie seien für Angreifer uninteressant. In diesem Artikel analysieren wir die aktuelle Bedrohungslage und geben praktische Tipps zur Prävention.

Die aktuelle Bedrohungslage in Deutschland

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Anzahl der Ransomware-Angriffe in Deutschland im Jahr 2023 um 38% gestiegen. Besonders betroffen sind Unternehmen aus dem Mittelstand, das Gesundheitswesen und die öffentliche Verwaltung. Die durchschnittliche Lösegeldforderung liegt mittlerweile bei 380.000 Euro – eine Summe, die für viele Unternehmen existenzbedrohend ist.

"Ransomware-Angriffe entwickeln sich zur größten Bedrohung der deutschen Wirtschaft im digitalen Raum."

- BSI-Präsident Arne Schönbohm

Die Angriffsmethoden werden dabei immer raffinierter. Während in der Vergangenheit meist wahllos Phishing-E-Mails versendet wurden, setzen die Angreifer heute auf gezielte Spear-Phishing-Kampagnen, bei denen sie vorab Informationen über das Zielunternehmen sammeln. Auch die Ausnutzung ungepatchteter Sicherheitslücken in Remote-Zugangslösungen nimmt zu – ein Problem, das durch die vermehrte Nutzung von Homeoffice seit der Pandemie verstärkt wurde.

Aktuelle Ransomware-Varianten und ihre Taktiken

Die derzeit in Deutschland am häufigsten beobachteten Ransomware-Varianten sind:

  • LockBit: Diese Ransomware-as-a-Service (RaaS) Plattform ist für 31% aller Angriffe in Deutschland verantwortlich. Die Betreiber bieten ihre Malware anderen Kriminellen an und erhalten im Gegenzug einen Anteil der erpressten Lösegelder.
  • BlackCat/ALPHV: Diese relativ neue Gruppe hat sich auf Angriffe gegen Produktionsunternehmen spezialisiert und setzt fortschrittliche Verschlüsselungstechniken ein.
  • Conti: Obwohl offiziell aufgelöst, sind ehemalige Mitglieder dieser Gruppe weiterhin aktiv und haben sich in kleinere Teams aufgeteilt.
  • REvil: Nach einer vorübergehenden Pause sind diese Angreifer zurück und zielen verstärkt auf deutsche Unternehmen ab.

Eine besonders beunruhigende Entwicklung ist die sogenannte "Double Extortion" (doppelte Erpressung): Hierbei stehlen die Angreifer vor der Verschlüsselung sensitive Daten und drohen mit deren Veröffentlichung, falls kein Lösegeld gezahlt wird. Dies erhöht den Druck auf die Opfer erheblich, da selbst mit funktionierenden Backups die Gefahr eines Datenlecks besteht.

Typischer Ablauf eines Ransomware-Angriffs

  1. Initiale Infektion: Meist über Phishing-E-Mails oder Ausnutzung von Sicherheitslücken
  2. Laterale Bewegung: Die Angreifer bewegen sich im Netzwerk und sammeln Zugangsdaten
  3. Datenexfiltration: Vor der Verschlüsselung werden wertvolle Daten gestohlen
  4. Verschlüsselung: Dateien werden verschlüsselt, oft zu Zeiten geringer Aktivität wie am Wochenende
  5. Lösegeldforderung: Die Opfer erhalten Anweisungen zur Zahlung, meist in Kryptowährungen

Fallbeispiele aus Deutschland

Die Auswirkungen von Ransomware-Angriffen können verheerend sein, wie diese aktuellen Fälle zeigen:

Beispiel 1: Mittelständischer Automobilzulieferer

Ein Automobilzulieferer mit 450 Mitarbeitern wurde Opfer eines LockBit-Angriffs. Die Produktion stand zwei Wochen still, was zu Lieferengpässen und Vertragsstrafen führte. Der Gesamtschaden belief sich auf 2,3 Millionen Euro, obwohl das Unternehmen über Backups verfügte. Die Wiederherstellung war zeitaufwändig, und der Reputationsschaden bei Kunden erheblich.

Beispiel 2: Städtisches Krankenhaus

Ein Krankenhaus mit 600 Betten wurde angegriffen, was zur Abmeldung von der Notfallversorgung und zur Verschiebung von Operationen führte. Besonders kritisch: Die Angreifer hatten Zugriff auf Patientendaten und drohten mit deren Veröffentlichung. Der Betrieb konnte erst nach drei Wochen normalisiert werden.

Maßnahmen zur Prävention

Aus den aktuellen Angriffen lassen sich wichtige Präventionsmaßnahmen ableiten:

1. Technische Maßnahmen

  • Regelmäßige Backups: Implementieren Sie eine 3-2-1-Backup-Strategie: Drei Kopien der Daten auf zwei verschiedenen Medientypen, davon eine Kopie offline und außer Haus.
  • Patch-Management: Halten Sie alle Systeme, besonders VPN- und Remote-Desktop-Lösungen, auf dem neuesten Stand.
  • Multi-Faktor-Authentifizierung (MFA): Führen Sie MFA für alle Remote-Zugänge und kritischen Systeme ein.
  • Netzwerksegmentierung: Trennen Sie kritische Systeme vom Rest des Netzwerks, um laterale Bewegungen zu erschweren.
  • Endpoint Detection and Response (EDR): Setzen Sie moderne Schutzsysteme ein, die verdächtiges Verhalten erkennen können.

2. Organisatorische Maßnahmen

  • Mitarbeiterschulungen: Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für Phishing und Social Engineering.
  • Incident Response Plan: Entwickeln Sie einen detaillierten Plan für den Fall eines Angriffs und testen Sie diesen regelmäßig.
  • Prinzip der geringsten Berechtigung: Gewähren Sie Mitarbeitern nur die Zugriffsrechte, die sie für ihre Arbeit benötigen.
  • Zusammenarbeit mit Experten: Arbeiten Sie mit spezialisierten Dienstleistern zusammen, die Ihre Sicherheitsmaßnahmen regelmäßig überprüfen.

"Die Frage ist nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann. Entscheidend ist, wie gut man darauf vorbereitet ist."

- Dr. Stefan Wagner, Hammarazzi Cybersicherheit

Was tun im Falle eines Angriffs?

Sollte es trotz aller Vorsichtsmaßnahmen zu einem Ransomware-Vorfall kommen, empfehlen wir folgendes Vorgehen:

  1. Isolation: Trennen Sie betroffene Systeme sofort vom Netzwerk, um eine weitere Ausbreitung zu verhindern.
  2. Dokumentation: Dokumentieren Sie alle Beobachtungen und Maßnahmen für spätere forensische Untersuchungen und eventuelle Versicherungsansprüche.
  3. Externe Unterstützung: Ziehen Sie spezialisierte IT-Forensiker hinzu, die den Angriff analysieren können.
  4. Behördenmeldung: Informieren Sie die zuständigen Behörden wie das BSI und die Datenschutzbehörden.
  5. Kommunikation: Informieren Sie betroffene Kunden, Partner und Mitarbeiter transparent über den Vorfall.
  6. Wiederherstellung: Nutzen Sie Ihre Backups zur Wiederherstellung der Systeme, nachdem sichergestellt wurde, dass keine Hintertüren verblieben sind.

Von Lösegeldzahlungen raten wir grundsätzlich ab, da diese keine Garantie für die Wiederherstellung der Daten bieten und weitere Angriffe finanzieren.

Fazit und Ausblick

Die Bedrohung durch Ransomware für deutsche Unternehmen wird in den kommenden Jahren weiter zunehmen. Die Angriffsmethoden werden raffinierter, während gleichzeitig der Einstieg in die Cyberkriminalität durch Ransomware-as-a-Service-Angebote erleichtert wird.

Besonders besorgniserregend ist, dass zunehmend kleinere und mittlere Unternehmen ins Visier geraten, die oft nicht über die gleichen Sicherheitsressourcen verfügen wie Großkonzerne. Gerade für diese Unternehmen ist es wichtig, in präventive Maßnahmen zu investieren und sich von Experten beraten zu lassen.

Die gute Nachricht: Mit den richtigen Vorkehrungen lässt sich das Risiko eines erfolgreichen Angriffs deutlich reduzieren. Eine konsequente Umsetzung der empfohlenen Maßnahmen kann den Unterschied zwischen einem glimpflich abgewehrten Angriffsversuch und einem existenzbedrohenden Sicherheitsvorfall ausmachen.

Dr. Stefan Wagner

Über den Autor

Dr. Stefan Wagner ist Senior Security Consultant bei Hammarazzi Cybersicherheit. Er verfügt über mehr als 15 Jahre Erfahrung in der IT-Sicherheitsbranche und hat sich auf die Abwehr von Ransomware-Angriffen spezialisiert. Er berät regelmäßig Unternehmen bei der Implementierung präventiver Sicherheitsmaßnahmen und im Krisenmanagement nach Sicherheitsvorfällen.

Teilen Sie diesen Artikel:

Das könnte Sie auch interessieren

DSGVO-Compliance in der Praxis
02. Juni 2023

DSGVO-Compliance in der Praxis: Was Unternehmen beachten müssen

Fünf Jahre nach Einführung der DSGVO bestehen immer noch Unsicherheiten. Wir erklären die wichtigsten Anforderungen und wie Sie diese erfüllen.

Weiterlesen
Zero Trust Architektur
18. Mai 2023

Zero Trust Architektur: Die Zukunft der Unternehmenssicherheit

Das Zero-Trust-Modell gewinnt in der Cybersicherheit immer mehr an Bedeutung. Wir erklären die Prinzipien und Vorteile dieses Sicherheitskonzepts.

Weiterlesen