22.11.2016 von Axel Pomper, funkschau.de

Fast ein Viertel der IT-Entscheider in deutschen Unternehmen unterschätzt noch immer die Gefahr, die von Erpressersoftware ausgeht. Das hat eine Studie im Auftrag von Trend Micro ergeben. 11 Prozent der Befragten gaben sogar an, noch nie von Ransomware gehört zu haben.

„Sollte jemand gerade zu Beginn der Ransomware-Welle 2015 den Eindruck gehabt haben, dass vor allem bestimmte Branchen wie der Gesundheitssektor betroffen seien, dann hat er sich jedenfalls als unrichtig erwiesen“, warnt der Sicherheitsspezialist Udo Schneider, Pressesprecher bei Trend Micro Deutschland. „Auch wenn anfänglich vor allem Krankenhäuser in den Schlagzeilen waren, sind in Wahrheit alle Unternehmen und sämtliche Branchen gleichermaßen betroffen. Denn Ransomware und vor allem Crypto-Ransomware, die ganze Unternehmen durch Dateiverschlüsselung zum Erliegen bringen kann, nutzt viele Infektionswege. Dazu zählen zum Beispiel harmlos aussehende, aber auf die Opfer sehr gut zugeschnittene E-Mail-Nachrichten, die teilweise ohne verdächtige Anhänge, aber mit Links zu verseuchten Webseiten daherkommen. Ein unbedachter Klick eines arglosen Anwenders, und schon ist die Gefahr in der Regel nicht mehr zu stoppen.“

Aus Schaden klug geworden

Der Anteil der in den vergangenen 24 Monaten infizierten Unternehmen liegt bereits bei 40 Prozent, mit steigender Tendenz. Kein Wunder also, dass 93 Prozent davon Ransomware als ernste Bedrohung ansehen, während dieser Prozentsatz bei den bisher Verschonten nur bei 63 Prozent liegt. Sie haben verstanden, dass dadurch verursachte Betriebsunterbrechungen und Serviceausfälle langfristige Auswirkungen haben können, die den Ruf und Wert der eigenen Marke beschädigen. Schließlich gaben sie an, dass ein Drittel ihrer Mitarbeiter und über 30 Prozent ihrer Kunden von den Infektionen betroffen waren. Darüber hinaus dauerte es im Schnitt fast 30 Stunden, die damit verbundenen Schäden zu beheben. Außerdem droht die Gefahr immer wieder. So gab fast ein Viertel (23 Prozent) der Befragten an, mehr als einmal Infektionen mit Erpressersoftware verzeichnet zu haben.

Vor diesem Hintergrund ist es kein Wunder, dass mehr als 60 Prozent der infizierten Unternehmen das geforderte Lösegeld gezahlt haben. Dessen Höhe lag durchschnittlich bei 524 Euro, in 13 Prozent der Fälle aber bei über 1.000 Euro. In der Regel haben die betroffenen Unternehmen 20 Stunden Zeit, um das Lösegeld zu entrichten. Doch Vorsicht: 26 Prozent der Opfer haben trotz Lösegeldzahlung von den Cyberkriminellen keinen Schlüssel erhalten, um ihre Dateien wieder entschlüsseln zu können. Auch wenn die geforderten Summen aus der Sicht großer Unternehmen nicht ins Gewicht zu fallen scheinen, stellt ihre Zahlung keine Garantie dar, wieder auf die Dateien zugreifen und damit den ordentlichen Betrieb wieder aufnehmen zu können.

„Offenbar werden viele Unternehmen weiterhin erst durch Schaden klug und beginnen, in die Prävention zu investieren. Dies ist auch dringend nötig“, betont Udo Schneider. „Einerseits gibt es keine Garantie, den Schlüssel zu erhalten, weshalb wir bei Trend Micro immer davon abraten, das Lösegeld zu zahlen – zumal das den Untergrund weiter befeuert und den Cyberkriminellen nur bestätigt, dass ihr Geschäftsmodell funktioniert. Andererseits geht mehr als die Hälfte der Befragten selbst davon aus, in den kommenden zwölf Monaten Opfer von Infektionen mit Erpressersoftware zu werden. Wie gesagt, kein Unternehmen und keine Branche ist davor sicher.“

Präventive Maßnahmen

Dennoch sind die Unternehmen den Hintermännern von Erpressersoftware nicht schutzlos ausgeliefert. Besonders präventive Maßnahmen können Infektionen verhindern und den möglichen Schaden minimieren helfen:

1. Mitarbeiterschulungen: 53 Prozent der befragten IT-Entscheider gaben an, ein Schulungsprogramm zum Thema Ransomware zu betreiben, und ein gutes Drittel (37 Prozent) der restlichen 47 Prozent bereiten eines vor. Je weniger Anwender verdächtige Anhänge öffnen oder auf Links in unaufgefordert zugesandten E-Mails klicken, desto geringer ist das Infektionsrisiko.
2.  Anwendungskontrolle: Das so genannte Whitelisting von Anwendern verhindert, dass Software wie Ransomware, die nicht auf der Liste der erlaubten Applikationen steht, ausgeführt wird. Die Voraussetzungen für diesen Ansatz sind günstig: So gaben 93 Prozent der Befragten an, teilweise oder vollständige Kontrolle über die Anwendungen zu haben, die ihre Mitarbeiter auf ihren Geräten installieren können.
3. Netzwerksegmentierung: Wird das Netz in verschiedene und voneinander getrennte Bereiche eingeteilt, sinkt das Risiko, dass Infektionen sich im gesamten Netz ausbreiten.
4. Mehrstufiger Schutz: Trotz der wiederkehrenden Schlagzeilen zu Ransomware leisten IT-Sicherheitslösungen einen wertvollen Beitrag, das Infektionsrisiko zu senken. Voraussetzung ist allerdings, dass diese Lösungen einen mehrstufigen Schutz bieten, also auf allen Ebenen – Web, E-Mail-Gateway, Netzwerk, Server und Endpunkt – wirken. So kann zum Beispiel als letzte Verteidigungslinie eine Verhaltensanalyse am Endpunkt eine Infektion verhindern, selbst wenn Makros aufgrund branchenspezifischer Arbeitsweisen in Office-Dokumenten nicht deaktiviert werden können.
5. Backups: Sollte sich eine Infektion nicht verhindern lassen, ist Schadensbegrenzung angesagt. Es gilt deshalb, das gute alte Mittel regelmäßiger Datensicherungen (Backups) anzuwenden. Dabei sollten die Unternehmen der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. Das scheint angesichts der Bedrohung dringend notwendig. Denn nur 56 Prozent der Befragten gaben an, regelmäßig Backups anzulegen. Noch bedenklicher: 41 Prozent haben ihre wichtigen Dateien zuletzt vor mehr als zwei Jahren gesichert.