Ransomware - ein Drittel zahlt Lösegeld

Während der Corona-Pandemie hatten bzw. haben die Ransomware-Angriffe krimineller Cyberverbrecher Hochkonjunktur, wie die immer länger werdende Liste prominenter Opfer zeigt. Und die Kriminellen treffen auf Opfer, die nur bedingt abwehrbereit sind. So musste die IT nicht nur neue Sicherheitsfragen rund um Remote Work bewältigen, sondern ihre Security-Konzepte an sich rasant verändernde Wertschöpfungsprozesse anpassen.

Die damit wachsende Komplexität, so die IDC-Studie "Cybersecurity in Deutschland 2021", macht es für die Security-Verantwortlichen immer schwieriger, mit der Entwicklung Schritt zu halten. Dementsprechend ist für fast ein Drittel der Befragten die vorherrschende und weiter steigende Security-Komplexität eine der Top-Herausforderungen, direkt gefolgt von Ransomware- und Malware-Attacken (25 Prozent). Insgesamt zeichnet die Studie zwar in den deutschen Unternehmen das Bild einer Cybersecurity, die in den meisten Fällen die Basisanforderungen erfüllt, aber für zukünftige Anforderungen nicht ausreichend gewappnet ist.

70 Prozent Ransomware-Opfer

Die Folgen dieser nur generischen Schutzkonzepte zeigen sich deutlich in der Erfolgsbilanz der Cyberkriminellen: Rund 70 Prozent der deutschen Unternehmen wurden bereits angegriffen. Fast ein Drittel der Firmen, so IDC, hat den Cybererpressern ein Lösegeld gezahlt, um wieder an seine Daten zu kommen. Allerdings ist dies mit einem hohen Risiko verbunden, denn nicht einmal die Hälfte der Lösegeldbezahler konnte seine Daten komplett entschlüsseln. Über 55 Prozent hatten viel mehr trotz Lösegeldzahlung einen teilweisen Datenverlust.

Ransom bezahlt - Daten dennoch futsch

42 Prozent der befragten Unternehmen zahlten im Fall der Fälle kein Lösegeld. Für knapp zwei Drittel von ihnen bewahrheitete sich der alte Spruch, "Backup ist das halbe Leben" - sie hatten keinen Datenverlust nach dem Ransomware-Angriff, da sie ihre Daten wiederherstellen konnten. Rund ein Viertel erlebte trotz nutzbarem Backup einen teilweisen Datenverlust. Zehn Prozent der Zahlungsunwilligen hatten absolutes Pech - sie erlitten einen kompletten Datenverlust.

Bedingt abwehrbereit

Unter dem Strich kamen von den Betroffenen fast 60 Prozent mit einem blauen Auge davon, während 41 Prozent ihre Daten im Zuge eines Angriffs verloren. Überraschend hoch ist mit 30 Prozent die Zahl der Unternehmen, die zu Protokoll gibt, sie seien noch nicht mit Ransomware angegriffen worden. Wahrscheinlich gilt für diese Firmen, wie die Security-Branche lästert, "es gibt keine Unternehmen, die nicht angegriffen werden, wer bisher nicht angegriffen wurde, hat es nur nicht gemerkt, weil seine Security-Maßnahmen so schlecht sind.

Die große Selbsttäuschung

Angesichts dieser Zahlen verwundert es, dass 66 Prozent der befragten Unternehmen zu Protokoll gaben, sie seien gut gegen Cyberangriffe gewappnet. Hier scheint es eine deutliche Kluft zwischen eigener Wahrnehmung und der Security-Realität zu geben. So kommen denn auch die Studienautoren zu dem Schluss, dass deutschen Unternehmen zwar in den meisten Fällen die Basisanforderungen in Sachen Cybersecurity erfüllen, aber für künftige Anforderungen nicht ausreichend gerüstet sind.

Veraltete Security-Lösungen

So stellen veraltete Security-Prozesse und -Lösungen 21 Prozent der befragten Organisationen vor große Herausforderungen. Dabei geht IDC davon aus, dass diese Zahl noch zu niedrig gegriffen ist und aus der Selbstüberschätzung einiger Unternehmen folgt. "Insbesondere viele der Security-Analytics- und -Intelligence-Lösungen haben noch einen niedrigen Einsatzgrad, wie die Studienergebnisse eindeutig zeigen", erklärt Marco Becker, Senior Consultant und Projektleiter bei IDC, "Meldungen, Alerts und Logs einzelner Lösungen sowie entdeckte Attacken oder Schwachstellen werden dadurch nicht effizient im gesamten Unternehmen geteilt, manche Attacken und Schwachstellen gar nicht erst entdeckt. Stattdessen versacken Alerts unter Umständen in Silos. Das torpediert den Gedanken einer ganzheitlichen und integrierten Security-Umgebung, in der übergreifende Sicherheitsrisiken entdeckt und behandelt werden können."

KI und ML unverzichtbar

Unter dem Strich - auch mit Blick auf das IT-Sicherheitsgesetz 2.0 - sind aus Sicht von IDC intelligente Security-Lösungen unumgänglich. Und sie sollten auf KI und ML basieren, um den Anwendern dabei zu helfen, Security-Prozesse zu orchestrieren und zu automatisieren. Nur so lasse sich die wachsende Zahl der Angriffsvektoren sowie Nutzer und Geräte absichern und die stark steigende Anzahl von Security-Meldungen bearbeiten.

Zero Trust gefragt

Letztlich könne, so die Auguren, die Anwendung moderner Ansätze wie Security by Design oder Zero Trust dabei helfen, bestehende Defizite zu kompensieren. Allerdings bleibt dies bislang häufig nur ein Wunsch, denn die Studienergebnisse zeigen, dass diese Methoden noch zu selten systematisch in sämtlichen IT-Maßnahmen berücksichtigt werden. Betrachtet man das Ganze von der technischen Seite, so lautet das Fazit, dass noch zu wenige Advanced-Security-Lösungen im Einsatz sind, die auf Automatisierung, Orchestrierung, Analytics und Intelligence setzen.

Zudem fordern die Studienautoren in den Unternehmen ein Umdenken bei der Wahrnehmung von Security: Weg vom reinen Zweck der Absicherung, hin zu einer Cybersecurity als kritische Voraussetzung für eine erfolgreiche digitale Transformation und damit modernes digitales Business. Gerade in Zeiten zunehmender, oft auch politisch motivierter Angriffe auf wirtschaftliche Ziele würden sonst Unternehmen, die diese Schritte nicht gehen, vermehrt Probleme bekommen - nicht nur in Bezug auf Angriffe, sondern auch im Vertrauen der Kunden. Letztlich gefährde das ihre Business-Grundlagen.