Aktuell –
Business Blog

  • Sie sind hier
  • Aktuell
  • Blog
  • Ransomware – Bedrohung für die Wirtschaft

Blog | | von B. Kirchhoff

Ransomware – Bedrohung für die Wirtschaft

Ransomware „Petya“ griff in einer ungezielten Attacke Industriegiganten verschiedenster Branchen verheerend an

Es traf Nahrungsmittelriese Mondelez (Milka) genauso wie den US-Pharmahersteller Merck und das russische Mineralölunternehmen Rosneft. Auch die größte dänische Containerreederei Maersk war direkt betroffen von einer Software, die jeder für unter 30$ nicht nachverfolgbar kaufen kann. Ransomware ist die neue Bedrohung, die zunehmend im öffentlichen Interesse steht. Doch was genau ist das und welche Schadenszenarien gibt es?

Was bedeutet Ransomware konkret? Was ist die Gefahr?

Ransom bedeutet Lösegeld.  Ransomware bezeichnet Schadprogramme, die auf vielfältige Wege Systeme befallen, um durch das Sperren von Daten oder Geräten Lösegeld zu erpressen. Zugang zu den Systemen finden solche Viren über eine Vielzahl von Wegen. Sei es durch Social Engineering, also das Vortäuschen eines legitimen Links von einer vertrauten Quelle (per Mail, Skype oder WhatsApp), durch eine infizierte Homepage oder infizierte Inhalte des Flash Players oder Adobe Readers.

Die Attacken werden mit verschiedener Raffinesse und Zielsetzungen durchgeführt. Die sogenannten standardisierten Angriffe (Commoditised Attacks) sind die weit verbreitetsten. Für einen Betrag von bis zu 10.000 € werden im Darkweb standardisierte Ransomwareprogramme verkauft. Laut einer Umfrage der Osterman Research Gruppe, waren im vergangenen Jahr 39 % der befragten Unternehmen Opfer einer Ransomware-Attacke. Der weltweite Schaden wird von Experten auf ca. 5 Milliarden USD beziffert. Die Attacken werden möglichst weitläufig über Spam verteilt und bauen  häufig darauf auf, bei den Opfern auf veraltete Systeme mit anfälligen Sicherheitssystemen zu stoßen. Da das Eingangsinvestment überschaubar ist, reichen die Tätergruppen vom organisierten Verbrechen bis hin zum allein agierenden Hacktivist.

Ransomware findet jedoch nicht nur diese breitflächige Anwendung. Gezielte Angriffe (Targeted Attacks) auf bestimmte Branchen und ihre IT-Infrastruktur bieten sich mit diesen Mitteln ebenfalls an. Durch detaillierte Kenntnis kommerzieller Systemanfälligkeiten wird der Schaden maximiert. Zwar handelte es sich bei WannaCry nicht um gezielte Angriffe, dennoch waren insbesondere die Systeme des britischen Gesundheitssystems sowie die der Deutschen Bahn betroffen. Zeitweise wurde in Großbritannien davon abgeraten ärztliche Hilfe aufzusuchen, solange die Systeme betroffen seien. Da hier besonders die Betriebsunterbrechung im Vordergrund steht, steigen auch die geforderten Lösegelder entsprechend. Da die Angriffe mehr Insiderwissen insbesondere in Bezug auf die Schwachstellen der betroffenen Systeme erfordern, ist die Einstiegshürde für diese Taten höher und es findet meist durch organisierte kriminelle Gruppen statt.

Welche Formen Ransomware außerdem annehmen kann, bleibt abzuwarten. Welche Schadenszenarien entstanden sind und entstehen können, lässt sich aufgrund der gemachten Erfahrung aber immer besser absehen.

Wie können potentielle Schadenszenarien aussehen und was sind die Kosten?

Im Allgemeinen kann zwischen direkte Kosten, also Kosten welche nur schwer zu vermeiden sind und sich direkt aus dem Ereignis ergeben, und schwelende Kosten, also solche die sich je nach Schwere des Ereignisses anschließen, unterschieden werden.

Der direkteste Schaden, wie bei jeder Lösegelddeckung, ist die Zahlung des Lösegeldes. Hier mögen die Einzelbeträge bei Ransomwareschäden gering sein, da jedoch meist firmenweite Netzwerke betroffen sind, summieren sich auch hier die geforderten Summen schnell. Daneben werden Beraterkosten für Krisenberater zur Abwicklung des Ereignisses und zur Verhandlung mit den Erpressern, PR Berater und die forensischen Kosten zur Beweissicherung anfallen. Rechtsberatungskosten schließen sich direkt an. Hinzu kommen die Kosten für die Wiederherstellung der Beschädigten Daten und Kosten für die Wiederanschaffung zerstörter bzw. nicht nutzbarer Systeme. Auch die Betriebsunterbrechungskosten können auf Land- und Seeseite fatal sein und schnell den direkten Schaden durch das Lösegeld übertreffen.

Auf lange Sicht schließen sich dem die schwelenden Kosten an. Klagen von geschädigten Dritten, wie zum Beispiel Kunden oder Dienstleistern. Strafzahlungen an Aufsichtsbehörden, die durch das öffentlich werden bestimmter Daten auf einen Verstoß gegen Auflagen aufmerksam gemacht wurden, sind ebenfalls ein nicht zu unterschätzender Punkt. Letztlich kann der Aktienkurs in Mitleidenschaft gezogen werden und die Kapazitäten des Managements werden durch den Schaden absorbiert oder wenigstens abgelenkt.

Versicherungslösungen im Bereich der Cyber-Erpressung und Bedrohung

Seeseitig war das Hansekuranz Kontor aktiv an der Entwicklung der Norwegian Hull Club Bedingungen zur Absicherung von Cybervorfällen beteiligt. Dabei wurde großer Wert auf die Präventionsarbeit, detaillierte Gefahrenevaluation und das Durchspielen potentieller Schadenszenarien gelegt. Das Produkt erstattet in Bedrohungs- oder Erpressungsfällen die direkten Kosten wie Lösegelder, forensische Kosten, PR-, und Beratungskosten. Zudem kann die Loss of Hire, wie auch die landseitige Betriebsunterbrechung mit abgesichert werden. Neben den Fällen der Ransomware sind auch umfassendere Erpressungs- und Bedrohungsszenarien mit abgesichert in denen gezielt erbeutete Informationen zur Erpressung des Versicherungsnehmers benutzt werden.

Landseitig arbeitet das Hansekuranz Kontor an Deckungserweiterungen für Global Protect, die ihren Kunden helfen sollen mit den Risiken der direkten Kosten und denen der Betriebsunterbrechung umzugehen. Auch hier wird die Prävention groß geschrieben und die erfahrenen Krisenmanager stehen dem Kunden vor Abschluss der Police, wie üblich, vollumfänglich zur Verfügung.

In allen Fällen ist jetzt der richtige Zeitpunkt das Thema Cybersicherheit ganz oben auf die hauseigene Agenda zu setzen.

Quellen: Heise, Telegraph
Bild: Hacker-2 (CC0 1.0)

zurück zur Übersicht