<img alt="" src="https://secure.risk8belt.com/213202.png" style="display:none;">

09. Juni 2022

5 Key Takeaways: Ransomware im Jahr 2022

202206_Blog_Header_SophosRansomware-Key-Takeaways-2022_1200x480

Sophos-Studie "The State of Ransomware 2022"

Sophos, ein britisches Unternehmen das Sicherheitssoftware entwickelt und vertreibt, veröffentlich jährlich eine Studie über die realen Ransomware-Erfahrungen von IT-Fachleuten. Die Studie 2022 umfasst neutrale, herstellerunabhängige Erkenntnisse von 5.600 ITlern in mittelgroßen Unternehmen (100-5.000 Angestellte) aus 31 Ländern.

Es zeigt sich auch 2022 wieder, dass die Angriffsumgebung immer aggresiver und die stetig wachsenden finanziellen und operationellen Herausforderungen immer belastender für Unternehmen werden. Die Studie wirft außerdem ein neues Licht auf die Beziehung zwischen Ransomware und Cyber-Versicherungen sowie auf die Rolle, die Versicherungen bei der Weiterentwicklung der Cyber-Abwehr spielen.

Die Zahl der Angriffe steigt, ihre Komplexität und Bedeutung nehmen zu

66% der befragten Unternehmen wurden letztes Jahr Opfer eines Ransomware Angriffs. 2020 waren es noch 37%, was einen Anstieg von 78% innerhalb eines Jahres bedeutet. Angreifer sind inzwischen also wesentlich besser in der Lage, ihre Angriffe im großen Stil umzusetzen. Dies spiegelt wahrscheinlich auch den wachsenden Erfolg des Ransomware-as-a-Service-Modells wider. RaaS vergrößert die Reichweite von Ransomware erheblich, indem es die für den Einsatz eines Angriffs erforderlichen Fähigkeiten reduziert.

Auch bei der Verschlüsselung von Daten konnten die Angreifer Erfolge verbuchen: im Jahr 2021 gelang es ihnen bei 65% der Angriffe Daten zu verschlüsseln - ein Anstieg von 54% gegenüber dem Vorjahr. Der Anteil der Opfer, die von einem reinen Erpressungsangriff betroffen waren, bei welchem die Daten nicht verschlüsselt, sondern das Unternehmen mit der Preisgabe dieser erpresst wurden, sank jedoch von 7% auf 4%.

Die Zunahme erfolgreicher Ransomware-Angriffe ist Teil eines immer schwierigeren Bedrohungsumfelds: Im letzten Jahr erlebten 57% einen Anstieg des Gesamtvolumens von Cyberangriffen, 59% sahen eine Zunahme der Komplexität der Angriffe und 53% gaben an, dass die Auswirkungen der Angriffe zugenommen haben. 72% stellten eine Zunahme in mindestens einem dieser Bereiche fest.

Unternehmen gelingt es immer besser, Daten nach einem Angriff wiederherzustellen

Aufgrund der zunehmenden rasanten Verbreitung von Ransomware sind Unternehmen besser in der Lage, die Folgen eines Angriffs zu bewältigen. Fast alle von einem Angriff im letzten Jahr betroffenen Unternehmen (99%) erhalten nun einige ihrer verschlüsselten Daten zurück. Letztes Jahr waren es nur 96%.

Für 73% der Unternehmen waren Backups die Möglichkeit zur Wiederherstellung von verschlüsselten Daten. 46% entschließen sich, die Lösegeldforderung zu zahlen, um an ihre wertvollen Informationen zu gelangen. Fast die Hälfte der Unternehmen (44%) nutzte mehrere Wiederherstellungsmethoden, um die Geschwindigkeit und Effizienz mit der sie ihre Daten wiederherstellen können zu maximieren.

Die Zahlung von Lösegeld bedeutet fast immer den Zurückerhalt einiger Daten. Der Prozentsatz dieser wiederhergestellten Daten, die Unternehmen nach Zahlung zurückerhielten, ist jedoch von 65% im Jahr 2020 auf nur noch 61% im Jahr 2021 gesunken. Ebenso erhielten nur 4% der Unternehmen die Lösegeld bezahlten ALLE ihre Daten zurück. 2020 waren es noch 8%.


→ 99% der Unternehmen bekamen einige ihrer verschlüsselten Daten zurück
→ 46% der Unternehmen kamen der Lösegeldforderung nach
→ 61% der verschlüsselten Daten konnten nach Lösegeldzahlung wiederhergestellt werden
→ 4% der Unternehmen, die das Lösegeld zahlten, bekamen all ihre Daten zurück

Lösegeldzahlungen haben zugenommen

965 der Befragten, deren Unternehmen sich entschied Lösegeld zu zahlen, gaben den genauen Lösegeldbetrag an. Dabei stellte sich heraus, dass die durchschnittlichen Lösegeldzahlungen im letzten Jahr erheblich gestiegen sind. Der Anteil der Opfer, die Lösegelder in Höhe von 1 Million US-Dollar oder mehr zahlten, verdreifachte sich fast auf 11% im Jahr 2021 (4% in 2020). Gleichzeitig ist gegenüber 2020 der Anteil derer, die weniger als 10.000 US-Dollar zahlten, von jedem dritten (34%) auf jeden fünften (21%) gesunken.

Im Durchschnitt belief sich die Lösegeldsumme auf 812.360 US-Dollar - ein 4,8-facher Anstieg gegenüber 170.000 US-Dollar im Jahr 2020. Obwohl diese Summe durch 15 achtstellige Zahlungen leicht verzerrt wird, geht aus den Daten eindeutig hervor, dass die Lösegeldzahlungen in allen Bereichen zunehmen. Je nach Branche gibt es jedoch beträchtliche Unterschiede. Angreifer fordern die höchsten Summen von denen, die sie als am zahlungsfähigsten einstufen:

  • Die höchsten durchschnittlichen Lösegeldzahlungen wurden mit 2,04 Millionen US-Dollar in der Fertigungs- und Textilbranche und mit 2,03 Millionen US-Dollar in der Energie-, Öl-/Gas- und Versorgungsbranche geleistet.
  • Die niedrigsten durchschnittlichen Lösegeldzahlungen betrugen 197.000 US-Dollar im Gesundheitswesen und 214.000 US-Dollar in der Kommunal-/Staatsverwaltung.

In Italien, wo die Zahlung von Lösegeldern illegal ist, gaben 43% der Unternehmen zu, die Summen trotzdem bezahlt zu haben. Die Untersuchung zeigt, dass gesetzliche Barrieren allein nicht ausreichen, um Lösegeldzahlungen zu verhindern.

Ransomware hat erhebliche wirtschaftliche und betriebliche Auswirkungen

Lösegeldsummen stellen nur ein Teil des Puzzles dar. Die Auswirkungen von Ransomware umfassen viel mehr als nur verschlüsselte Datenbanken und Geräte. 90% der Unternehmen, die 2021 von Ransomware betroffen waren, gaben an, dass der größte Angriff ihre Betriebsfähigkeit beeinträchtigte. Darüber hinaus gaben 86% der Unternehmen des privaten Sektors an, dass sie dadurch Geschäftseinbußen bzw. Umsatzverluste hinnehmen mussten.

Insgesamt betrugen die durchschnittlichen Kosten zur Behebung der Auswirkungen des jüngsten Ransomware-Angriffs im Jahr 2021 1,4 Millionen US-Dollar. Dieser erfreuliche Rückgang von noch 1,85 Millionen US-Dollar im Jahr 2020 spiegelt wahrscheinlich wider, dass die Reputationsschäden eines Angriffs mit zunehmender Verbreitung von Ransomware geringer geworden sind. Gleichzeitig sind die Versicherungsanbieter heute besser in der Lage, die Opfer schnell und effektiv durch den Reaktionsprozess zu leiten, wodurch sich die Kosten für die Behebung des Schadens verringern.

Durchschnittlich brauchten Organisationen, die im letzten Jahr Opfer eines Angriffs wurden, in etwa einen Monat um sich davon zu erholen - für die meisten Unternehmen eine lange Zeit. Am längsten dauerte die Erholung in den Bereichen Hochschulbildung und Zentral-/Bundesverwaltung, wo etwa zwei von fünf Unternehmen mehr als einen Monat benötigten. Am schnellsten gelang es hingegen dem verarbeitenden Gewerbe und der Produktion (10% brauchten länger als einen Monat) und den Finanzdienstleistungen (12% brauchten länger als einen Monat) sich zu erholen.

Darüber hinaus setzen einige Unternehmen weiterhin auf unwirksame Schutzmaßnahmen. Von den Befragten, deren Unternehmen im letzten Jahr nicht von Ransomware betroffen waren und auch in Zukunft nicht damit rechnen betroffen zu sein, begründen 72% dies mit Ansätzen, die Unternehmen nicht vor Angriffen schützen: 57% nannten Backups und 37% eine Cyberversicherung als Gründe, warum sie nicht mit einem Angriff rechnen. Diese Elemente helfen zwar, sich von einem Angriff zu erholen, verhindern ihn aber nicht von vornherein.

Unternehmen sind nicht in der Lage, ihre Budgets und Ressourcen effektiv zu nutzen, um Ransomware zu stoppen

Um sich vor Ransomware zu schützen müssen Unternehmen in die richtige Technologie investieren und über die Fähigkeiten und das Know-How verfügen, diese effektiv zu nutzen.

64% der Unternehmen, die im letzten Jahr von Ransomware betroffen waren, geben an, dass sie über ein höheres Budget für Cybersicherheit verfügen als nötig, während weitere 24% der Meinung sind, dass sie über die richtige Menge an Budget verfügen. Ebenso geben 65% der Ransomware-Opfer an, dass sie mehr Mitarbeiter für die Cybersicherheit haben, als sie benötigen, und 23% glauben, dass sie über das richtige Maß an Personal verfügen. Diese Ergebnisse deuten darauf hin, dass viele Unternehmen Schwierigkeiten haben, ihre Ressourcen angesichts des zunehmenden Umfangs und der Komplexität der Angriffe effektiv einzusetzen.

Unternehmen erkennen möglicherweise nicht, dass sie nicht über die richtigen Fähigkeiten verfügen, um die neuesten Angriffstechniken zu stoppen: 58% der Unternehmen, die Ransomware zum Opfer fielen, geben an, dass sie die Protokolle (nahezu) vollständig überprüfen um verdächtige Signale oder Aktivitäten zu erkennen, während 56% sagen, sie seien (nahezu) vollständig mit den neusten Angriffswerkzeugen und -methoden vertraut.

Umgekehrt ist bei den Unternehmen, die im vergangenen Jahr nicht von Ransomware betroffen waren und nicht mit einem zukünftigen Angriff rechnen, der wichtigste Grund für diese Zuversicht, dass sie über geschultes IT-Sicherheitspersonal oder ein internes Security Operations Center (SOC) verfügen, das in der Lage ist, Angriffe zu stoppen.


→ 88% der Unternehmen, die von Ransomware betroffen waren, sagen sie haben ein ausreichend großes Cybersicherheit-Budget
→ 88% der Unternemen, die von Ransomware betroffen waren, sagen sie haben eine ausreichend große Menge an Cybersicherheit-Personal

Ransomware treibt Cyber-Versicherungsschutz voran

Mehr als vier von fünf mittelständischen Unternehmen haben eine Cyberversicherung gegen Ransomware. Zwar geben 83% der Befragten an, dass ihr Unternehmen über eine Cyberversicherung verfügt, die sie im Falle eines Ransomware-Angriffs abdeckt, doch geben 34% zudem an, dass es in ihrer Police Ausschlüsse/Ausnahmen gibt.

Energie-, Öl-/Gas- und Versorgungsunternehmen haben am ehesten einen Versicherungsschutz (89%), dicht gefolgt vom Einzelhandel (88%). Die Akzeptanz von Cyber-Versicherungen nimmt mit der Größe des Unternehmens zu: 88% der Unternehmen mit 3.001 bis 5.000 Mitarbeitern haben einen Versicherungsschutz, im Vergleich zu 73% der Unternehmen mit 100 bis 250 Mitarbeitern.

Unternehmen, die im letzten Jahr von Ransomware betroffen waren, haben mit sehr viel höherer Wahrscheinlichkeit eine Cyberversicherung abgeschlossen als Unternehmen, die nicht Opfer eines Angriffs wurden. Von denjenigen, die betroffen waren, haben 89% eine Cyberversicherung, verglichen mit 70% derjenigen, die nicht betroffen waren.

Ursache und Wirkung sind hier unklar. Möglicherweise hat die unmittelbare Auseinandersetzung mit einem Ransomware-Vorfall viele Unternehmen dazu veranlasst eine Versicherung abzuschließen, um die Auswirkungen künftiger Angriffe zu mildern. Alternativ könnten die Angreifer ihre Angriffe auf Organisationen richten, von denen sie wissen, dass sie versichert sind, um ihre Chancen auf eine Lösegeldzahlung zu erhöhen. Eine andere Erklärung besteht darin, dass einige Unternehmen eine Versicherung abgeschlossen haben, um bekannte Schwachstellen in ihrer Verteidigung auszugleichen. Am Wahrscheinlichsten ist jedoch eine Kombination aus allen drei Möglichkeiten.


Bei denjenigen Unternehmen, die nicht betroffen waren und auch nicht mit einem Angriff rechnen, sinkt der Cyberversicherungsschutz auf 61%. Angesichts der Tatsache, dass viele in dieser Gruppe auf Ansätze vertrauen, die Ransomware nicht aufhalten werden, sind sie durch den fehlenden Versicherungsschutz den Kosten eines Vorfalls voll ausgesetzt.

Die Cyber-Versicherung fördert Verbesserungen der Cyber-Abwehr

94% der Cyber-Versicherungsnehmer gaben an, dass sich das Verfahren zum Abschluss einer Versicherung im letzten Jahr geändert hat.

  • 54% geben an, dass sie jetzt ein höheres Maß an Cybersicherheit benötigen, um sich zu qualifizieren
  • 47% geben an, dass die Policen jetzt komplexer sind
  • 40% geben an, dass weniger Unternehmen Cyber-Versicherungen anbieten
  • 37% geben an, dass der Prozess länger dauert
  • 34% geben an, dass die Cyber-Versicherung teurer geworden ist

97% der Unternehmen, die eine Cyber-Versicherung abgeschlossen haben, nahmen Änderungen an ihrem Cyber-Schutz vor, um ihre Position in der Cyber-Versicherung zu verbessern. 64% haben neue Technologien/Dienstleistungen eingeführt, 56% haben die Schulung/Ausbildung der Mitarbeiter verstärkt und 52% haben Prozesse/Verhaltensweisen geändert.

Für diejenigen, die über eine Cyberversicherung verfügen, dürfte es beruhigend sein zu wissen, dass 98% der Unternehmen, die von Ransomware betroffen waren und einen Versicherungsschutz abgeschlossen hatten angaben, dass die Police bei dem schwerwiegendsten Angriff ausgezahlt wurde. 2019 waren es noch nur 95%.

Betrachtet man die Zahlungen, die Cyberversicherungen aufgebracht haben, so wird deutlich, dass Wiederherstellungskosten zugenommen und Lösegeldzahlungen durch den Versicherer abgenommen haben. 77% der Befragten gaben an, dass ihr Versicherer die Kosten für die Wiederherstellung des Betriebs übernommen hat, das heißt die Kosten, die entstanden sind, um das Unternehmen wieder zum Laufen zu bringen - ein Anstieg gegenüber 67% im Jahr 2019. Umgekehrt gaben 40% der Befragten an, dass der Versicherer das Lösegeld gezahlt hat. Ein Rückgang gegenüber 44% im Jahr 2019.

Die Rate der Lösegeldzahlungen variierte jedoch beträchtlich je nach Sektor. Die höchsten Raten wurden in den Bereichen Bildung (53%), staatliche/kommunale Verwaltung (49%) und Gesundheitswesen (47%) gemeldet. Die niedrigsten Raten in den Bereichen Fertigung und Produktion (30%) und Finanzdienstleistungen (32%). Interessanterweise sind die Sektoren mit der niedrigsten Lösegeldzahlungsrate auch diejenigen, die sich am schnellsten von einem Vorfall erholen können, was die Bedeutung der Notfallplanung und vorbereitung unterstreicht.

5 Key Takeaways

Die Ransomware-Herausforderung für Unternehmen nimmt weiter zu. Der Anteil der Unternehmen, die direkt von Ransomware betroffen sind, hat sich innerhalb von zwölf Monaten fast verdoppelt: von etwas mehr als einem Drittel im Jahr 2020 auf zwei Drittel im Jahr 2021. Angesichts dieser Beinahe-Normalisierung sind die Unternehmen besser in der Lage mit den Folgen eines Angriffs umzugehen: Praktisch jeder erhält jetzt einige verschlüsselte Daten zurück, und fast drei Viertel sind in der Lage, Backups zur Wiederherstellung von Daten zu verwenden.

Gleichzeitig ist der Anteil der verschlüsselten Daten, die nach Zahlung des Lösegelds wiederhergestellt wurden, auf durchschnittlich 61% gesunken. Trotzdem hat sich der Anteil der Opfer, die Lösegeld in Höhe von 1 Million US-Dollar oder mehr zahlen, fast verdreifacht.

Unabhängig davon, ob es eine Versicherung abschließen möchten oder nicht, ist die Optimierung Ihrer Cybersicherheit für alle Unternehmen unerlässlich. Die fünf wichtigsten Tipps sind:

  1. Gewährleistung einer hochwertigen Verteidigung und Überprüfung der Sicherheitskontrollen.
  2. Proaktive Suche nach Bedrohungen um Angreifer noch vor dem Angriff stoppen zu können.
  3. Suche nach und Schließung von Sicherheitslücken: ungeschützte Rechner, offene RDP-Ports, usw.
  4. Vorbereitung auf das Schlimmste: Wissen was zu tun ist, sollte es zu einem Cybervorfall kommen.
  5. Erstellung von Sicherheitskopien um den Betrieb schnell und mit minimalen Unterbrechungen wieder aufzunehmen.


Quelle:
https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf

Themen: RansomWare, Aktuelles, Datensicherheit, Malware, Studie

Autor: Emily Nistler | FAST LTA