AndryDj – shutterstock.com
Zwei von fünf Unternehmen, die Cyberkriminellen für die Entschlüsselung von Ransomware bezahlen, können ihre Daten nicht wiederherstellen. Das hat eine weltweite Umfrage des Versicherungsanbieters Hiscox unter 1.000 mittelständischen Unternehmen ergeben.
Die Ergebnisse zeigen, dass Ransomware nach wie vor eine große Bedrohung darstellt: 27 Prozent der befragten Organisationen gaben an, im vergangenen Jahr einen Angriff erlebt zu haben. Von den Betroffenen zahlten 80 Prozent Lösegeld – darunter sowohl versicherte als auch nicht versicherte Unternehmen.
Allerdings gelang es nur 60 Prozent von ihnen, ihre Daten ganz oder teilweise wiederherzustellen, wie aus dem Hiscox-Report hervorgeht.
Andere Studien gehen sogar von einem deutlich niedrigeren Wert aus. So ergab der kürzlich veröffentlichte „2025 State of Ransomware Survey” von CrowdStrike, dass 93 Prozent der Opfer Daten gestohlen wurden, obwohl sie Lösegeld gezahlt hatten.
Lesetipp: So viel Lösegeld zahlen Unternehmen
Fehlerhafte Ransomware-Verschlüsselung erschwert Wiederherstellung
Experten zufolge gibt es unzähligen Schwierigkeiten, mit denen Unternehmen bei der Wiederherstellung nach Ransomware-Angriffen konfrontiert sind.
„Die Wiederherstellungsrate von 60 Prozent spiegelt mehrere technische und betriebliche Realitäten wider, die bei der Reaktion auf Vorfälle regelmäßig auftreten“, erklärt James John, Incident Response Manager bei der Cybersicherheitsfirma Bridewell, gegenüber CSO. „Erstens unterscheiden sich Ransomware-Betreiber erheblich in ihrer Raffinesse. Etablierte Gruppen wie LockBit oder ALPHV stellen in der Regel funktionierende Entschlüsselungsprogramme bereit, da sie einen ‚guten Ruf‘ zu wahren haben. Im Gegensatz dazu setzen kleinere Betreiber oft fehlerhafte Verschlüsselungsimplementierungen ein oder verschwinden nach der Zahlung einfach.“
Entschlüsselungsprogramme seien häufig langsam und unzuverlässig, fügt John hinzu. Solche Tools könnten Fehler enthalten oder Dateien beschädigen oder unzugänglich machen. „Eine groß angelegte Entschlüsselung in Unternehmensumgebungen kann Wochen dauern und schlägt bei beschädigten Dateien oder komplexen Datenbanksystemen oft fehl“, so der Security-Spezialist „Es gibt Fälle, in denen der Entschlüsselungsprozess selbst zusätzlich Daten beschädigt.“
Daryl Flack, Partner beim britischen Managed Security Provider Avella Security, sieht das ähnlich: „Kriminelle verwenden oft fehlerhafte oder inkompatible Verschlüsselungs-Tools. Vielen Unternehmen fehlt die Infrastruktur, um Daten sauber wiederherzustellen, insbesondere, wenn Backups lückenhaft sind oder Systeme noch kompromittiert sind“.
Zudem würden sich viele Unternehmen auf ungetestete und anfällige Backups verlassen, ergänzt John. Nach seiner Erfahrung stellen viele Ransomware-Opfer fest, dass ihre Backups im Rahmen des Angriffs ebenfalls verschlüsselt wurden.
Zusätzlicher Druck zur Zahlung
Moderne Ransomware-Angriffe beinhalten mittlerweile regelmäßig doppelte oder dreifache Erpressung, bei der die Angreifer drohen, gestohlene Daten zu veröffentlichen oder Distributed-Denial-of-Service-Angriffe (DDoS) zu starten, selbst wenn die Zahlung erfolgt ist.
Dies verändert grundlegend die Kalkulation dessen, was Opfer erwarten können, wenn sie sich für eine Lösegeldzahlung entscheiden. In den meisten Fällen werden viele der durch einen Ransomware-Angriff entstandenen Probleme nicht gelöst.
„Die Zahlung behebt nur das Verschlüsselungsproblem, nicht aber die umfassendere Gefährdung“, betont John von Bridewell.
Darüber hinaus setzt ein Ransomware-Vorfall ein Unternehmen unter enormen Druck, da rechtliche, betriebliche und reputationsbezogene Probleme oft innerhalb weniger Stunden zusammenkommen.
Diese Faktoren, kombiniert mit der inhärenten Unsicherheit im Umgang mit Kriminellen, erklären, warum die Zahlung des Lösegeldes so oft nicht zur vollständigen Wiederherstellung der Daten führt.
Finanzielle Widerstandsfähigkeit und rechtliche Fragen
„Selbst wenn man einen Entschlüsselungscode erhält, können einige Daten bereits dauerhaft beschädigt, verändert oder gestohlen sein“, warnt Lillian Tsang, Senior Solicitor im Datenschutz- und Privatsphäre-Team von Harper James.
„Das schafft operative Herausforderungen, wirft aber auch Datenschutzbedenken auf, insbesondere wenn personenbezogene Daten betroffen sind“, erklärt Tsang. „Wenn Datensätze verloren gehen oder kompromittiert werden, kann dies gemäß DSGVO einen Verstoß gegen den Schutz personenbezogener Daten darstellen, was Meldepflichten und möglicherweise behördliche Untersuchungen nach sich zieht.“
Hinzu kommt: Die Zahlung eines Lösegelds gibt einem Unternehmen keine rechtlichen Möglichkeiten, wenn die Kriminellen ihre Versprechen nicht einhalten, eher im Gegenteil „Die Zahlung kann ein weiteres Risiko darstellen, wenn Gelder unwissentlich an eine sanktionierte Gruppe überwiesen werden“, warnt Tsang.
Darüber hinaus treten bei einer Störung der Systeme durch Ransomware-Angriffe fast sofort gesetzliche Verpflichtungen in Kraft, die eine Benachrichtigung der Aufsichtsbehörden und der betroffenen Personen vorschreiben, insbesondere wenn personenbezogene Daten von einer Verletzung betroffen sind.
Vorsicht ist besser als Nachsicht
Einige Experten raten dazu, im Rahmen von Notfallplänen einen Vertrag mit einem Unternehmen für Incident Response abzuschließen.
„Ein Vertrag mit einem renommierten Unternehmen für Incident Response oder Verhandlungen, das für den Umgang mit Kryptowährungstransaktionen ausgerüstet ist, ist von entscheidender Bedeutung“, so Jeremy Samide, CEO von Blackwired, einem Cybersicherheitsunternehmen, das sich auf direkte Bedrohungsinformationen spezialisiert hat. „Solche Unternehmen übernehmen die Verhandlungen, haben Zugang zu verschiedenen Kryptowährungen und können Überweisungen sicher ausführen, wenn die Zahlung der einzige Weg zur Wiederherstellung ist.“
Samide fügt hinzu: „Vorbereitung bedeutet nicht Kapitulation – es bedeutet, auf jedes Szenario vorbereitet zu sein.“
Tsang von Harper James warnt davor, Mittel für die Zahlung an Kriminelle im Falle von Ransomware-Angriffen zurückzulegen. „Die Bereitstellung von Geldern für die Zahlung von Lösegeld wird zunehmend als problematisch angesehen“, führt die Expertin aus. „Die Zahlung an sich ist zwar nicht illegal, kann jedoch gegen Sanktionen verstoßen, weitere kriminelle Aktivitäten begünstigen und es gibt keine Garantie für ein positives Ergebnis.“
Eine sicherere rechtliche und strategische Position ergibt sich laut Tsang aus Investitionen in Resilienz durch starke Sicherheitsmaßnahmen, bewährte Wiederherstellungspläne, klare Berichtsprotokolle und Cyberversicherungen.
„Eine Cyberversicherung ist bei Ransomware-Angriffen von entscheidender Bedeutung, da sie nicht nur finanziellen Schutz bietet, sondern Unternehmen auch Zugang zu spezialisierter Unterstützung verschafft, die Schäden und Ausfallzeiten erheblich reduzieren kann“, fasst Tsang zusammen.
Cyberversicherungen bieten oft ein aktives Krisenmanagement mit Bestimmungen, die Folgendes abdecken können:
- Sofortige Reaktion auf Vorfälle und forensische Untersuchungen
- Eindämmung und Wiederherstellung infizierter Systeme
- Verhandlungen und rechtliche Koordination mit Angreifern
- Datenwiederherstellung und Unterstützung der Geschäftskontinuität
„Eine Versicherung kann einen Angriff nicht verhindern. Sie kann aber die Auswirkungen abmildern, Ordnung in das Chaos bringen und sicherstellen, dass Unternehmen Ransomware-Krisen nicht alleine bewältigen müssen“, so Samide von Blackwired.
Andere Experten warnen jedoch, dass Cyberversicherungen nach wie vor mit Vorbehalten verbunden sind.
„Die Versicherungsprämien steigen, und die Versicherer erwarten nun strengere grundlegende Cybersicherheitsmaßnahmen – Multi-Faktor-Authentifizierung, Patch-Management und getestete Backups –, bevor sie Versicherungsschutz anbieten oder verlängern“, erläutert Flack von Avella Security. „Dieser Wandel ermutigt Unternehmen, im Rahmen ihres Risikomanagements bessere Sicherheitspraktiken einzuführen.“
Lesetipp: So bereiten sich CISOs auf Cyberversicherungen vor
Cyber-Recovery
Nach Meinung von Experten muss die Cyber-Wiederherstellung nach einem Ransomware-Angriff ähnlich wie die Notfallwiederherstellung behandelt werden.
„Wenn Unternehmen von Ransomware betroffen sind, besteht eine der ersten und dringendsten Herausforderungen darin, das gesamte Ausmaß des Angriffs zu bewerten – zu ermitteln, welche Daten kompromittiert wurden, welche Systeme betroffen sind und ob die vorhandenen Backups vertrauenswürdig sind“, erklärt Jim McGann, CMO bei Index Engines. „Selbst wenn Backups verfügbar sind, ist die Überprüfung ihrer Integrität eine große Hürde, da sie beschädigte oder veränderte Dateien enthalten können, die während der Wiederherstellung erneut eine Bedrohung darstellen könnten.“
„Interne Recovery-Pläne sollten nicht nur die Wiederherstellung enthalten, sondern auch eine forensische Datenvalidierung umfassen“, rät McGan. (jm)
Lesetipp: Die besten Cyber-Recovery-Lösungen