BSI und ANSSI verdeutlichen im gemeinsamen Lagebericht die Risiken von Ransomware für das europäische Cyber-Ökosystem
BSI und ANSSI verdeutlichen im gemeinsamen Lagebericht die Risiken von Ransomware für das europäische Cyber-Ökosystem

Die Lage der IT-Sicherheit in Deutschland bleibt angespannt

Steigende Gefahr durch Erpressersoftware

Am 29. Oktober 2023 wurde die Südwestfalen-IT in NRW Opfer eines der bislang größten Ransomware-Angriffe, der zu einem Ausfall zahlreicher Dienste bei 72 kommunalen Kunden mit rund 20.000 Arbeitsplätzen führte. Auch in anderen Wirtschaftszweigen ist die Verschlüsselung von Daten mit anschließender Erpressung zu einer der größten digitalen Bedrohungen geworden. Im aktuellen IT-Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) warnt die Behörde eindringlich vor der stetigen Zunahme von Ransomware-Attacken.

Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann häufig ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden. Das aktuelle IT-Sicherheitslagebild zeigt, dass derartige Cyber-Angriffe immer häufiger werden und insbesondere für Unternehmen immer schwerwiegendere Folgen haben: Abhängig von den betroffenen Diensten kann Ransomware die Existenzgrundlage von ganzen Organisationen bedrohen. Zuletzt wurden insbesondere Kommunalverwaltungen, der Bildungssektor sowie Unternehmen für digitale Dienstleistungen verstärkt ins Visier genommen. Das BSI verdeutlicht im aktuellen Lagebild erneut, dass die Zahlung von Lösegeld für Unternehmen keine Option darstellen sollte. Denn das finanziere ein disruptives Geschäftsmodell, ohne zu garantieren, dass die Wiederherstellung von verschlüsselten Daten möglich gemacht wird.

„Doppelte Erpressung“ avanciert zum Standard

Ein typischer Ablauf einer Infektion mit Ransomware beginnt in der Regel mit dem Öffnen schadhafter E-Mail-Anhänge oder Links. Sobald die Schadsoftware erfolgreich ins Netzwerk des Unternehmens eingeschleust wurde, beginnt sie, sich in den IT-Systemen festzusetzen, Daten auszuleiten und schließlich wichtige Teile des Netzwerkes zu verschlüsseln. Das ermöglicht es den Tätern, Lösegeld für die Entschlüsselung der Systeme zu erpressen. Drohen die Täter zusätzlich mit der Veröffentlichung ausgespähter Daten („Double Extortion“), birgt diese sogenannte „doppelte Erpressung“ beispielsweise im Hinblick auf sensible Patientendaten oder Forschungsergebnisse für Impfstoffe derzeit ein besonders großes Schadenspotenzial. Häufig wird diese Taktik zusätzlich durch synchronisierte DDoS-Angriffe erweitert, die die Webseiten der Opfer überlasten und damit zusätzlichen Druck auf die Organisationen ausüben.

APT-Gruppen suchen gezielt nach Opfern

Weltweit war im Berichtszeitraum zwischen dem Juli 2023 und Juni 2024 die Ransomware-Gruppe „LockBit“ am aktivsten. Strafverfolger berichteten in den vergangenen Jahren von global mehr als 2.500 Ransomware-Opfern dieser Hacker-Gruppe. Allein in Deutschland veröffentlichte sie im Berichtszeitraum 40 mutmaßliche Leak-Opfer auf ihrer Leak-Seite. Gerne wird Ransomware auch von APT-Gruppen eingesetzt. Die Abkürzung APT steht für „Advanced Persistent Threat“, also „fortgeschrittene hartnäckige Bedrohung“. Ein APT-Cyberangriff ist oft langfristig angelegt und mit großem Aufwand geplant. Zudem suchen sich die Akteure ihre Opfer gezielt aus und wollen sich vorrangig Informationen über ihr Ziel beschaffen und es gegebenenfalls sabotieren. Nach Kenntnis des BSI waren von Juli 2023 bis Juni 2024 insgesamt 22 verschiedene APT-Gruppen in Deutschland aktiv, die Unternehmen, Organisationen und Behörden angegriffen haben.

Ransomware-Angriffe können zu einem erheblichen Verlust von Daten, Systemfunktionen und finanziellen Ressourcen führen

Ransomware-Angriffe können zu einem erheblichen Verlust von Daten, Systemfunktionen und finanziellen Ressourcen führen

ryanking999/stock.adobe.com

RaaS für Laien

Als beunruhigend stuft das BSI neben der Professionalisierung der Cyber-Angriffe und der Zunahme des Schadenspotentials auch den wachsenden Markt der Cyber-Crime-Ökonomie ein. So werden Ransomware-Angriffe dank Ransomware-as-a-Service (RaaS) zunehmend auch für Laien zugänglich. Sie können den Zugang zu einer Ransomware in einer gebrauchsfertigen Form abonnieren und damit zu geringen Kosten wirksame Erpressungsaktionen durchführen, ohne unbedingt über die technischen Fähigkeiten zur Entwicklung einer Ransomware und zur Aufrechterhaltung ihrer Kommando-, Kontroll- und Zahlungsinfrastruktur zu verfügen. Im Gegenzug erhalten die RaaS-Betreiber einen bestimmten Prozentsatz der von diesen Partnern erwirtschafteten Einnahmen.

Cybernation Deutschland“ gestartet

Die wichtigste Botschaft des Berichts ist die Forderung nach mehr präventiven Sicherheitsmaßnahmen. Diese sollen nach Angaben des BSI oberste Priorität erhalten und kontinuierlich weiterentwickelt werden. Das Gebot der Stunde laute, Deutschlands Resilienz gegenüber Cyberbedrohungen und -vorfällen drastisch zu erhöhen. Neben der Information der Verbraucher über Cybergefahren und der Unterstützung für KMU hat das BSI im Januar 2024 die Initiative „Cybernation Deutschland“ gestartet. Diese soll der Verbesserung der Cyberresilienz dienen und mehr Bewusstsein für das Thema Cybersicherheit schaffen. Zugleich sollen IT-Sicherheit pragmatisch gestaltet und messbar gemacht, technologische Expertise gezielter genutzt und der Markt für Security-Produkte und -Dienstleistungen gestärkt werden.

KF (Stand 31.01.2025)

Weitere Infos für Polizisten

Wie Angsträume sicherer werden können

Kriminalprävention im Städtebau

Dunkle Unterführungen, unübersichtliche Parkhäuser, einsame Parkanlagen oder zwielichtige Gegenden gibt es in nahezu jeder Stadt. Sie werden von…

| mehr

Was sind „mangelnde Haftgründe“?

Nicht jeder kommt in Untersuchungshaft

Ein Ladendieb wird erwischt und von der Polizei festgenommen. Aufgrund mangelnder Haftgründe wird er jedoch nach kurzer Zeit wieder freigelassen.…

| mehr

Wie wirksam ist der Einsatz früherer Rechtsextremisten?

Aussteiger in der schulischen Prävention

Die Prävention von Rechtsextremismus hat in Deutschland seit Jahren eine große Bedeutung. An Schulen sind unter anderem Veranstaltungen von und mit…

| mehr

Initiative fordert Überarbeitung des Stalking-Paragrafen

Stärkere Rechte für Stalking-Opfer

Der Gesetzgeber hat die Rechtslage für Stalking-Opfer verbessert. Betroffene müssen nun keinen Nachweis mehr erbringen, dass ihre Privatsphäre…

| mehr

Weniger Straftaten, mehr Sicherheit

Städtebauliche Kriminalprävention

Dunkle Fußgängerunterführungen, kaum einsehbare Bushaltestellen oder schlecht beleuchtete Parkplätze: Solche „Angst-Räume“ begünstigen Straftaten,…

| mehr