Am 29. Oktober 2023 wurde die Südwestfalen-IT in NRW Opfer eines der bislang größten Ransomware-Angriffe, der zu einem Ausfall zahlreicher Dienste bei 72 kommunalen Kunden mit rund 20.000 Arbeitsplätzen führte. Auch in anderen Wirtschaftszweigen ist die Verschlüsselung von Daten mit anschließender Erpressung zu einer der größten digitalen Bedrohungen geworden. Im aktuellen IT-Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) warnt die Behörde eindringlich vor der stetigen Zunahme von Ransomware-Attacken.
Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann häufig ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden. Das aktuelle IT-Sicherheitslagebild zeigt, dass derartige Cyber-Angriffe immer häufiger werden und insbesondere für Unternehmen immer schwerwiegendere Folgen haben: Abhängig von den betroffenen Diensten kann Ransomware die Existenzgrundlage von ganzen Organisationen bedrohen. Zuletzt wurden insbesondere Kommunalverwaltungen, der Bildungssektor sowie Unternehmen für digitale Dienstleistungen verstärkt ins Visier genommen. Das BSI verdeutlicht im aktuellen Lagebild erneut, dass die Zahlung von Lösegeld für Unternehmen keine Option darstellen sollte. Denn das finanziere ein disruptives Geschäftsmodell, ohne zu garantieren, dass die Wiederherstellung von verschlüsselten Daten möglich gemacht wird.
„Doppelte Erpressung“ avanciert zum Standard
Ein typischer Ablauf einer Infektion mit Ransomware beginnt in der Regel mit dem Öffnen schadhafter E-Mail-Anhänge oder Links. Sobald die Schadsoftware erfolgreich ins Netzwerk des Unternehmens eingeschleust wurde, beginnt sie, sich in den IT-Systemen festzusetzen, Daten auszuleiten und schließlich wichtige Teile des Netzwerkes zu verschlüsseln. Das ermöglicht es den Tätern, Lösegeld für die Entschlüsselung der Systeme zu erpressen. Drohen die Täter zusätzlich mit der Veröffentlichung ausgespähter Daten („Double Extortion“), birgt diese sogenannte „doppelte Erpressung“ beispielsweise im Hinblick auf sensible Patientendaten oder Forschungsergebnisse für Impfstoffe derzeit ein besonders großes Schadenspotenzial. Häufig wird diese Taktik zusätzlich durch synchronisierte DDoS-Angriffe erweitert, die die Webseiten der Opfer überlasten und damit zusätzlichen Druck auf die Organisationen ausüben.
APT-Gruppen suchen gezielt nach Opfern
Weltweit war im Berichtszeitraum zwischen dem Juli 2023 und Juni 2024 die Ransomware-Gruppe „LockBit“ am aktivsten. Strafverfolger berichteten in den vergangenen Jahren von global mehr als 2.500 Ransomware-Opfern dieser Hacker-Gruppe. Allein in Deutschland veröffentlichte sie im Berichtszeitraum 40 mutmaßliche Leak-Opfer auf ihrer Leak-Seite. Gerne wird Ransomware auch von APT-Gruppen eingesetzt. Die Abkürzung APT steht für „Advanced Persistent Threat“, also „fortgeschrittene hartnäckige Bedrohung“. Ein APT-Cyberangriff ist oft langfristig angelegt und mit großem Aufwand geplant. Zudem suchen sich die Akteure ihre Opfer gezielt aus und wollen sich vorrangig Informationen über ihr Ziel beschaffen und es gegebenenfalls sabotieren. Nach Kenntnis des BSI waren von Juli 2023 bis Juni 2024 insgesamt 22 verschiedene APT-Gruppen in Deutschland aktiv, die Unternehmen, Organisationen und Behörden angegriffen haben.
Ransomware-Angriffe können zu einem erheblichen Verlust von Daten, Systemfunktionen und finanziellen Ressourcen führen
ryanking999/stock.adobe.com
RaaS für Laien
Als beunruhigend stuft das BSI neben der Professionalisierung der Cyber-Angriffe und der Zunahme des Schadenspotentials auch den wachsenden Markt der Cyber-Crime-Ökonomie ein. So werden Ransomware-Angriffe dank Ransomware-as-a-Service (RaaS) zunehmend auch für Laien zugänglich. Sie können den Zugang zu einer Ransomware in einer gebrauchsfertigen Form abonnieren und damit zu geringen Kosten wirksame Erpressungsaktionen durchführen, ohne unbedingt über die technischen Fähigkeiten zur Entwicklung einer Ransomware und zur Aufrechterhaltung ihrer Kommando-, Kontroll- und Zahlungsinfrastruktur zu verfügen. Im Gegenzug erhalten die RaaS-Betreiber einen bestimmten Prozentsatz der von diesen Partnern erwirtschafteten Einnahmen.
Cybernation Deutschland“ gestartet
Die wichtigste Botschaft des Berichts ist die Forderung nach mehr präventiven Sicherheitsmaßnahmen. Diese sollen nach Angaben des BSI oberste Priorität erhalten und kontinuierlich weiterentwickelt werden. Das Gebot der Stunde laute, Deutschlands Resilienz gegenüber Cyberbedrohungen und -vorfällen drastisch zu erhöhen. Neben der Information der Verbraucher über Cybergefahren und der Unterstützung für KMU hat das BSI im Januar 2024 die Initiative „Cybernation Deutschland“ gestartet. Diese soll der Verbesserung der Cyberresilienz dienen und mehr Bewusstsein für das Thema Cybersicherheit schaffen. Zugleich sollen IT-Sicherheit pragmatisch gestaltet und messbar gemacht, technologische Expertise gezielter genutzt und der Markt für Security-Produkte und -Dienstleistungen gestärkt werden.
KF (Stand 31.01.2025)
