Digitale Erpressung: Die unterschätzte Gefahr

Veröffentlicht von am 24. November 2016 · Kommentieren

Digitale Erpressung hat sich innerhalb kürzester Zeit von einer kleinen Nische zum Millionengeschäft entwickelt. In Deutschland ist bereits jedes dritte Unternehmen davon betroffen, so die Allianz für Cybersicherheit. Lesen Sie hier, mit welchen Auswirkungen Unternehmen rechnen müssen.

Digitale Erpressung: Ein explodierendes Risiko

558.000 Euro: So viel kostet in Deutschland ein typischer Datenverlust laut dem Global Protection Index von EMC. Software zur digitalen Erpressung – auch als Ransomware oder Kryptotrojaner bezeichnet – ist immer häufiger der Verursacher solcher Schäden. Seit Ende 2015 explodieren die Verbreitungszahlen insbesondere in Deutschland:

Digitale Erpressung: Detektionen von Ransomware in Deutschland

Entwicklung der Digitalen Erpressung in Deutschland

Ist ein Arbeitsplatz von einem Kryptotrojaner befallen, so bleibt dessen Benutzer in der Regel anfangs vollkommen ahnungslos. Der Schädling arbeitet zu Beginn so unauffällig wie möglich. Im Hintergrund jedoch verschlüsselt die Software sämtliche Daten, auf die der Benutzer Zugriff hat. Erst nach Abschluss der Verschlüsselung macht sich die Ransomware bemerkbar: Sie fordert ein Ransom, also ein Lösegeld, und verhindert bis zur Zahlung das Arbeiten und den Zugriff auf alle Daten. Der Nutzer ist in diesem Moment machtlos: Ohne den passenden Schlüssel lässt sich aus den Dateien nur noch kryptografischer „Müll“ auslesen.

CaaS: Crime as a Service

Das Geschäftsmodell der Digitalen Erpressung ist für den Angreifer verlockend: Mittlerweile ist es nicht mehr notwendig, selbst eine Angriffs-Software zu entwickeln oder teure Spezialisten damit zu beauftragen. Tatsächlich gibt es mittlerweile zahlreiche Anbieter, die Ransomware als Mietservice anbieten. Dabei erhält der Täter nicht nur den Angriffscode, sondern kann auf Wunsch auch gleich die Verteilung der Software an die potenziellen Opfer mitbuchen. Mit einem solchem „Crime as a Service“ Angebot lassen sich innerhalb von Stunden problemlos tausende Rechner kapern. Die gewünschte Lösegeld-Höhe kann individuell festgesetzt werden, so dass eine Echtzeit-Optimierung des Return on Investment möglich wird.

Für den Eigentümer ist die Daten-Verschlüsselung ein Super-GAU: Auf geschäftlichen Rechnern befinden sich oftmals betriebsnotwendige Daten, ohne die das Geschäft zum Erliegen kommt. Während selbst erstellte Excel-Tabellen und PowerPoint-Präsentationen unter Umständen neu erstellt werden können, bietet eine verschlüsselte Kundendatenbank wenige Optionen: Zum einen enthält sie meist die Kontaktdaten der Kunden, die für eine Neuerstellung erforderlich wären. Zum anderen kann sich kein renommiertes Unternehmen leisten, diese Daten tatsächlich neu von den Kunden abzufragen. Auch die Polizei kann nicht helfen: Die Verschlüsselung ist in den meisten Fällen nicht auszuhebeln. Und die Spur der Täter führt in den Weiten des Internets praktisch immer ins Leere.

Unternehmen bieten eine breite Angriffsfläche

Primäre Ziele der Angreifer sind meist Branchen, in denen schnell hoher Schaden entstehen kann, wenn IT-Systeme still stehen. Dies gilt insbesondere für Banken und Finanzdienstleister, aber auch für die produzierende Industrie. Gleichwohl: Ein infiziertes System verbreitet den Schädling meist weiter, so dass die Gesamtzahl der betroffenen Systeme und Nutzer weit über die Menge der Primärziele hinausgehen kann. Sie werden also aus mehreren Richtungen attackiert:

  • Zum einen als individuelles Ziel (insbesondere bei hoher Bekanntheit und Position)
  • Dann als Mitarbeiter Ihrer Firma (je größer, desto lukrativer für den Täter)
  • Weiterhin als Besucher von Websites, die gezielt manipuliert wurden (auch renommierte Websites wurden schon gehackt, z.B. die Homepage der Europäischen Zentralbank)
  • Und schließlich als Nutzer eines kompromittierten Computer-Netzwerks (z.B. Ihr Firmen-LAN oder ein Wi-Fi-Hotspot)
  • Zusätzlich können Sie zum Sekundär-Ziel werden: Ist der Rechner eines Bekannten infiziert, so hat der Schädling Zugriff auf die gespeicherten Email-Adressen. Er versendet dann Emails, die auch Ihren Rechner infizieren können.

Gesamtschaden oft größer als erwartet

Ein Schaden kann sich dabei in vier Dimensionen zeigen: Direkte Kosten fallen unmittelbar beim Erpressungsopfer an (z.B. externe Sicherheits-Experten zur Beseitigung der Schadsoftware). Opportunitätskosten entstehen als Folge der eingeschränkten Betriebsfähigkeit (z.B. entgangene Gewinne). Neben diesen zügig bewertbaren Schäden müssen zusätzliche Reputationsschäden bedacht werden. So lässt sich das volle Ausmaß negativer Berichte in der Presse erst im weiteren Zeitverlauf erfassen (z.B. durch nachfolgend sinkende Kundentreue). Schließlich entstehen oft auch Kosten auf Seiten Dritter (z.B. bei – unbeabsichtigtem – Versenden von Schadsoftware per Email).

Digitale Erpressung trifft neben dem Unternehmen immer auch den jeweiligen Mitarbeiter. Insbesondere Manager sollten ihre direkte Betroffenheit nicht unterschätzen: Oft verteilt ein infizierter Rechner die Schadsoftware an zahlreiche Geschäftspartner. Werden diese geschädigt, kann dies zu einer erheblichen Belastung des Vertrauensverhältnisses führen.

Wie sind Ihre persönlichen Erfahrungen mit digitaler Erpressung? Wurden Sie selbst oder Ihnen bekannte Unternehmen bereits geschädigt? Wir freuen uns über Ihren Diskussionsbeitrag als Kommentar zu diesem Artikel.

Demnächst im ARKADIA Blog: Wie Sie Digitale Erpressung verhindern können.
Weiterführende Links:

Ransomware-Studie der Allianz für Cybersicherheit:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html

Global Protection Index von EMC:
http://www.it-business.de/ein-fall-von-datenverlust-kostet-558000-euro-a-542329/

Detektionen von Ransomware vom BSI:
https://www.ph-freiburg.de/fileadmin/dateien/zentral/zik/flyer/Ransomware_BSI.pdf
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.pdf