Lösegeldzahlung: Fluch oder Segen?

Jede Minute Ausfallzeit bedeutet für Unternehmen viele Tausende Euro an Umsatzeinbußen. Eben diese Problematik ist es auch, die Lösegeldzahlungen nach Ransomware-Angriffen so verlockend erscheinen lässt. Aber: die Ransom-Zahlung ist nicht die schnelle Lösung, auf die Unternehmen bauen. Wer Lösegeld zahlt, erwartet die schnelle Wiederherstellung relevanter Daten. Dies ist jedoch durchaus nicht immer der Fall.

Die International Data Corporation (IDC), als weltweit führender Anbieter von Marktinformationen, Beratungsdienstleistungen und Veranstaltungen auf dem Gebiet der Informationstechnologie und der Telekommunikation sowie der Verbrauchertechnologiemärkte, stellt in ihrer Worldwide Future Enterprise Resiliency and Spending Survey fest, dass weniger als 28% der Teilnehmer ihre Daten nach einer Lösegeldzahlung wiederherstellen konnten.

Eine Lösegeldzahlung bringt zudem viele weitere Hürden mit sich:

  • Zeitaufwand von Verantwortlichen, um Entscheidungen mit der Rechtsabteilung und anderen zuständigen Personen zu besprechen
  • wertvolle Zeitinvestition die das Team tätigen muss, um Verhandlungen mit den Angreifern zu führen
  • weiterer Zeitverlust durch aufwendigen Entschlüsselungsprozess, welcher nicht mal garantiert gelingt

Aber auch die Entscheidung gegen eine Lösegeldzahlung birgt Risiken. Die Umfrage ergab, dass weniger als einem Drittel der Befragten die Wiederherstellung verschlüsselter Daten aus ihren Backup-Dateien gelang.

Der Weg zur schnellen, zuverlässigen Wiederherstellung

Ransomware-Angriffe definieren sich oft durch eine Reihe von einzelnen Angriffen, die Sicherheitsvorkehrungen umschiffen, um sich Zugang zu wichtigen Daten zu verschaffen und diese als “Geiseln” zu nehmen. Der optimale Schutz vor solchen Angriffen wäre selbstverständlich eine totale Verhinderung dieser. Das gestaltet sich jedoch als durchaus schwieriges Unterfangen. Die Erwartungshaltung an und von digitalen Unternehmen ist es also, dass Betriebsabläufe durch Sicherheitsmaßnahmen nicht behindert werden, und dass sich auch nicht einzig auf diese verlassen werden darf.

Unternehmen bauen stattdessen ihre Datenschutzmaßnahmen zunehmend aus, mit dem Ziel einer schneller und zuverlässigen Datenwiederherstellung. Folgende Faktoren sind hierfür zielführend:

  • Erkennung: Anomalien und Sicherheitsverstöße werden schnell aufgespürt und die Reaktion darauf erfolgt zeitnah
  • Schutz: saubere, unveränderliche Kopien wichtiger Daten werden erstellt
  • Wiederherstellung: wichtige Daten und Anwendungen können schnell wieder hergestellt werden

Das Verhältnis von Lösegeldzahlungen zu schneller Datenwiederherstellung

Den Daten der Umfrage zufolge war der Geschäftsbetrieb bei 45% der befragten Unternehmen mehrere Tage lang gestört. 19,4% sagten aus, dass die Störungen sogar eine ganze Woche lang anhielten. Die Minimierung der Ausfallzeit ist eines der Hauptziele bei der Bekämpfung von Ransomware, weswegen viele Unternehmen sich nahezu genötigt sehen, den Lösegeldzahlungen folge zu leisten. Die Annahme, dass eine Zahlung des Ransom eine sofortige Wiederherstellung der Daten nach sich zieht, ist jedoch unbegründet.

Der mühsame Weg der Lösegeldzahlung ist gespickt von Zeitverzögerungen und organisatorischen Herausforderungen:

→ Unternehmen versuchen sich selbst an Methoden zur Datenwiederherstellung, während die Führungsebene Gespräche mit Rechtsteams beginnt. Ein Notfallwiederherstellungsplan kann diesen Schritt verkürzen.

→ Nach einer Entscheidung zur Lösegeldzahlung beginnen die Verhandlungen auf allen Ebenen, von Angreifern über Cyber-Versicherungsgesellschaften bis hin zu Regierungsbehörden um einen Versicherungsanspruch geltend machen zu können. Diese Odyssee bedeutet viele weitere Tage Ausfallzeit.

→ Erst nach erfolgreicher Zahlung und Erhalt des Entschlüsselungscodes kann der Wiederherstellungsprozess eingeleitet werden. Da es sich bei diesen Codes selten um optimierte Software handelt, ist der Zeitverlust auch in diesem Schritt wieder immens. Zudem ist niemals garantiert. dass die Entschlüsselungssoftware funktioniert.

Ein weiterer, großer Nachteil der Lösegeldzahlung ist die Tatsache des Angriffs an sich: der Weg, über den Angreifer das System attackiert haben steht nach wie vor offen, so dass Unternehmen auch in Zukunft auf dem Präsentierteller liegen und immer wieder Opfer derselben oder neuen Angriffen werden können - bei einer getätigten Lösegelzahlung und damit offengelegten Liquidität ist dies fast schon garantiert.

Der richtige Weg zu einer schnellen und zuverlässigen Wiederherstellung der Daten ist stattdessen eine Optimierung der Technologie und Daten-Backups. 32,2% der Befragten konnten nach einem Ransomware-Angriff ihre Daten erfolgreich auf Basis eines Backups wiederherstellen, und das ganz ohne die Zahlung von Lösegeld.

Eine regelmäßige Testung, Instandhaltung und Kontrolle des Wiederherstellungssystems hilft Unternehmen bei Ransomware-Angriffen vorausschauend zu handeln und den zeitlichen Ablauf im Blick zu behalten. Auch aus der Kostenperspektive macht eine zuverlässige Wiederherstellung mehr Sinn als eine Lösegeldzahlung, da die Kosten dafür sich auf bis zu 1.000.000 US-Dollar belaufen können. Die Ausfallzeiten bei lokalen Workloads liegen der Umfrage nach bei durchschnittlich 2.800 US-Dollar stündlich, bei Cloud-Workloads bei 3.275 US-Dollar.

In der gleichen Umfrage stuften die Befragten zudem die Bedeutung nicht-finanzieller Faktoren durch Ausfallzeiten ein. Sie fürchteten negative Folgen längerer Ausfallzeiten für Arbeitsmoral, Produktivität und Unternehmensimage. Ausfallzeiten durch Ransomware bedeuten weitere Kosten, z. B. potenzielle behördliche Maßnahmen und Klagen von Gesellschaftern des Unternehmens.

Herausforderungen und Chancen

Die ständige Weiterentwicklung von Ransomware-Angriffen zwingt IT-Verantwortliche dazu, möglichst vorausschauend zu handeln - und das bestenfalls mit der richtigen Technologie. Dabei sollte die Sicherung von Backups bei den Anbietern von Datenschutzlösungen weiterhin im Fokus stehen, besonders, da der Versuch der Löschung von Backups nach wie vor einer der der beliebtesten Angriffsmethoden ist. Dies bestätigte auch die Hälfte der Befragten, die angaben, dass Angreifer ihre Backups im Visier hatten. Etwa die Hälfte dieser Angriffsversuche entpuppte sich als erfolgreich. Der rasante Anstieg von Datenexfiltration verdeutlicht die Wichtigkeit von Datensicherheit noch mehr. Fast 3/4 der Befragten, die Opfer eines Ransomware-Angriffs wurden, bestätigten einen Datendiebstahl bei ihrem letzten Angriff.

Fazit

Ohne Lösegeldzahlungen ist nur ein kleiner Teil von Unternehmen fähig, ihre Daten nach Ransomware-Angriffen vollständig wiederherzustellen. Diese Tatsache lässt viele Unternehmen in der Annahme, dass eine Ransom-Zahlung die schnellere Methode zur Wiederherstellung und Wiederaufnahme des normalen Geschäftsbetriebs ist.
Die Lösegeldzahlung allein bedeutet jedoch nicht, dass sofort mit der Wiederherstellung der Daten begonnen wird, und dass diese überhaupt wiederhergestellt werden können. Langsame Algorithmen und viel durch Beratungen sowie Verhandlungen verlorene Zeit verlangsamen den Prozess zudem enorm. Diese Zeit ließe sich einsparen, wenn sich Unternehmen von Anfang an für einen Prozess der Datenwiederherstellung entscheiden würden.

Unternehmen brauchen einen Prozess zur sicheren Datenwiederherstellung, der auf den Prinzipien von Erkennung, Schutz und Wiederherstellung basiert. Die Integration von Datensicherheit in Datenschutz- und Datenwiederherstellungsprozesse gewährleistet die Integrität und ermöglicht Unternehmen die Minimierung von Ausfallzeiten in einem Ransomware-Szenario.

Quelle:
IDC: Warum eine schnelle Wiederherstellung sicherer ist, als eine Lösegeldzahlung (Juli 2022)