Cyberangriffe und Lösegeld: Ein Blick hinter die Kulissen

Über 1 Milliarde Euro: Diese erschreckende Summe haben die Opfer von Cyberangriffen im Jahr 2023 weltweit an Lösegeld bezahlt. Das geht aus dem aktuellen „Crypto Crime Report 2024“ der Analysefirma Chainalysis hervor und verdeutlicht das Ausmaß der Bedrohung durch Ransomware. Dabei umfasst diese Summe nur einen Teil des Schadens. Die wirtschaftlichen Folgen nämlich, wie Produktivitätsverluste und die hohen Kosten für die Wiederherstellung nach einem Angriff, blieben unberücksichtigt. Der tatsächliche Schaden, den Ransomware weltweit anrichtet, dürfte also noch deutlich höher liegen.

Doch was steckt eigentlich hinter diesen Cyberangriffen und den damit verbundenen Lösegeldforderungen? Wir beleuchten die Hintergründe dieser kriminellen Machenschaften und geben Einblicke in aktuelle Trends und Herausforderungen.

Cyberangriffe und Lösegeld: Die Hintergründe

Cyberangriffe sind zur alltäglichen Bedrohung für Unternehmen aller Größen und Branchen geworden. Besonders perfide ist das Geschäftsmodell der Cyberkriminellen, die durch gezielte Angriffe sensible Daten stehlen oder verschlüsseln, um anschließend Lösegeldforderungen zu stellen. Diese Praxis, die als „Ransomware“ bekannt ist, hat sich in den letzten Jahren zu einem der lukrativsten und am weitesten verbreiteten Angriffsvektoren entwickelt.

Das Geschäftsmodell der Cyberkriminellen

Cyberkriminelle nutzen hochentwickelte Software, um in die Netzwerke von Unternehmen einzudringen. Einmal im System, verschaffen sie sich Zugang zu wichtigen Daten, die entweder gestohlen oder verschlüsselt werden. Besonders im Fokus stehen vertrauliche Informationen, Kundendaten, Finanzberichte und sogar komplette Geschäftsprozesse, die für das Unternehmen von existenzieller Bedeutung sind.

Nachdem die Angreifer diese Daten in ihre Gewalt gebracht haben, folgt der nächste Schritt ihres perfiden Plans: Sie setzen das Unternehmen unter Druck, indem sie Lösegeldforderungen stellen. In den meisten Fällen verlangen die Kriminellen, dass das Lösegeld in Bitcoin oder einer anderen Kryptowährung gezahlt wird. Diese Zahlungsmethoden bieten den Angreifern Anonymität und machen es äußerst schwierig, die Spur des Geldes zurückzuverfolgen.

Drohungen und Konsequenzen

Doch was passiert, wenn ein Unternehmen sich weigert, das Lösegeld zu zahlen? Dann spielen die Cyberkriminellen ihre letzte Karte aus: Sie drohen, die gestohlenen Daten entweder zu veröffentlichen oder endgültig zu löschen. Diese Drohungen sind weit mehr als leere Worte und können für die betroffenen Unternehmen verheerende Folgen haben.

Denn ein unkontrollierter Datenverlust könnte schwerwiegende Imageschäden verursachen, insbesondere wenn sensible Kundeninformationen oder Betriebsgeheimnisse an die Öffentlichkeit gelangen. Der Vertrauensverlust bei Kunden und Geschäftspartnern wäre enorm und kann langfristige Auswirkungen auf das Geschäft haben. Darüber hinaus können Geschäftsausfälle entstehen, wenn kritische Systeme und Prozesse durch den Angriff lahmgelegt werden. Die Kosten, um die Systeme wiederherzustellen, das Vertrauen der Kunden zurückzugewinnen und die internen Schäden zu beheben, können immens sein.

Die Strategie hinter den Angriffen

Die Strategie der Cyberkriminellen ist simpel: Sie setzen Unternehmen unter enormen Druck, indem sie den potenziellen Schaden maximieren, der durch die Veröffentlichung oder den Verlust der Daten entstehen würde. Dies zwingt viele Unternehmen dazu, das geforderte Lösegeld zu zahlen, selbst wenn keine Garantie besteht, dass die Angreifer ihre Versprechen halten und die Daten tatsächlich wieder freigeben.

Prominente Beispiele von Lösegeldzahlungen nach Cyberangriffen

Cyberangriffe mit Erpressungssoftware machen weder vor geografischen Grenzen noch vor Branchen halt. Was einst als isolierte Bedrohung für Einzelpersonen galt, hat sich zu einem globalen Problem entwickelt, das Unternehmen, Institutionen und sogar Regierungen gleichermaßen betrifft. Weltweit, in Europa und in Deutschland sind die Zahlen alarmierend: Niemand ist vor den Angriffen sicher. Ein paar prominente Beispiele:

Die globale Bedrohung

Boeing: Eine erfolglose Erpressung
Im Oktober 2023 wurde Boeing, einer der weltweit führenden Flugzeughersteller, Ziel eines groß angelegten Cyberangriffs. Die Angreifer nutzten hochentwickelte Ransomware, um in das Netzwerk des Unternehmens einzudringen und forderten anschließend ein Lösegeld in Höhe von 200 Millionen Euro. Trotz der immensen Drohung entschied sich Boeing, nicht auf die Forderungen einzugehen. Das Unternehmen konnte den Angriff erfolgreich abwehren, ohne das geforderte Lösegeld zu zahlen.

AT&T: Lösegeldzahlung in Millionenhöhe
Ein anderer Fall mit weniger positivem Ausgang betraf den amerikanischen Telekommunikationsriesen AT&T. Cyberkriminelle hatten es geschafft, Millionen von Kundendaten zu erbeuten. Angesichts der drohenden Veröffentlichung dieser sensiblen Informationen sah sich AT&T gezwungen, ein Lösegeld in Höhe von 370.000 Dollar zu zahlen, um den Schaden zu begrenzen. Obwohl das Unternehmen die Zahlung leistete, bleibt unklar, ob alle gestohlenen Daten tatsächlich wiederhergestellt wurden oder ob einige davon dennoch in die falschen Hände gelangten.

Colonial Pipeline: Ein Angriff auf die kritische Infrastruktur
Einer der bekanntesten Ransomware-Angriffe der letzten Jahre traf die Colonial Pipeline, ein Unternehmen, das rund 45 Prozent des gesamten Kraftstoffs an der Ostküste der USA transportiert. Im Mai 2021 legten Cyberkriminelle das gesamte Pipeline-Netzwerk lahm, indem sie die IT-Systeme des Unternehmens verschlüsselten. Angesichts der schwerwiegenden Auswirkungen auf die Energieversorgung und die nationale Sicherheit entschied sich Colonial Pipeline, ein Lösegeld in Höhe von 4,4 Millionen Dollar zu zahlen. Trotz dieser Zahlung konnte ein Teil des Lösegeldes später durch eine koordinierte Aktion von US-Behörden zurückgeholt werden.

Europa: Kein sicherer Hafen

Auch Europa ist kein sicherer Hafen vor Ransomware-Angriffen. Große Unternehmen wie der norwegische Aluminiumhersteller Norsk Hydro und der britische Währungsdienstleister Travelex wurden in den letzten Jahren Opfer solcher Attacken. Selbst Bildungseinrichtungen wie die Universität Maastricht in den Niederlanden blieben nicht verschont:

Universität Maastricht: Akademische Systeme lahmgelegt
Im Dezember 2019 wurde die Universität Maastricht in den Niederlanden Opfer eines schweren Ransomware-Angriffs. Die Angreifer nutzten die Clop-Ransomware, um nahezu alle Windows-Systeme der Universität zu verschlüsseln, was den Betrieb erheblich beeinträchtigte. Nach intensiven Verhandlungen entschied sich die Universität, ein Lösegeld von 30 Bitcoin zu zahlen, was damals etwa 200.000 Euro entsprach. Die Universitätsleitung begründete die Zahlung mit der Notwendigkeit, den akademischen Betrieb so schnell wie möglich wiederherzustellen und den Verlust wichtiger Forschungsdaten zu verhindern.

Norsk Hydro: Industrieller Riese unter Beschuss
Im März 2019 wurde der norwegische Aluminiumhersteller Norsk Hydro von der LockerGoga-Ransomware getroffen. Der Angriff beeinträchtigte Produktionsanlagen weltweit und zwang das Unternehmen, teilweise auf manuelle Prozesse umzusteigen. Trotz der erheblichen Auswirkungen verweigerte Norsk Hydro die Zahlung des Lösegelds und arbeitete stattdessen daran, die Systeme eigenständig wiederherzustellen. Die Kosten für die Bewältigung des Angriffs und die Wiederherstellung beliefen sich auf schätzungsweise 60 bis 70 Millionen Euro.

Britisches Gesundheitssystem (NHS): WannaCry trifft kritische Infrastruktur
Es ist schon etwas länger her: Im Mai 2017 traf der weltweite WannaCry-Ransomware-Angriff das britische Nationale Gesundheitssystem (NHS) schwer. Viele Krankenhäuser und Kliniken mussten Termine absagen, Operationen verschieben und Patienten abweisen, da ihre Computersysteme verschlüsselt waren. Obwohl das geforderte Lösegeld vergleichsweise gering war (300 US-Dollar in Bitcoin pro betroffener Maschine), entschied sich das NHS, kein Lösegeld zu zahlen. Stattdessen arbeiteten die IT-Teams rund um die Uhr, um die Systeme wiederherzustellen.

Travelex: Finanzdienstleister in der Krise
An Silvester 2019 wurde der britische Währungsdienstleister Travelex von der Sodinokibi-Ransomware (auch bekannt als REvil) angegriffen. Die Angreifer forderten zunächst 6 Millionen US-Dollar, drohten aber, den Betrag zu verdoppeln, wenn nicht innerhalb einer bestimmten Frist gezahlt würde. Der Angriff führte zur Abschaltung der Online-Systeme von Travelex, was weltweit Auswirkungen auf Kunden und Partner hatte. Medienberichten zufolge zahlte Travelex schließlich 2,3 Millionen US-Dollar in Bitcoin, um die Kontrolle über ihre Systeme zurückzuerlangen. Der Vorfall hatte übrigens erhebliche finanzielle Folgen für das Unternehmen und trug letztlich zu seiner Insolvenz im August 2020 bei.

Deutschland: Eine steigende Bedrohung

Auch in Deutschland haben prominente Ransomware-Angriffe in den letzten Jahren für Aufsehen gesorgt. Von der Funke Mediengruppe, die 2020 von einem massiven Angriff betroffen war, über das Klinikum Fürth, das 2020 in eine IT-Krise gestürzt wurde, bis hin zur Landesverwaltung Brandenburg – die Liste der Opfer ist lang:

Landesverwaltung Brandenburg: Behördliche Infrastruktur betroffen
Im Mai 2021 wurde die IT-Infrastruktur der Landesverwaltung Brandenburg von einem Ransomware-Angriff getroffen. Teile der Verwaltung waren zeitweise nicht in der Lage, reguläre Dienstleistungen zu erbringen, da zentrale Systeme verschlüsselt wurden. Auch hier wurde kein Lösegeld gezahlt, sondern die Systeme wurden schrittweise wiederhergestellt. Immerhin führte dieser Angriff zu einer intensiven Überprüfung und Verbesserung der IT-Sicherheitsmaßnahmen im öffentlichen Sektor.

Klinikum Fürth: Gesundheitseinrichtung im Ausnahmezustand
Im Oktober 2020 wurde das Klinikum Fürth Opfer eines Ransomware-Angriffs, der erhebliche Auswirkungen auf den Krankenhausbetrieb hatte. Mehrere IT-Systeme wurden verschlüsselt, was zu Ausfällen in der Patientenversorgung führte. Notfallpläne mussten aktiviert werden, um die Patientenversorgung trotz der IT-Probleme aufrechtzuerhalten. Auch in diesem Fall entschied sich das Klinikum, kein Lösegeld zu zahlen. Stattdessen wurden die IT-Systeme mit Unterstützung externer Spezialisten wiederhergestellt. Dieser Angriff verdeutlichte erstmals auch in Deutschland die potenziell lebensbedrohlichen Konsequenzen solcher Vorfälle.

Funke Mediengruppe: Großer Verlagshaus betroffen
Einer der größten und bekanntesten Ransomware-Angriffe in
Deutschland ereignete sich im Dezember 2020, als die Funke Mediengruppe Ziel eines massiven Angriffs wurde. Die Angreifer legten die IT-Infrastruktur des Verlags lahm, was zu erheblichen Störungen im Betrieb führte. Die Printausgaben vieler Zeitungen des Verlages konnten nur in stark eingeschränkter Form erscheinen. Trotz der Forderung nach einem hohen Lösegeld entschied sich die Funke Mediengruppe, keine Zahlungen zu leisten. Der Verlag investierte stattdessen in die Wiederherstellung der Systeme und die Verbesserung der IT-Sicherheitsmaßnahmen.

Aktuelle Trends und Folgen: Die Entscheidung zur Lösegeldzahlung

Die Auswirkungen von Cyberangriffe mit Ransomware auf Unternehmen sind erheblich. Vor allem die Entscheidung, ob Lösegeld gezahlt werden soll, stellt viele vor schwierige ethische und wirtschaftliche Herausforderungen. Tatsächlich kommt ein Großteil der betroffenen Unternehmen den Forderungen der Cyberkriminellen nach – aus möglicherweise gutem Grund?

Die alarmierende Realität: 90 Prozent der Unternehmen zahlen Lösegeld

Eine aktuelle Studie von Censuswide im Auftrag von Cohesity, einem globalen Anbieter für KI-gestütztes Datenmanagement und -sicherheit, zeigt, dass rund 90 Prozent der Unternehmen, die in den letzten zwei Jahren von Ransomware-Angriffen betroffen waren, sich zur Zahlung des geforderten Lösegelds entschieden haben. Der Hauptgrund hierfür ist die schnelle Wiederherstellung der verschlüsselten oder gestohlenen Daten, um den Betrieb so schnell wie möglich wieder aufnehmen zu können. Angesichts der potenziellen Verluste durch Datenlecks und Betriebsunterbrechungen scheint die Zahlung für viele Unternehmen die einzige Option zu sein, um schwerwiegende wirtschaftliche Schäden zu vermeiden.

Nur die Ausnahme: Lösegeldzahlungen kategorisch abgelehnt

Nur ein Prozent der Unternehmen weltweit schließt die Zahlung von Lösegeld kategorisch aus, selbst unter den schwierigsten Bedingungen. Diese Firmen setzen auf strikte Prinzipien oder haben umfassende Notfallpläne und Backup-Strategien entwickelt, die ihnen im Ernstfall ermöglichen, den Schaden ohne Zahlung zu minimieren. Diese Unternehmen sind jedoch die Ausnahme, nicht die Regel.

Hohe Zahlungsbereitschaft: Die Kosten für die Wiederherstellung

Die Bereitschaft, hohe Summen zu zahlen, ist ein weiteres alarmierendes Zeichen. 35 Prozent der betroffenen Unternehmen gaben laut Censuswide-Studie an, bereit zu sein, mehr als 5 Millionen US-Dollar für die Wiederherstellung von Daten und Geschäftsprozessen auszugeben. Diese hohe Zahlungsbereitschaft unterstreicht die immense Bedeutung, die Datenintegrität und Betriebsfähigkeit für Unternehmen haben. Für viele ist das Risiko, dass Kunden- und Geschäftspartnervertrauen durch Datenverluste zerstört wird, so groß, dass sie enorme Summen aufwenden, um dieses Risiko zu minimieren.

Die Angst vor den Folgen: Imageschäden und gestörter Betriebsablauf

Ein wichtiger Faktor für die Entscheidung zur Lösegeldzahlung ist die Angst vor den weitreichenden Konsequenzen, wenn das Lösegeld nicht gezahlt wird. Dazu gehören insbesondere Imageschäden, die oft mit einem Vertrauensverlust bei Kunden und Geschäftspartnern einhergehen. Darüber hinaus kann der Betriebsablauf stark gestört werden, was zu erheblichen finanziellen Verlusten führt. Ein Unternehmen, dessen Systeme über Tage oder Wochen stillstehen, verliert nicht nur Umsatz, sondern auch Marktanteile und Kundenvertrauen, das nur schwer wiederhergestellt werden kann.

Die Probleme der Unternehmen: Mangelnde Datensicherung und Zeitdruck

Viele Unternehmen stehen vor einem weiteren gravierenden Problem: unzureichende Datensicherung. Ohne regelmäßige und umfassende Backups sind die Folgen eines Ransomware-Angriffs katastrophal. Die Wiederherstellung der Daten kann sehr viel Zeit in Anspruch nehmen, was den Druck auf die Unternehmen erhöht, schnell eine Lösung zu finden – oft in Form einer Lösegeldzahlung. Zudem führt die Unsicherheit darüber, ob und wann die Daten wiederhergestellt werden können, zu zusätzlichen Stresssituationen und potenziell fatalen Geschäftsentscheidungen.

Fazit: Gute Vorbereitung ist alles

Wenn Ihre Daten erst einmal in den Händen von Cyberkriminellen sind, ist es meist schon zu spät, um den Schaden vollständig abzuwenden. Deshalb gilt: Eine gute Vorbereitung ist der Schlüssel zur Sicherheit.

Daher ist es entscheidend, in umfassende Sicherheitsstrategien zu investieren, die nicht nur präventiv wirken, sondern auch im Ernstfall schnelle und effektive Maßnahmen ermöglichen. Dazu gehört nicht nur eine ständige Überprüfung der IT-Sicherheitsinfrastruktur, sondern auch regelmäßige Backups und klare Notfallpläne, um im Ernstfall schnell handeln zu können. Der Notfallplan sollte dabei detailliert festlegen, wie auf den Vorfall reagiert wird, um den Schaden zu minimieren und den Betrieb so schnell wie möglich wieder aufzunehmen – auch hier kann der Schlüssel zum Erfolg in regelmäßigen Backups liegen. Mit einer durchdachten Strategie lässt sich somit sogar die Zahlung von Lösegeld vermeiden und die Kontrolle über die Situation behalten.

Abschließend sei gesagt: Die beste Verteidigung gegen Cyberangriffe ist eine umfassende Prävention und Vorbereitung. Es gilt, die Gefahr ernst zu nehmen und geeignete Maßnahmen zu ergreifen, um das eigene Unternehmen bestmöglich zu schützen.