Ransomware-Angriffe in mittelständischen Unternehmen verursachen nicht selten Kosten im 2-stelligen-Millionenbereich, bis wieder ein Zustand erreicht ist, der dem Ursprungszustand vor der Attacke nahekommt. Nicht eingerechnet und schwer zu beziffern ist das oft verlorene Vertrauen von Kunden und Lieferanten.
Durch die hohe Medienpräsenz von Ransomware-Angriffen müsste man eigentlich der Meinung sein, dass die meisten Unternehmen inzwischen ausreichend gegen diese Vorfälle gewappnet sind. Leider gibt es vielfältige Ursachen dafür, warum dies nicht so ist und die Kapazitäten zur Abwehr eines solchen Angriffs nach wie vor in den wenigsten Fällen vorhanden sind.
Wir möchten in diesem Artikel den wichtigsten Ursachen auf den Grund gehen, warum Ransomware-Angriffe nach wie vor so effektiv sind:
Fehlendes Bewusstsein für Cyber-Risiken
In sehr vielen Fällen gehen Unternehmensleiter nach wie vor davon aus, dass das eigene Unternehmen kein passendes Ziel für Cyberangriffe sei und nehmen die Bedrohung nicht ernst genug. Aufgrund der evidenten Zunahme an Cyber-Angriffen über die letzten Jahre muss man sich allerdings eher die Frage stellen, wann es das eigene Unternehmen erwischt und nicht ob. Aus dem fehlenden Bewusstsein für das Risiko ergeben sich viele der nachgenannten Punkte.
Fehlende Priorität in den Leitungsorganen
In den wenigsten Leitungsorganen von Unternehmen sind Verantwortliche für Informationssicherheit (sog. CISOs) zu finden. Das Thema Informationssicherheit ist meist Aufgabe der IT-Abteilungen und die Beschreibung von Vorgaben zu Sicherheit und die Kontrolle des Erfüllungsgrads sind hier oft in einer Person vereint. IT-Sicherheit wird von den Leitungsorganen bestenfalls als Notwendigkeit gesehen. Eine höhere Priorität würde sich ergeben, wenn die Ausgaben für IT-Sicherheit als Investition gesehen werden, welche die hohen Alternativkosten eines Ransomware-Vorfalls am zuverlässigsten vermeiden kann.
Fehlende Notfallpläne & Praxis im Ernstfall
Wenn entsprechende Notfallpläne im Unternehmen vorhanden sind, ist dies ein wertvoller erster Schritt, um einen Cybervorfall glimpflich zu überstehen. Die Pläne umfassen meist detaillierte Regelungen in Bezug auf die Kontaktaufnahme mit Krisendienstleistern, verkürzte Genehmigungsprozesse für die Freigabe von Ressourcen, Regelungen in Bezug auf die Unternehmenskommunikation und noch vieles mehr.
Mehrere Unternehmensteile, welche sonst wenig zusammenarbeiten, müssen hier Hand in Hand greifen, um die Auswirkungen eines Ransomware-Angriffs möglichst gering zu halten. Daher ist es wichtig, die Notfallpläne regelmäßig zu testen, durchzuspielen und an neue Gegebenheiten anzupassen. In diesem Zusammenhang ist es auch erforderlich, die Erwartungen an die verantwortlichen Personen klar zu kommunizieren – in der Krise werden einzelne Mitarbeiter durchaus gefordert sein und an die Grenzen der individuellen Belastbarkeit kommen. Eine verantwortliche Person, welche die Maßnahmen koordiniert und bei der alles zusammenläuft, muss hier unbedingt vorab definiert sein.
Fehlende Sensibilisierung der Mitarbeiter
70% der Cyber-Angriffe zielen nach wie vor auf menschliche Schwächen ab, was eine deutliche Sprache spricht. Umgekehrt bedeutet es, dass durch eine hohe Sensibilisierung des Themas und geeignete Schulungen die Mitarbeiter zur besten „Firewall“ werden und maßgeblich zur IT-Sicherheit betragen können. Leider werden in vielen Unternehmen keine entsprechenden Fortbildungsmaßnahmen angeboten und falls doch, als lästig oder als unproduktive „Zeitverschwendung“ abgetan. Auch hier würde sich anbieten, dass man die Sichtweise ändert und diese Maßnahmen wiederum als Investitionen sieht, welche die sehr hohen Alternativkosten vermeiden.
Aktualisierung der Sicherheitskonzepte
Da sich die IT-Sicherheitslandschaft laufend ändert, ist man als Unternehmen, welches ein hohes IT-Sicherheitsniveau halten möchte, gezwungen, die eigenen Konzepte laufend zu adaptieren und zu aktualisieren. Der Aufbau eines Soft- und Hardware-Inventars ist dafür eine Grundvoraussetzung. Die Erfahrung zeigt allerdings, dass es bereits daran bei vielen Unternehmen scheitert und damit unbewusst potentielle Sicherheitslücken mitgeschleppt werden. Personelle Ressourcen werden für diese Aufgaben nur selten bereitgestellt.
Datensicherungskonzept
Für den Ernstfall ist ein funktionierendes Sicherungskonzept maßgeblich entscheidend darüber, ob der Cybervorfall glimpflich ausgehen kann oder zu einem schwerwiegenden Problem für das Unternehmen wird. Auch entscheidet das Vorhandensein einer funktionierenden Sicherung im Ransomware-Vorfall darüber, ob auf die Erpressungsforderung eingegangen werden muss oder die Verhandlungen nicht aufgenommen werden müssen. Ein Backup welches aus dem Unternehmensnetzwerk nicht zugänglich ist bzw. offline vorgehalten wird, sollte demnach zur Grundausstattung gehören. Auch sollte sichergestellt werden, dass jederzeit auf ein nicht infiziertes Backup zurückgegriffen werden kann, dessen Integrität geprüft wurde.
Fazit
Die Zahlen aus zahlreichen Umfragen zeigen, dass wir in Europa gerade im Bereich der KMUs noch deutlichen Aufholbedarf in Bezug auf Cybersicherheit zu Unternehmen beispielsweise aus den USA haben. Auch die hohe Bereitschaft zur Zahlung von Erpressungsgeldern lässt darauf schließen, dass zahlreiche Unternehmen noch nicht ausreichend auf Cyberangriffe vorbereitet sind. Ein Restrisiko wird immer bestehen, Opfer einer Cyberattacke zu werden – dies soll allerdings nicht als Ausrede für Untätigkeit dienen – gerade in der Cybersicherheit gewinnt man durch jede getroffene Maßnahme – da man nun wieder etwas besser dasteht als ein anderes Unternehmen und die Chancen damit steigen, nicht zum nächsten Opfer zu werden.