Ransomware-Angriffe folgen einem Muster

In einer Welt, die immer stärker von digitalen Technologien durchdrungen ist, stehen Sozialunternehmen vor neuen Herausforderungen. Neben ihrer wichtigen Arbeit für Klient:innen müssen sie sich gegen Cyberbedrohungen wappnen, die ihren Betrieb gefährden oder auslöschen können. Eine der gravierendsten Bedrohungen ist Ransomware – Schadsoftware, die Systeme lahmlegt, Daten verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigibt.

Cyberkriminelle gehen hochprofessionell und strategisch vor. Sie wählen ihre Ziele sorgfältig aus, oft basierend auf der Annahme, dass Sozialunternehmen weniger in IT-Sicherheit investieren und daher leichter angreifbar sind. Sie sammeln Informationen über das Unternehmen, seine Mitarbeiter:innen und die verwendeten Technologien, um den Angriff effektiv zu gestalten.

Das häufigste Einfallstor ist eine Phi­shing-E-Mail, die an Mitarbeiter:innen ge­sendet wird. Diese E-Mails wirken täuschend echt und können als Nachricht eines vertrauenswürdigen Partners oder einer Behörde erscheinen. Ein Klick auf einen infizierten Anhang oder Link genügt, um die Schadsoftware ins System zu schleusen. Oft nutzen Angreifer auch Sicherheitslücken in veralteter Software oder schlecht gesicherten ­Remote-Zugängen aus. Nach dem Eindringen beginnt die Schadsoftware, sich unbemerkt im Netzwerk auszubreiten. Sie sucht nach weiteren Schwachstellen und versucht, höhere Zugriffsrechte zu erlangen. Dabei werden oft Passwörter geknackt oder Sicherheitslücken ausgenutzt. Dieser Prozess kann sich über Tage oder sogar Wochen erstrecken, ohne dass die IT-Abteilung etwas bemerkt.

Bevor die Daten verschlüsselt werden, kopieren die Angreifer häufig sensible Informationen und laden sie auf ihre eigenen Server. Diese gestohlenen Daten dienen dann als zusätzliches Druckmittel, indem mit der Veröffentlichung vertraulicher Informationen gedroht wird. Zusätzlich löschen Angreifer alle Backups, auf die sie zugreifen können.

Zu einem strategisch günstigen Zeitpunkt (zum Beispiel an einem Freitagabend) starten die Angreifer den Verschlüsselungsprozess. Wichtige Dateien und Datenbanken werden mit starken Algorithmen unzugänglich gemacht. Dadurch wird der gesamte Betrieb lahm­gelegt - Mitarbeiter:innen können nicht mehr auf ­Systeme zugreifen, Dienstleistungen können nicht erbracht werden.

Lösegeldforderung – und dann?

Nach erfolgreicher Verschlüsselung erhalten die Opfer eine Lösegeldforderung. Darin sind Anweisungen enthalten, wie das Lösegeld, meist in Form von Krypto­währungen wie Bitcoin, zu zahlen ist. Die Forderung ist oft zeitlich begrenzt, und es wird mit der endgültigen Vernichtung der Daten oder der Veröffentlichung sensibler Informationen gedroht, falls nicht gezahlt wird. Einige Angreifer bieten eine Kommunikationsmöglichkeit, um über das Lösegeld zu verhandeln. Während dieser Zeit erhöhen sie oft den Druck, indem sie kleine Mengen gestohlener Daten veröffentlichen oder die geforderte Summe erhöhen. Das Ziel ist, das Opfer zur schnellen Zahlung zu bewegen.

Das betroffene Unternehmen steht vor der schwierigen Entscheidung, ob es das Lösegeld zahlen oder versuchen soll, die Daten selbst wiederherzustellen. Die Zahlung garantiert jedoch nicht, dass die Angreifer die Daten tatsächlich entschlüsseln oder keine Kopien behalten haben. Experten raten daher meist davon ab, Lösegeld zu zahlen, und empfehlen, auf Backups zurückzugreifen und die Systeme zu bereinigen.

Selbst nach einer erfolgreichen Wiederherstellung bleiben die Folgen gravierend. Es entstehen erhebliche Kosten durch Betriebsunterbrechungen, Wiederherstellungsmaßnahmen und mögliche rechtliche Konsequenzen. Zudem leidet das Vertrauen von Partnern und Klient:innen, was langfristige Auswirkungen auf das Ansehen des Unternehmens haben kann.

Einer realen Gefahr begegnen

Ransomware-Angriffe sind eine reale und wachsende Bedrohung für Sozialunternehmen. Es ist unerlässlich, dass Führungskräfte die Risiken verstehen und Maßnahmen ergreifen, um ihre Organisation zu schützen sowie die Auswirkungen eines möglicherweise erfolgreichen Angriffs zu reduzieren. Dazu gehören:

◆  Mitarbeitendenschulungen: Sensibilisierung für Phishing und andere Bedrohungen;

◆  regelmäßige Updates: Software und Systeme stets aktuell halten;

◆  Sicherheitslösungen: Einsatz von entsprechenden Programmen und Firewalls;

◆  Backups: regelmäßige Sicherung wichtiger Daten an sicheren Orten;

◆  Notfallpläne: Entwicklung von Strategien für den Fall eines Angriffs;

◆  Verfügbarkeit von Expert:innen ("Cyber-Feuerwehr"), die nach einem erfolgten Angriff sofort helfen können, die Quelle des Angriffs zu finden, und die die betroffene Organisation unterstützen, um aus der Notsituation wieder herauszukommen;

◆  üben, üben, üben! Nur, wenn der Ernstfall wirklich durchgespielt wird (wie auch im Brandschutz), kann man strukturiert und angemessen reagieren.

Weitere Informationen zur Bedrohungslage und Empfehlungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammengestellt. Siehe Kurzlink: https://tinyurl.com/nc24-20-gefahrenlage

Wie ernst die Bedrohungslage insgesamt ist, zeigt die aktuelle Umfrage der bitkom; Kurzlink: https://tinyurl.com/nc24-20-bitkom

Informationen und Empfehlungen für Führungskräfte der Allianz für Cyber-Sicherheit siehe Kurzlink:
https://tinyurl.com/nc24-20-sicherheit