Ende Oktober veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen jährlichen Bericht zur Lage der IT Sicherheit. Mit dem Bericht leistet das BSI immer einen wichtigen Beitrag, um das Risikobewusstsein der Gesellschaft und Wirtschaft zu schärfen. Im zurückliegenden Berichtszeitrum zeigte sich eine Situation, die von angespannt bis kritisch geprägt war. Die Bedrohung im Cyberraum ist damit aktuell auf einem bisher nie dagewesenen Höchststand.

Ransomware ist immer noch die Hauptbedrohung, besonders für kleine und mittlere Unternehmen (KMUs) sowie Kommunalverwaltungen und kommunale Betriebe. Diese sind überdurchschnittlich oft angegriffen worden. Der Hintergrund hierfür liegt in der vermutenden Tendenz, den Weg des geringsten Widerstands im Umfeld kleiner und mittelständischer Unternehmen (KMUs) zu wählen. Nicht das höchstmögliche Lösegeld stand im Vordergrund, sondern das rationale Kosten-Nutzen-Kalkül.

Das wird noch dadurch verstärkt, dass sich eine cyberkriminelle Schattenwirtschaft etabliert hat und sich fortlaufend weiterentwickelt. Einzelne Kollektive spezialisieren sich auf einen Baustein in der Angriffskette und erwerben weitere notwendige Werkzeuge. Diese Arbeitsteilung der cyberkriminellen Anbieter führt zu einer doppelten Skalierung der Bedrohung. 

Zusätzlich verstärkt wird dieser Trend durch die fortschreitende Digitalisierung und Vernetzung. Täglich wurden durchschnittlich 70 neue Schwachstellen entdeckt. Davon waren 15 Prozent kritisch. 

Ransomware bleibt auch weiterhin die vorrangige Bedrohung

Die Effektivität von Ransomware beruht auf einer tiefgehenden Infiltrierung mit unmittelbaren Auswirkungen, die mit der Verschlüsselung elementarer Datenbestände endet.

Das bedeutet in der Regel einen Stillstand der Unternehmensprozesse und damit einen hohen Druck auf Schadensbegrenzung. Dies wird verstärkt durch den vorherigen Diebstahl von Daten und die Drohung zur Veröffentlichung dieser sensiblen Informationen. Trotz Zahlung eines Lösegelds (Schweigegelds) gelten die Daten dauerhaft als kompromittiert, weil sie oft versteigert oder an andere Angreifer weiterverkauft werden. Teilweise wird sogar auf Verschlüsselung verzichtet. Vermutlich um schneller von der initialen Infektion zur Erpressung von Schweigegeld überzugehen. 

Neu hinzugekommen ist ein Datenschutzaspekt. Angreifer drohen mit einer Meldung bei der zuständigen Datenschutzaufsichtsbehörde, weil beispielsweise den Meldepflichten im Rahmen eines Angriffs nicht nachgekommen wurde, oder sensible Daten unzureichend abgesichert wurden. 

Wie bereits zuvor erläutert, ist die Bedrohung so hoch wie nie zuvor. Besondere Beachtung sollte deshalb den empfohlenen Schutzmaßnahmen des BSI eingeräumt werden. Ab Punkt 4.1.4 im Lagebericht finden Sie Empfehlungen gegen diese sechs gängigen Angriffsphasen eines Ransomware Angriffs:

• Einbruch
• Rechteerweiterung
• Ausbreitung
• Datenabfluss
• Verschlüsselung
• Incident Response

Die beschriebenen Gegenmaßnahmen und Empfehlungen des BSI sind letztlich Standardmaßnahmen, die jede verantwortliche Stelle bereits etabliert haben sollte. Wir unterstützen Sie jederzeit bei der Auswahl der geeigneten und verhältnismäßigen Lösungen. Denn eines ist sicher, die Bedrohungslage wird sich noch weiter verschärfen.