Semperis Ransomware Risk Report

Es gibt auch gute Nachrichten: Die Häufigkeit und der Erfolg von Ransomware-Angriffen sind leicht zurückgegangen. Der ehemalige US-amerikanische Cyber-Direktor und strategische Berater von Semperis, Chris Inglis, sagt allerdings: „Jetzt ist nicht die Zeit für Selbstzufriedenheit. Wahres Bedauern ist nicht, nicht zu wissen, was man hätte tun sollen, sondern nicht das getan zu haben, was man für notwendig hielt und wozu man die Mittel hatte.“

Unternehmen auf der ganzen Welt sehen Cyberangriffe nach wie vor als größte Bedrohung für ihre Geschäftsresilienz an, und die Zunahme der Häufigkeit und Raffinesse dieser Angriffe ist ihr größtes Anliegen im Bereich Cybersicherheit. Glücklicherweise scheinen sich die Führungskräfte in den Unternehmen nun einig zu sein: Die mangelnde Unterstützung des Vorstands für Cybersicherheitsinitiativen – die größte Herausforderung, die von den Befragten im letzten Jahr genannt wurde – ist in der Liste der diesjährigen Anliegen auf den letzten Platz zurückgefallen.

Angreifer drohen mit Gewalt

Opfer, deren Geschäftsbetrieb durch einen Angriff beeinträchtigt wurde, berichteten von verschiedenen Einschüchterungstaktiken, mit denen die Erpresser ihren Lösegeldforderungen Nachdruck verleihen wollten (Mehrfachantworten waren möglich):

Mit jeweils 63 Prozent teilen sich Drohungen, unternehmenseigene oder private Daten zu veröffentlichen (in Deutschland 56 Prozent), sowie Daten zu löschen oder zu zerstören (in Deutschland 59 Prozent), den Spitzenplatz.

Am zweithäufigsten ist mit 52 Prozent die Androhung eines Ausschlusses aus den unternehmenseigenen IT-Systemen (in Deutschland 47 Prozent).

Des Weiteren drohten 47 Prozent der Erpresser damit, eine Beschwerde bei den Aufsichtsbehörden einzureichen, sofern die Opfer den Vorfall nicht melden würden (Deutschland: 31 Prozent).

In 40 Prozent der Fälle drohten Cyberkriminelle ihren Opfern sogar mit physischer Gewalt. Deutschland liegt mit 44 Prozent leicht über diesem Gesamtdurchschnitt. Noch häufiger wurden körperliche Gewaltandrohungen von Studienteilnehmern aus den USA (46 Prozent) und Singapur (59 Prozent) berichtet.

Lösegeld: „Anzahlung für den nächsten Angriff“

Beim Vergleich der Ergebnisse der letztjährigen Ransomware-Studie stellte Semperis fest, dass die Zahl der Unternehmen, die Lösegeld zahlen, im Vergleich zum Vorjahr leicht zurückgegangen ist. Dennoch zahlten 69 Prozent der Unternehmen, die Opfer von Ransomware wurden, ein Lösegeld (in Deutschland waren es 53 Prozent). 38 Prozent zahlten sogar mehrmals, 11 Prozent leisteten drei oder mehr Zahlungen. In Deutschland entschieden sich 53 Prozent der Betroffenen für eine Lösegeldzahlung (2024: 66 Prozent), 14 Prozent leisteten zwei- oder dreimal eine Zahlung (2024: 49 Prozent).

„Obwohl das Zahlen von Lösegeld, insbesondere mehrfach, in Deutschland im Vergleich zum Vorjahr zurückgegangen ist, führt das Geschäftsmodell Ransomware für Angreifer in mehr als der Hälfte der Fälle zum Erfolg und ist nach wie vor überaus lukrativ“, erklärt Aleksandra Hochstein, Area Vice President DACH und Benelux bei Semperis. „Folglich sind Unternehmen gefordert, ihre Abwehr- und Wiederherstellungsfähigkeiten zu verbessern, um künftig die Zahlung von Lösegeld von vornherein für sich ausschließen zu können.“

„Die Zahlung von Lösegeldern sollte niemals die Standardoption sein. Auch wenn einige Umstände Unternehmen in eine Situation bringen können, in der sie keine Wahl haben, sollten wir uns darüber im Klaren sein, dass es sich dabei um eine Anzahlung für den nächsten Angriff handelt. Jeder Dollar, der an Ransomware-Banden ausgegeben wird, befeuert ihre kriminelle Wirtschaft und motiviert sie, erneut zuzuschlagen. Der einzige wirkliche Weg, die Ransomware-Geißel zu brechen, besteht darin, in Widerstandsfähigkeit zu investieren und die Möglichkeit zu schaffen, kein Lösegeld zu zahlen“, sagt Mickey Bresman, CEO von Semperis.

Herausforderungen

Ransomware-Angriffe werden nach wie vor hochgradig koordiniert, strategisch zeitlich abgestimmt und tief in die Systeme eingebettet, bevor sie ausgeführt werden. Dadurch erhalten mehrere Angreifer Zugriff auf mehrere Betriebssysteme und können so mehrere Angriffe ausführen. Unternehmen müssen deshalb ständig in Alarmbereitschaft sein und damit rechnen, dass nicht nur eine, sondern mehrere Sicherheitsverletzungen erfolgreich sein könnten.

50 Prozent aller Befragten nannten Cybersicherheitsbedrohungen als die größte Bedrohung für die Widerstandsfähigkeit von Unternehmen. Die größte Herausforderung für Unternehmen im Bereich der Cybersicherheit ist laut 37 Prozent die Raffinesse der Angriffe, gefolgt von Angriffen auf die Identitätsinfrastruktur von Unternehmen (32 Prozent), am häufigsten Active Directory. Fast 20 Prozent der Unternehmen, die ein Lösegeld zahlten, erhielten entweder unbrauchbare Entschlüsselungsschlüssel oder die Hacker veröffentlichten dennoch gestohlene Daten, obwohl sie zuvor erklärt hatten, dass sie dies nicht tun würden.

Um ihre Widerstandsfähigkeit gegen Ransomware zu erhöhen, sollten Unternehmen die Sicherheit ihrer Partner und Anbieter in der Lieferkette bewerten, da diese das schwächste Glied sein könnten. Wenn Partner und Anbieter Zugriff auf sensible Systeme und Daten haben, steigt das Risiko. Unternehmen sollten auch darauf vorbereitet sein, ihre Taktiken bei der Entwicklung und dem Einsatz von Ransomware zu ändern. Zudem sollten sie regelmäßige Tabletop-Übungen planen, um die Reaktion auf Ransomware zu verbessern.

Jen Easterly, die ehemalige Direktorin der Cybersecurity and Infrastructure Agency (CISA), ist der Meinung, dass es Anzeichen dafür gibt, dass Verteidiger im Kampf gegen Ransomware zunehmend Schlachten gegen kriminelle Unternehmen gewinnen. „Ich glaube, dass wir Ransomware zu einer schockierenden Anomalie machen können. Das ist die Welt, in der ich leben möchte: eine Welt, in der Software-Schwachstellen so selten sind, dass sie es in die nächtlichen Nachrichten, aber nicht in das morgendliche Meeting schaffen. Eine Welt, in der Cyberangriffe so selten sind wie Flugzeugkollisionen. Ich glaube, dass wir das schaffen können.“

There are also good news: the frequency and success of ransomware attacks have declined slightly. However, former US cyber director and strategic advisor to Semperis, Chris Inglis, says: „Now is not the time for complacency. True regret means not knowing what you should have done, but not doing what you thought was necessary and had the means to do.“

Companies around the world continue to view cyberattacks as the biggest threat to their business resilience, and the increase in the frequency and sophistication of these attacks is their biggest concern in the area of cybersecurity. Fortunately, business leaders now seem to agree: the lack of board support for cybersecurity initiatives – the biggest challenge cited by respondents last year – has fallen to the bottom of this year’s list of concerns.

Attackers threaten violence

Victims whose business operations were affected by an attack reported various intimidation tactics used by extortionists to reinforce their ransom demands (multiple answers were possible):

Threats to publish company or private data (56 percent in Germany) and threats to delete or destroy data (59 percent in Germany) tied for first place with 63 percent each.

The second most common tactic, at 52 percent, was the threat of exclusion from the company’s IT systems (47 percent in Germany).

Furthermore, 47 percent of extortionists threatened to file a complaint with the regulatory authorities if the victims did not report the incident (Germany: 31 percent).

In 40 percent of cases, cybercriminals even threatened their victims with physical violence. Germany is slightly above this overall average at 44 percent. Threats of physical violence were reported even more frequently by study participants from the US (46 percent) and Singapore (59 percent).

Ransom: “Down payment for the next attack”

When comparing the results of last year’s ransomware study, Semperis found that the number of companies paying ransom had declined slightly compared to the previous year. Nevertheless, 69 percent of companies that fell victim to ransomware paid a ransom (in Germany, the figure was 53 percent). 38 percent even paid multiple times, with 11 percent making three or more payments. In Germany, 53 percent of those affected decided to pay a ransom (2024: 66 percent), while 14 percent made two or three payments (2024: 49 percent).

“Although ransom payments, especially multiple payments, have declined in Germany compared to last year, the ransomware business model is successful for attackers in more than half of cases and remains extremely lucrative,” explains Aleksandra Hochstein, Area Vice President DACH and Benelux at Semperis. “Consequently, companies are challenged to improve their defense and recovery capabilities so that they can rule out paying ransomware from the outset in the future.”

„Paying ransoms should never be the default option. Even though some circumstances may put companies in a situation where they have no choice, we should be aware that this is a down payment for the next attack. Every dollar spent on ransomware gangs fuels their criminal economy and motivates them to strike again. The only real way to break the ransomware scourge is to invest in resilience and create the ability to not pay ransom,“ says Mickey Bresman, CEO of Semperis.

Challenges

Ransomware attacks continue to be highly coordinated, strategically timed, and deeply embedded in systems before they are executed. This gives multiple attackers access to multiple operating systems, enabling them to carry out multiple attacks. Companies must therefore be constantly on alert and expect that not just one, but several security breaches could be successful.

Fifty percent of all respondents cited cybersecurity threats as the greatest threat to business resilience. According to 37 percent, the biggest challenge for companies in the area of cybersecurity is the sophistication of attacks, followed by attacks on companies‘ identity infrastructure (32 percent), most commonly Active Directory. Nearly 20 percent of companies that paid a ransom either received unusable decryption keys or the hackers published stolen data anyway, even though they had previously stated that they would not do so.

To increase their resilience to ransomware, companies should assess the security of their partners and suppliers in the supply chain, as they could be the weakest link. If partners and suppliers have access to sensitive systems and data, the risk increases. Companies should also be prepared to change their tactics in the development and deployment of ransomware. In addition, they should plan regular tabletop exercises to improve their response to ransomware.

Jen Easterly, former director of the Cybersecurity and Infrastructure Agency (CISA), believes there are signs that defenders are increasingly winning battles against criminal enterprises in the fight against ransomware. “I believe we can make ransomware a shocking anomaly. That’s the world I want to live in: a world where software vulnerabilities are so rare that they make the nightly news but not the morning meeting. A world where cyberattacks are as rare as plane crashes. I believe we can do it.”