Mai 2021, Stephan Tschanz
37% der KMU weltweit sind im Jahr 2020 von Ransomware
befallen worden – in der Schweiz sind es beachtliche 46%.
Die Angreifer wissen, wo es etwas zu holen gibt.
Gestern, 11.5.2021 wurde weltweit vom Ransomware Angriff der DarkSide Gruppe auf die Colonial Pipeline Co. in den USA berichtet. Die Verteilung diverser Treibstoffe von Texas bis zur nördlichen Ostküste wurde dadurch massiv beeinträchtigt, was die Preise für Treibstoffe in die Höhe schnellen lies [5].
Die NZZ hat am 3.5.2021 ebenfalls von einem Ransomeware Angriff kleineren Ausmasses auf ein KMU in der Schweiz berichtet und wie dieses mit der Situation umgegangen ist. Der Artikel zeigt auf, wie ein Ransomware Angriff auf ein Unternehmen abläuft, wie kurzfristig reagiert wurde und wie man zur Wiederherstellung der IT-Systeme schritt [1]. Die Aktualität der Ereignisse hat mich dazu bewogen, über den Stand der Thematik Ransomware, Verbreitung und Risiko zu berichten.
Die Cyber Security Firma Sophos Ltd. hat im April die Umfrageauswertung „State of Ransomware 2021“ publiziert. 46% der befragten Schweizer KMU waren 2020 von Ransomware betroffen (n=100, davon 50 mit 100-1000 und 50 mit 1001-5000 Mitarbeitende). Die durchschnittlichen Kosten, um einen Befall zu beheben, wurden mit 1.43 Millionen USD beziffert, darin sind auch die Opportunitätskosten enthalten. Der weltweite Durchschnitt liegt bei 1.85 Mio USD [3].
Awareness und Risiko
„Gemäss einer Untersuchung des Zürcher GFS-Instituts für Markt- und Sozialforschung ist bereits ein Viertel aller Schweizer KMU Opfer eines Cyberangriffs geworden. Ein Drittel dieser Unternehmen haben einen finanziellen Schaden davongetragen. Dennoch wird das Problem in den Chefetagen zu wenig ernst genommen. Nur gerade 11 Prozent schätzen das Risiko, von Hackern ausser Gefecht gesetzt zu werden, als gross ein. Demgegenüber gibt jeder fünfte Firmeninhaber zu, vom Thema Cybersicherheit keine oder nur wenig Ahnung zu haben.“ [1]
In der Sophos Umfrage haben 1166 Unternehmen angegeben, nicht Opfer eines Angriffs geworden zu sein und sie scheinen auch nicht korrekt informiert zu sein. 55% haben auf die Frage „Wieso erwarten Sie in der Zukunft keinen Ransomware Angriff auf Ihr Unternehmen?“ entweder mit „Wir besitzen air-gapped Backups zur Wiederherstellung“ oder/und mit „Wir besitzen eine Cyber Security Versicherung gegen Ransomware“ geantwortet [3]. Beides schützt nicht vor einem Ransomware Angriff, denn dies sind Vorkehrungen für die Phase nach einem erfolgten Angriff [3]. Das stützt auch die Aussage der Schweizer Studie, dass 1/5 der dort befragten Führungspersonen „[…], vom Thema Cybersicherheit keine oder nur wenig Ahnung zu haben.“ [2]
In der Schweiz zeigen sich auch Unterschiede in der Cyber Security Awareness bezüglich Branchenzugehörigkeit: „Gerade in den Branchen Produktion / verarbeitendes Gewerbe sowie Bau / Immobilien, wo die Leistungserbringung (z.B. Fabrikation und industrielle Anlagen) heute stark von der IT abhängig ist, scheint die Wichtigkeit (zu) gering eingestuft. So schätzen z.B. in der Produktion und im verarbeitenden Gewerbe 42 % der KMU die Wichtigkeit der Cyber-Sicherheit als gering oder neutral ein.“ [2]
Firmengrösse, Region, Professionalisierung
In der Umfrage „Digitalisierung, Home-Office und Cyber Sicherheit in KMU“ [2] geben 25% der Schweizer KMU (4-49 Mitarbeitende) an, Opfer von einem Cyberangriff geworden zu sein. 22% dieser Angriffe sind als Malware/Viren/Trojaner oder Erpressung kategorisiert [2]. Direkt vergleichen lassen sich die Umfragen nicht, doch der Trend lässt sich ausmachen. Gemäss der Sophos Umfrage waren 46% der Schweizer Firmen ab 100 Mitarbeitende im letzten Jahr alleine von Ransomware betroffen. Die Auswertung der Firmen mit 100-1000 Mitarbeitenden zeigt, dass 33% betroffen sind, bei Firmen mit 1001-5000 Mitarbeitende bereits 42%. Je grösser die Firma, desto lukrativer wird die Erpressungssumme eingeschätzt und umso wahrscheinlicher ist ein professioneller Angriff.
Angriffe werden heute von gut organisierten und spezialisierten Akteuren vollzogen. RaaS (Ransomware as a Service) gibt es im Darknet zu mieten, ohne selbst vertieftes technisches Verständnis mitbringen oder sich um den Betrieb der Infrastruktur kümmern zu müssen. Gehackte Accounts (z.B. RDP) von Firmen werden im Darknet von Accounthackern angeboten. Teilweise ist der Professionalisierungsgrad so hoch, dass von Ransomware as a Corporation (RaaC) gesprochen wird (z.B. DarkSide RaaS, eingesetzt im Angriff auf Colonial Pipelines) [4],[6].
Dass Schweizer Firmen überdurchschnittlich oft angegriffen werden (46% vs. weltweit 37%), zeigt ebenfalls, dass bei der Auswahl der Angriffsziele der Wohlstand einer Region miteinbezogen wird. Allgemein sind Firmen in den USA und Westeuropa beliebtere Ziele für professionelle Ransomware Gruppen.
In den nächsten Tagen folgt ein weiterer Post zum Thema – „Ransomware – Vorbeugende Massnahmen“. Update 14.5.2012: Post: „Ransomware – Vorbeugende Massnahmen„.
Die referenzierten Artikel und Umfragen liefern interessante Einblicke in die Ransomeware Thematik, anbei die Referenzen und Links (Zusammengestellt am 11.05.2021):
- NZZ, 03.05.2021 „Hacker kapern Urs Neuhausers Firma mitten in der Nacht. Er sagt „Wir wurden zuvor ausspioniert“„
- „Digitalisierung, Home-Office und Cyber Sicherheit in KMU“ Ein Beitrag zum Verständnis und zur Stärkung von Schweizer KMU mit 4-49 Mitarbeitenden im Umfeld von Corona (COVID-19).
- «The State of Ransomware 2021»
- «Communications of the ACM», Vol. 64, 04.2021, «The Worsening State of Ransomware»
- BBC, 10.05.2021, «US fuel pipeline hackers ‚didn’t mean to create problems‘»
- DarkShadow Blog, 2020.09.22, «DarkSide: The new ransomware group behind highly targeted attacks»
KnowGravity bietet massgeschneiderte Cyber Security Services – den Überblick gibt es hier: „Cyber Security“.