Im Jahr 2023 waren 72,2 % der Organisationen weltweit von Ransomware-Angriffen betroffen—die höchste jemals gemeldete Zahl. Das Gesundheitswesen und die Fertigungsindustrie sind besonders betroffen, was zu Datenverlust, Betriebsausfällen und erheblichem Aufwand für die Wiederherstellung führt. Neben den erfolgreichen Angriffen gab es im vergangenen Jahr noch weitaus mehr Angriffsversuche. Weltweit wurden mehr als 300 Millionen Ransomware-Versuche gemeldet, was für Unternehmen aller Branchen ein wachsendes Problem darstellt.
Caroline Wong zufolge besteht der größte Wert von Software darin, dass sie es Menschen ermöglicht, Informationen auszutauschen und miteinander in Kontakt zu treten. Dennoch stellt sie fest, „Software wird von Menschen entwickelt. Und Software ist grundsätzlich unsicher.”
Moderne Software bietet viele Angriffsmöglichkeiten. Deshalb muss sie so entwickelt werden, dass sie vor unbefugtem Zugriff und Attacken geschützt ist. Aber was steht dem im Weg?
Softwareentwickler erstellen Software oft unter Zeitdruck. Auf ihrer langen Liste von Schwachstellen, darunter auch Sicherheitslücken, bleiben einige bis zur Freigabe der Programme bestehen. „Es ist immer eine Abwägung zwischen Sicherheit und Profit", sagt Caroline Wong.
Wie bei jeder anderen Budgetentscheidung stellt sich auch hier die Frage, wie die verfügbaren finanzielle Mittel eingesetzt werden soll. Sie können für einen Ingenieur, einen Vertriebsmitarbeiter, eine Marketingkampagne ausgegeben werden—oder für die Behebung eines Sicherheitsfehlers.
„Diese Entscheidung ist eine Herausforderung und es geht dabei um Risikomanagement”, fasst Caroline Wong zusammen. Die NIS2-Richtlinie wird diese Überlegungen in der EU aufgreifen und Organisationen, die in der EU in wesentlichen und wichtigen Sektoren tätig sind, verpflichten, ihre Vermögenswerte zu sichern.
Sehen Sie sich dieses Video (EN) an: How to prepare for NIS2
Davon auszugehen, dass Ihr Unternehmen nicht betroffen sein wird, kann schwerwiegende Folgen haben. Die heutige Cyberumgebung erfordert einen realistischen Blick auf die Wahrscheinlichkeit von Ransomware-Angriffen.
Caroline Wong erklärt: „Die häufigste Annahme, insbesondere unter denjenigen, die nicht im Bereich der Cybersicherheit arbeiten, ist, dass Hackerangriffe ungewöhnlich sind und selten vorkommen.” In Wirklichkeit werden Einzelpersonen und Organisationen ständig gehackt. „Jeder ist verwundbar, ob wir nun Verbraucher sind oder Vertreter der Organisationen, mit denen wir arbeiten”, fügt Wong hinzu.
Für diejenigen, die die Ransomware-Angriffe ausführen, ist es ein Geschäftsmodell. Sie berechnen die Wahrscheinlichkeit, dass ein Teil ihrer Zielpersonen für den Angriff anfällig ist, und versuchen sich dies zunutze zu machen.
Das Geschäftsmodell „Ransomware as a Service" (RaaS) existiert seit über einem Jahrzehnt. An diesem System sind zwei Akteursgruppen beteiligt. Die Hacker erstellen Ransomware-Modelle und verkaufen diese an Partnerunternehmen. Die Partner nutzen diese Modelle dann, um ihre Opfer eigenständig anzugreifen.
Der Hacker, der die Erpressersoftware entwickelt hat, wird für eingebrachtes Lösegeld bezahlt. Im ersten Quartal 2022 gab es weltweit 31 RaaS-Gruppen. Es ist zu erwarten, dass diese Zahl inzwischen noch höher liegt, was die fortgeschrittenen Taktiken der Cyberbedrohungen verdeutlicht.
Das könnte Sie auch interessieren: Vorsicht bei E-Mail-Betrug: Phishing erkennen & vermeiden
Heutzutage müssen umfangreiche Kontrollmaßnahmen nachgewiesen werden, statt Versicherungen nur ein Zertifikat oder einen Prüfbericht vorzulegen. Kunden haben Schwierigkeiten, ihre Verträge zu verlängern und im Falle eines Angriffs Versicherungsschutz zu erhalten. An diesem Punkt stellt sich die Frage, ob der Abschluss einer Cyberversicherung zum Schutz Ihres Unternehmens vor Ransomware-Bedrohungen sinnvoll ist.
Das Konzept einer Versicherung erscheint vielversprechend, wenn es um den Umgang mit hochentwickelten Cyberbedrohungen wie Ransomware-Angriffen geht. Dennoch ist es nicht so einfach, wie es vielleicht scheint.
„Ich bin der Meinung, dass eine Cyberversicherung eine wichtige Kontrollinstanz für Unternehmen ist. Ich glaube jedoch nicht, dass es vernünftig ist, eine Cyberversicherung zu haben und sonst nichts”, argumentiert Caroline Wong. Aber warum ist das so?
Ob Krankenversicherung, Kfz-Versicherung oder Wohngebäudeversicherung, die meisten Versicherungsarten haben etwas gemeinsam: Fragebögen. Die Ergebnisse dieser Fragebögen bestimmen Ihre Tarife.
Was die Cybersicherheit von diesen Versicherungen unterscheidet, ist, dass sie sich so schnell verändert. „Im Jahr 2023 lag die durchschnittliche Lösegeldzahlung bei Ransomware-Angriffen bei 400.000 Dollar, in der ersten Hälfte des Jahres 2024 waren es bereits 2 Millionen Dollar”, sagt Caroline Wong. Die Versicherungsanbieter müssen ihr eigenes Geschäft trotz dieser rasanten Veränderungen profitabel halten. Deshalb legen sie streng fest, welche Sicherheitskontrollen implementiert und welche Nachweise erbracht werden müssen, damit ein Versicherungsanspruch anerkannt wird.
Sie sollten die Cyberversicherung nicht als etwas betrachten, das Sie für Ihr Unternehmen kaufen. Betrachten Sie sie stattdessen als eine strategische Partnerschaft. Sie sollten genau darüber Bescheid wissen, wann die Versicherung zahlt und wann nicht.
Mit diesen Informationen im Hinterkopf können Sie strategische Entscheidungen darüber treffen, was Sie absichern müssen, und entsprechende Maßnahmen ergreifen. Schützen Sie zuerst Ihre wertvollsten Vermögenswerte. Finden Sie heraus, was Ihrer Organisation am meisten schaden kann — und beginnen Sie dort.
Wenn ein Angreifer Sie auffordert, im Austausch für Ihre Daten oder den Zugang zu Ihren Systemen Lösegeld zu zahlen, mag das wie eine schnelle Behebung des Problems erscheinen. Aber welche Folgen hat es?
Einer der Akteure, der von der Lösegeldzahlung profitiert, ist derjenige, der die Erpressersoftware entwickelt. Beim „Ransomware as a Service”-Geschäftsmodell verdienen diese Personen Geld mit der Bereitstellung der Hacker-Tools. Sie sind jedoch nicht die einzigen, die davon profitieren, dass Privatpersonen und Unternehmen Lösegeld zahlen.
Lösegeldzahlungen finanzieren auch kriminelle Aktivitäten im Dark Web, Terrorismus und andere kriminelle Handlungen, mit denen Sie und Ihr Unternehmen keinesfalls in Verbindung gebracht werden möchten.
„Wir haben die Wahl, wohin unser Geld fließt, und es liegt in unserer Verantwortung, darüber nachzudenken, was mit unserem Geld geschieht”, sagt Caroline Wong, wobei sie sich des ethischen Dilemmas bewusst ist, in das man geraten kann, wenn das Leben anderer Menschen vom Betrieb der eigenen Systeme abhängt.
Die Beteiligung an dieser Art von Transaktionen ermutigt zudem weiteres kriminelles Verhalten. Außerdem schützt nichts davor, dass ein erneuter Angriff nach der Zahlung des Lösegelds erfolgt. Aus diesem Grund ist es nie eine gute Idee, das Lösegeld zu zahlen.
ISO 27001 ermöglicht es Unternehmen, Risiken zu managen und die Sicherheit innerhalb ihrer Organisation zu operationalisieren. Daher kann der internationale Sicherheitsstandard auch ein Baustein in Ihren Bemühungen sein, Ihre Organisation vor Ransomware zu schützen.
Ihr IT-Sicherheitsteam ist viel beschäftigt und tut sein Bestes, um Ihr Unternehmen vor Bedrohungen zu schützen. Aber woher wissen Sie, dass es sich auf die richtigen Themen konzentriert? „Das ist einer der Punkte, der das Thema Sicherheit so kompliziert macht. Es scheint so, als gäbe es eine unendlich lange Liste von Dingen zu tun”, erklärt Caroline Wong.
Vor allem bei einem begrenzten Budget kann es schwierig sein, zu entscheiden, welche Prioritäten gesetzt werden sollen. Das Heranziehen eines internationalen Standards wie ISO 27001 hilft Ihnen, Stakeholdern zu erklären, warum Sie sich für bestimmte Investitionen und Sicherheitskontrollen entschieden haben.
Bei der Umsetzung des ISO-27001-Standards sollten Sie sich auf das konzentrieren, was für Ihre Organisation am wichtigsten ist. Denken Sie zuerst an Ihre wichtigsten Prozesse und Assets. Wenn diese aufgrund von Bedrohungen wie einem Ransomware-Angriff nicht mehr verfügbar wären, sollten Sie sich zuerst darum kümmern. Es ist unmöglich, alle Vermögenswerte an einem Tag zu sichern. Betrachten Sie also die kritischen Einnahmequellen und Assets und konzentrieren Sie sich zuerst auf deren Schutz.
Die ISO-27001-Zertifizierung ist ein umfassender und unkomplizierter Ausgangspunkt für die Operationalisierung Ihrer Sicherheitsbemühungen und den Nachweis Ihres Engagements gegenüber Ihren Kunden. Dennoch sollte sie nicht das Endziel sein.
Die Grundsätze des Standards müssen tief in die Unternehmenskultur und die täglichen Abläufe eingebettet werden. Um den langfristigen Erfolg Ihres Unternehmens zu sichern, müssen Sie über Zertifizierungen hinausgehen. Die Sicherung Ihres Unternehmens ist eine fortlaufende Aufgabe, die Ihre Informationsressourcen vor den aktuellen Bedrohungen schützt.
Eine Cyberversicherung schützt nicht vor Angriffen. Angreifer passen sich schnell an, was die Versicherung zu einer reaktiven Maßnahme macht. Ohne die Implementierung notwendiger Schutzmaßnahmen können Versicherungsansprüche scheitern.
Nutzen Sie die Versicherung als strategisches Mittel, nicht als alleinige Lösung. Investieren Sie in proaktive Maßnahmen, um kritische Vermögenswerte zu schützen und die Abhängigkeit von Versicherungsansprüchen zu verringern.
Die Zahlung von Lösegeld finanziert kriminelle Aktivitäten und ermutigt zu weiteren Angriffen. Es gibt keine Garantie für die Wiederherstellung von Daten oder die Verhinderung künftiger Vorfälle. Vermeiden Sie die Zahlung von Lösegeld, stärken Sie Ihre Sicherheit und bereiten Sie sich stattdessen mit Präventionsstrategien auf mögliche Angriffe vor.
Ja, ISO 27001 hilft beim Risikomanagement und bei der Umsetzung von Sicherheitskontrollen. Damit bietet es einen strukturierten Ansatz zum Schutz Ihrer Organisation vor Cyberangriffen.
Der internationale Standard bildet einen klaren Ausgangspunkt für Sicherheitsbemühungen und ermöglicht es Ihnen, sich auf kritische Vermögenswerte zu konzentrieren und Ihren Stakeholdern gegenüber Sicherheitsinvestitionen zu erklären. Schaffen Sie so eine solide Sicherheitsgrundlage.
ISO 27001 bietet einen Grundstein, ist aber keine vollständige Lösung. Sicherheit erfordert fortlaufende Bemühungen und kontinuierliche Verbesserungen über die Zertifizierung hinaus. Verankern Sie Sicherheitspraktiken in der Unternehmenskultur und im Tagesgeschäft, um einen proaktiven Ansatz zu fördern. Passen Sie sich laufend an neue Bedrohungen an, um den langfristigen Schutz Ihrer Informationswerte zu gewährleisten.