Die Kosten von Ransomware: Warum jedes Unternehmen auf die eine oder andere Weise zahlt

Ransomware ist eine der verheerendsten Cyberbedrohungen, denen Unternehmen heute ausgesetzt sind. Sie kann den Systemen, Daten und dem Ruf eines Unternehmens irreparablen Schaden zufügen, und der finanzielle Schaden kann erheblich sein.

Lassen Sie uns die finanzielle Bedeutung von Ransomware-Angriffen untersuchen, die weit über Lösegeldzahlungen hinausgeht. Selbst Opfer, die sich weigern zu zahlen, müssen für die Dauer des Vorfalls selbst, während des gesamten Eindämmungs- und Wiederherstellungsprozesses und möglicherweise auch noch Wochen und Monate danach mit erheblichen Kosten und Einnahmeausfällen rechnen.

Ransomware-Angriffe können durch direkte und indirekte Kosten katastrophale finanzielle Auswirkungen auf Unternehmen haben. Zu den direkten Kosten gehören in der Regel die Kosten für das gezahlte Lösegeld (als Gegenleistung für einen Entschlüsselungscodes zum Entsperren der verschlüsselten Daten, für das Versprechen, die Drohungen, gestohlene Daten weiterzugeben oder einen Denial-of-Service-Angriff auf die öffentlichen Server des Unternehmens zu starten, nicht weiterzuverfolgen usw.) sowie die Kosten für die Beauftragung von Experten zur Entfernung der Malware und Wiederherstellung der betroffenen Systeme. Zu den indirekten Kosten gehören Produktivitäts- und Umsatzeinbußen aufgrund von Ausfallzeiten, Rufschädigung, Bußgelder für Verstöße gegen die Compliance und Rechtskosten.

Direkte Kosten

Eines der höchsten Lösegelder, die öffentlich bekannt wurden, waren die 70 Millionen Dollar, die bei dem Revil-Ransomware-Angriff auf den Softwareanbieter Kaseya gefordert wurden. Die Lösegeldforderungen variieren stark, je nachdem, wie raffiniert der Angreifer ist und wie viele Informationen er darüber gesammelt hat, wie viel sich das Ziel leisten kann - von Tausenden bis hin zu Zigmillionen von Dollar.

Die Lösegeldforderung wird manchmal als Prozentsatz des Jahresumsatzes des Zielunternehmens festgelegt (normalerweise 3 %).

Nach Schätzungen von Experten macht die Lösegeldzahlung nur einen kleinen Teil - oft nur 15 % - der mit einem Ransomware-Angriff verbundenen Gesamtkosten aus.

Indirekte Kosten

Die Kosten für Ausfallzeiten und die Wiederherstellung verlorener Daten nach einem Ransomware-Angriff machen in der Regel einen weitaus größeren Teil der Gesamtkosten eines Ransomware-Angriffs aus. Nach einem Ransomware-Vorfall benötigt ein Unternehmen im Durchschnitt 22 Tage, um den Betrieb wieder aufzunehmen. Die durchschnittlichen Kosten für die Ausfallzeit können häufig das Fünfzigfache des geforderten Lösegelds betragen.

Nach einem Ransomware-Angriff muss sich das gesamte Unternehmen auf die Wiederherstellung konzentrieren, angefangen bei den IT-Teams, die verschlüsselte oder beschädigte Daten wiederherstellen und den Betrieb wieder aufnehmen, bis hin zu den Teams aus Marketing, Rechtsabteilung, Personalabteilung und anderen Organisationen, die sich um Krisenmeldungen kümmern. Zu den zusätzlichen Kosten, die durch Ransomware entstehen können, gehören entgangene Absatzchancen, eine geringere Produkt- oder Dienstleistungsproduktion, Rufschädigung, Honorare für externe Berater und Auftragnehmer zur Beschleunigung der Wiederherstellungsmaßnahmen, der Verlust von Eigenkapital in börsennotierten Unternehmen, Geldbußen von Aufsichtsbehörden wegen des Versäumnisses, Kundendaten zu schützen, oder andere Compliance-Verstöße, Strafen, die an Kunden für die Nichteinhaltung von Service Level Agreements gezahlt werden, und so weiter.

Darüber hinaus zeigen Ransomware-Angriffe Schwachstellen in der Cybersicherheitsverteidigung eines Unternehmens auf. Dies erfordert eine Analyse forensischer Daten, um die Schwachstelle zu identifizieren, die den Angriff ermöglichte, die Ausarbeitung eines Plans zur Schließung dieser Lücken, um eine Wiederholung eines ähnlichen Angriffs zu verhindern, und dann die notwendigen zusätzlichen Investitionen in Cybersicherheitstechnologie, -prozesse und -mitarbeiter, um den Sanierungsplan umzusetzen.

Es wird erwartet, dass die durchschnittlichen weltweiten Kosten einer Datenschutzverletzung - ohne die tatsächliche Lösegeldzahlung - im Jahr 2023 5 Millionen Dollar erreichen werden.

Bei der Schätzung der Kosten zerstörerischer Cyberangriffe gibt es keine pauschale Antwort. Der finanzielle Verlust, den Unternehmen erleiden, kann in Abhängigkeit von verschiedenen Faktoren sehr unterschiedlich ausfallen, darunter:

• Die Art der Daten, die bei dem Angriff verschlüsselt oder kompromittiert wurden. Wenn wichtige Daten verschlüsselt wurden, muss das Unternehmen möglicherweise ein Lösegeld zahlen, um sie zurückzubekommen, oder die Kosten für die Wiederbeschaffung übernehmen, wenn sie nicht aus dem verschlüsselten Zustand wiederhergestellt werden können.

• Bußgelder, insbesondere bei Verlust oder Offenlegung besonders sensibler Daten.

• Produktivitäts- und Umsatzeinbußen sowie andere Kosten, die dadurch entstehen, dass das Unternehmen nicht in der Lage ist, seinen normalen Geschäftsbetrieb zu führen.

• Schädigung des Rufs. Kunden und Partner könnten sich aufgrund von Befürchtungen in Bezug auf die Datensicherheit dazu entschließen, ihre Beziehungen zu dem Unternehmen zu verringern oder zu beenden; potenzielle Kunden könnten schwebende Geschäfte verzögern oder aufgeben; negative Publicity könnte das Vertrauen der Anleger und den Aktienkurs beeinträchtigen.

Wenn Unternehmen sich die Zeit nehmen, all diese Faktoren zu prüfen, können sie sich ein besseres Bild davon machen, wie viel sie ein erfolgreicher Angriff einer Ransomware-Bande kurz- und langfristig kosten könnte und warum es notwendig ist, einen Plan zur Reaktion auf einen Vorfall zu erstellen.

Wenn Unternehmen ein Lösegeld zahlen, glauben sie vielleicht, dass sie damit das von der Cyberattacke ausgehende Risiko vollständig beseitigen. Dies ist aus mehreren Gründen eine gefährliche Illusion:

• Die Angreifer haben möglicherweise immer noch aktiven Zugriff auf die Systeme und Daten des Unternehmens.

• Die Angreifer haben möglicherweise sensible Daten exfiltriert, die sie ohne Bezahlung öffentlich zugänglich machen könnten.

• Die Zahlung des Lösegelds ist keine Garantie dafür, dass die Angreifer keine weiteren Angriffe mehr starten werden.

• Die Zahlung des Lösegelds kann andere Angreifer ermutigen, das Unternehmen ins Visier zu nehmen.

Es gibt viele Beispiele für die finanziellen Auswirkungen von Ransomware-Angriffen auf Unternehmen jeder Branche, jeder Region und jeder Größe.

Nach Angaben des US-Justizministeriums sind in etwa 75 % aller Ransomware-Fälle kleine Unternehmen betroffen. Jüngste Untersuchungen zeigen, dass 60 % der kleinen Unternehmen, die Opfer von Cyberangriffen werden, innerhalb von sechs Monaten ihre Geschäftstätigkeit aufgeben.

• Im September 2022 übernahm die Ransomware-Bande Hive die Verantwortung für vier Opfer innerhalb einer Woche. Die Angreifer verschafften sich Zugang zu den Systemen von Empress EMS (Emergency Medical Services), einem in New York ansässigen Anbieter von Notdiensten und Krankenwagen. Mehr als 320.000 Personen waren von diesem Vorfall betroffen.

• Damart, ein französisches Bekleidungsunternehmen mit über 130 Filialen weltweit, wurde 2022 von einem Ransomware-Angriff betroffen, bei dem die Angreifer ein Lösegeld von 2 Millionen US-Dollar forderten. Infolge der Ransomware-Infektion war das Unternehmen nicht mehr in der Lage, neue Bestellungen zu bearbeiten, und der Kundensupport war nicht mehr verfügbar.

• Nvidia wurde im Jahr 2022 Opfer eines Ransomware-Vorfalls, bei dem Mitarbeiterdaten und geschützte Informationen online durchsickerten. Die Ransomware-Gruppe Lapsus$ behauptete, ein Terabyte an Daten des Unternehmens exfiltriert zu haben, und verlangte ein Lösegeld in Höhe von 1 Million US-Dollar plus einen Prozentsatz einer nicht näher bezeichneten Gebühr.

• Das Lincoln College in Lincoln, Illinois, musste nach einem Ransomware-Angriff im Dezember 2021 seine Pforten schließen, da alle Systeme für die Rekrutierung, Bindung und Mittelbeschaffung blockiert waren.

Diese Beispiele verdeutlichen die unterschiedlichen finanziellen Auswirkungen und tatsächlichen Kosten, die Ransomware-Angriffe auf Unternehmen haben können, je nach Größe und Art des Unternehmens, dem Ausmaß des Angriffs und der Reaktion auf den Angriff.

Der Gesundheitssektor ist häufig Ziel von Ransomware-Angriffen

Ransomware-Angreifer haben es auf Opfer in allen Branchen abgesehen, wobei bestimmte vertikale Sektoren aufgrund ihrer Anfälligkeit für bestimmte äußere Einflüsse bevorzugt werden, z. B. Gesundheitswesen, Finanzen, Behörden, Bildung und Technologie.

Gesundheitsbranche: Krankenhäuser verfügen oft über sensible Patientendaten, die von Angreifern ausgenutzt werden können, und viele sind in Bezug auf die Cybersicherheit weniger gut geschützt als andere Branchen. Die Sperrung von Gesundheitssystemen kann das Leben von Patienten gefährden.

Finanzen: Banken und andere Finanzinstitute speichern vertrauliche Kundendaten. Angreifer können diese Finanzdaten dann nutzen, um Geld von den Opfern zu erpressen oder Identitätsdiebstahl zu begehen. Branchen- und staatliche Aufsichtsbehörden können Unternehmen, die gegen die Datenschutzbestimmungen verstoßen, mit empfindlichen Strafen belegen.

Regierungsbehörden: Staatliche Einrichtungen und Behörden besitzen oder verwalten häufig kritische Infrastrukturdaten oder geheime Informationen, und Angreifer können diese Daten nutzen, um Opfer zu erpressen oder den Betrieb zu stören. Politische Entscheidungsträger reagieren empfindlich auf öffentliche Reaktionen, wenn kritische Dienste ihrer Wähler für längere Zeit offline sind.

Bildungseinrichtungen: Bildungseinrichtungen bewahren häufig personenbezogene Daten (PII) oder Forschungsunterlagen auf. Angreifer können diese Informationen nutzen, um Geld von den Opfern zu erpressen oder sie auf dem Schwarzmarkt zu verkaufen. Budget- und IT-Personalbeschränkungen sowie die Tendenz von Studenten, unvorsichtig mit den Websites umzugehen, auf die sie zugreifen, und mit den Anwendungen, die sie herunterladen, schaffen ein technisches Umfeld mit weitaus mehr Schwachstellen als in der kommerziellen Welt üblich.

Technologie: Technologieunternehmen leiden unter vielen der gleichen Probleme wie andere Unternehmen: Sie haben möglicherweise Schwierigkeiten, mit dem Patchen bekannter Schwachstellen Schritt zu halten und die neuesten Sicherheitsbedrohungen abzuwehren. Das Risiko eines Imageschadens ist jedoch größer als bei anderen Unternehmen: Kunden, potenzielle Kunden und Partner sind eher geneigt, ein Technologieunternehmen zu verlassen, von dem bekannt ist, dass es einen erfolgreichen Ransomware- oder Malware-Angriff erlebt hat.

Einem aktuellen Bericht zufolge haben Ransomware-Angriffe im Jahr 2022 drastisch zugenommen - 25 % aller Sicherheitsverletzungen betrafen Ransomware. Darüber hinaus waren im Jahr 2021 66 % der Unternehmen von Ransomware betroffen - ein Anstieg von 78 % gegenüber 2020.

Die durchschnittliche Lösegeldforderung ist drastisch gestiegen, da die Angreifer erkannt haben, dass viele Unternehmen bereit sind zu zahlen, um die mit einem Ransomware-Angriff verbundenen erheblichen Unterbrechungen und Kosten zu vermeiden. So berichtete die Washington Post, dass die Ransomware-Zahlungen im Jahr 2021 um 70 Prozent angestiegen sind.

Das Aufkommen von Kryptowährungen wie Bitcoin ist ein weiterer wichtiger Faktor für den Erfolg von Ransomware-Banden und ihre Fähigkeit, weiterhin ungehindert von Strafverfolgungsbehörden zu operieren. Lösegeldzahlungen in Kryptowährungen lassen sich nur schwer zurückverfolgen und können leicht in Bargeld umgewandelt werden. Darüber hinaus operieren viele Cyberkriminelle größtenteils über das Dark Web.

Ransomware-Angreifer verlassen sich nicht mehr nur auf Verschlüsselungsangriffe, um Lösegeld von ihren Zielen zu erpressen. Zunehmend exfiltrieren die Angreifer im Stillen eine erhebliche Menge sensibler Daten, bevor sie den Ransomware-Angriff auslösen. Unabhängig davon, ob das Opfer bereit ist, für den Entschlüsselungscode zu zahlen, ist es viel wahrscheinlicher, dass es zahlt, um den Angreifer daran zu hindern, sensible Daten online zu veröffentlichen und das Unternehmen verschiedenen rechtlichen Risiken sowie Reputations- und Compliance-Risiken auszusetzen.

Es gibt zahlreiche Beispiele für solche Angriffe. So wurde Optus, eine Tochtergesellschaft von Singtel und Australiens zweitgrößter Mobilfunkbetreiber (mit über 10,5 Millionen Abonnenten), im September 2022 Opfer einer Sicherheitsverletzung. Die Angreifer behaupteten, die Daten von 11 Millionen Kunden erlangt zu haben, und forderten 1 Million Dollar Lösegeld.

Marriott International enthüllte, dass die privaten Informationen von 500 Millionen Gästen im Jahr 2022 durch eine Datenpanne gestohlen wurden. Als Twitter gehackt wurde, wurden Dutzende von hochkarätigen Konten übernommen, um Menschen um Kryptowährung zu betrügen.

Die durchschnittliche Ransomware-Zahlung ist schwer genau zu schätzen. Nicht alle Angriffe werden gemeldet, und die entstandenen Kosten können je nach Größe und Art des Zielunternehmens, der Menge der verschlüsselten Daten und des geforderten Lösegelds stark variieren. Einigen Schätzungen zufolge könnten sich die Kosten von Ransomware-Angriffen jedoch auf mehrere Milliarden Dollar pro Jahr belaufen.

Laut dem Acronis 2022 End-of-Year Cyberthreats Report betrugen die durchschnittlichen Gesamtkosten einer Datenschutzverletzung in den Vereinigten Staaten fast 9,5 Millionen US-Dollar. Wie bereits erwähnt, wird erwartet, dass die durchschnittlichen Kosten pro Vorfall weltweit im Jahr 2023 über 5 Millionen US-Dollar liegen werden.

In ihrem Ransomware-Marktbericht 2022 sagen die Branchenanalysten von Cybersecurity Ventures voraus, dass Ransomware ihre Opfer bis 2031 insgesamt 265 Milliarden US-Dollar pro Jahr kosten wird.

Nach Daten, die Statista in einer Umfrage unter IT-Experten weltweit im Jahr 2022 zusammengestellt hat, haben rund 72 % der Befragten ein Lösegeld gezahlt und ihre kompromittierten Daten wiederhergestellt.

Im Vergleich zu 2021 gingen die Ransomware-Zahlungen im Jahr 2022 jedoch um mehr als 40 % zurück, da die Opfer sich weigerten, ihre Erpresser zu bezahlen, so das Blockchain-Analyseunternehmen Chainalysis. Laut dem 2023 Crypto Crime Report des Unternehmens erpressten Ransomware-Angreifer im Jahr 2022 456,8 Millionen US-Dollar von Opfern. Dies ist ein deutlicher Rückgang gegenüber 765,6 Millionen US-Dollar im Jahr 2021 und 765 Millionen US-Dollar im Jahr 2020.

Cyber-Versicherungspolicen können Ransomware-Angriffe abdecken, aber die spezifische Deckung und die Bedingungen dieser Policen können je nach Versicherer und der erworbenen Police variieren. Einige Policen decken zum Beispiel Lösegeldzahlungen ab, während andere nur die Kosten für die Wiederherstellung von Daten oder Systemen abdecken.

Viele Cyber-Versicherungspolicen decken zwar Ransomware-Angriffe ab, aber die Tarife für diese Policen sind in den letzten Jahren drastisch gestiegen. Dies ist auf die steigende Zahl von Cyberangriffen auf der ganzen Welt zurückzuführen. Die Versicherungsgesellschaften verstehen die Risiken von Online-Geschäften besser und verlangen daher höhere Versicherungsprämien.

Die Kosten für die Wiederherstellung nach einem Ransomware-Angriff können je nach Umfang und Schwere des Vorfalls stark variieren, und die Zahlung eines Lösegelds ist nicht der einzige Kostenfaktor.

Die Kosten für die Wiederherstellung von Ransomware umfassen nicht nur die Lösegeldzahlungen, sondern auch die Ausgaben für die Wiederherstellung von Daten, die Systemwiederherstellung, die Einhaltung rechtlicher und behördlicher Vorschriften sowie die Schädigung des Rufs. Einigen Berichten zufolge belaufen sich die durchschnittlichen Kosten eines Ransomware-Angriffs auf 4,54 Millionen US-Dollar - ohne die Kosten für Lösegeldzahlungen, die durchschnittlich 812.360 US-Dollar betragen.

Es gibt eine Reihe von Methoden, um sich von einem Ransomware-Angriff zu erholen, aber die wichtigste Voraussetzung ist eine gute Sicherungs- und Notfallwiederherstellungsstrategie, damit Sie Ihre Daten wiederherstellen können, wenn sie verschlüsselt wurden.

Außerdem sollten Sie Antiviren-, Anti-Malware- und Zwei-Faktor-Authentifizierungssoftware installieren lassen, um die Erstinfektion zu verhindern. Darüber hinaus ist es wichtig, Maßnahmen zu ergreifen, um wiederholte Angriffe zu verhindern, da die Kosten für die Vorbeugung in der Regel weitaus geringer sind als die Kosten für die Wiederherstellung.

Nicht nur große Unternehmen mit beträchtlichen Ressourcen werden Opfer von Cyberangriffen, sondern auch kleinere Unternehmen mit knapperen Budgets und weniger extensiven Fachkenntnissen sind davon betroffen.

Unabhängig von der Größe Ihres Unternehmens ist ein robuster Plan für die Sicherung und Wiederherstellung von Daten im Katastrophenfall unerlässlich, um die Kontinuität des Geschäftsbetriebs zu gewährleisten. Dies ermöglicht eine schnelle Wiederherstellung Ihrer Daten im Falle eines Systemausfalls.

Weitere wichtige Maßnahmen zum Schutz Ihrer Daten sind:

• Aufklärung der Mitarbeiter über Ransomware und deren Funktionsweise. Die Mitarbeiter sollten sich der Risiken bewusst sein, die mit dem Öffnen von E-Mail-Anhängen und dem Anklicken von Links aus unbekannten Quellen verbunden sind.

• Implementierung von Sicherheitsmaßnahmen wie Firewalls, Systeme zur Erkennung und Verhinderung von Eindringlingen, mehrstufige Authentifizierung und E-Mail-Filterung.

• Halten Sie Ihre Systeme und Software mit den neuesten Sicherheits-Patches auf dem neuesten Stand. Dies hilft, bekannte Schwachstellen zu schließen, die Angreifer ausnutzen könnten.

Ransomware ist eine sich ständig weiterentwickelnde Bedrohung, und kleine Unternehmen sollten proaktive Maßnahmen zum Schutz vor finanziellen Verlusten ergreifen.

Durch Investitionen in Cybersicherheitslösungen, die Schulung von Mitarbeitern zur Erkennung verdächtiger Aktivitäten, zuverlässige Backups zur Datenwiederherstellung und einen umfassenden Plan zur Bewältigung dieser Bedrohungen können Unternehmen die mit Ransomware-Angriffen verbundenen Kosten reduzieren.

Acronis Cyber Protect ist eine integrierte und kosteneffiziente Cyberschutzlösung, die künstliche Intelligenz (KI) nutzt, um bösartige Aktivitäten zu erkennen und Unternehmen davor zu bewahren, Opfer von Ransomware-Angriffen zu werden. Sie analysiert das Verhalten von Dateien und Anwendungen auf einem System, beendet bösartige Prozesse und macht den entstandenen Schaden automatisch rückgängig.

Es enthält eine robuste Anti-Ransomware-Engine, die proaktiv Versuche erkennt und blockiert, Ihre Daten zu verschlüsseln oder zu löschen, und schützt vor anderen Arten von Malware. Darüber hinaus kann Acronis Cyber Protect durch Ransomware verschlüsselte Daten schnell wiederherstellen - die Lösung umfasst erstklassige Funktionen zur Datensicherung und Notfallwiederherstellung und ist damit ein wertvolles Tool für Unternehmen.

Möchten Sie Acronis Cyber Protect in Aktion sehen? Starten Sie noch heute Ihre kostenlose 30-Tage-Testversion!