Das Risiko, Opfer eines Ransomware-Angriffs zu werden, ist in Deutschland recht hoch. Eine Studie legt nahe, dass in Deutschland 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen waren, davon 78 Prozent sogar öfter als einmal. Und es gibt die Erkenntnis, dass 66 % der Opfer Lösegeld bezahlten – 49 % sogar mehrfach. Ergo ist eine Ransomware-Infektion eines deutschen Unternehmens für die Cyberkriminellen quasi eine Lizenz zum Gelddrucken.
Anzeige
Mir sind gerade die Details einer von Semperis zugegangen. Die sind im Bereich IT-Sicherheit unterwegs und haben im Rahmen einer Studie 900 Unternehmen in Deutschland, Frankreich, dem Vereinigten Königreich und den USA befragt. Dabei interessierte neben der Frage, ob Unternehmen Opfer wurden, auch die Frage, ob Lösegeld gezahlt wurde. Die Studie wurde von Semperis in der ersten Jahreshälfte 2024 durchgeführt. Dies sind die wichtigsten Ergebnisse:
- Ransomware-Angriffe bleiben kein einmaliges Ereignis: 74 Prozent der Befragten, die in den letzten 12 Monaten erfolgreich mit Ransomware angegriffen wurden, erlebten gleich mehrere Angriffe – viele innerhalb einer Woche.
- Unternehmen können es nicht mit Ransomware aufnehmen: In Deutschland waren 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen, davon 78 Prozent sogar öfter als einmal. 66 Prozent bezahlten mehrfach Lösegeld, 49 Prozent – und mit diesem Wert ist Deutschland unter allen Regionen in dieser Studie Spitzenreiter – sogar öfter als vier Mal. Im Gesamtdurchschnitt aller befragten Länder zahlten 78 Prozent der betroffenen Unternehmen Lösegeld – davon 72 Prozent mehrmals und 33 Prozent viermal oder häufiger.
- Nur wenige Unternehmen sehen eine Alternative zur Lösegeldzahlung: 87 Prozent der Angriffe führten zu Betriebsunterbrechungen – selbst bei denen, die Lösegeld zahlten – einschließlich Datenverlust und der Notwendigkeit, Systeme offline zu nehmen. Für 16 Prozent der Befragten stellte der Angriff ein Dilemma um Alles oder Nichts dar – bei den Befragten aus Deutschland lag dieser Wert bei 19 Prozent.
- Die Zahlung von Lösegeld garantiert keine Rückkehr zum normalen Geschäftsbetrieb: 35 Prozent der Opfer, die Lösegeld gezahlt haben, erhielten entweder keine oder fehlerhafte Decodierungsschlüssel.
- Recovery Time Objectives (RTOs) werden nicht erreicht: 49 Prozent der Befragten benötigten 1-7 Tage, um den Geschäftsbetrieb nach einem Ransomware-Angriff auf ein Minimum an IT-Funktionalität wiederherzustellen, und 12 Prozent benötigten 7 Tage oder länger.
Laut Semperis bezahlten 11 Prozent der betroffenen Unternehmen Lösegelder in einer Höhe von über 600.000 €. Diese Ergebnisse überraschen, so die Studienautoren, angesichts der Tatsache, dass die Mehrheit der Befragten angab, über Back-ups und Wiederherstellungspläne zu verfügen.
Die Ergebnisse der Befragung unterstreichen einen alarmierenden Trend zu mehreren, manchmal gleichzeitigen Angriffen. Diese sollte Führungskräfte dazu zwingen, ihre Cyber-Resilienz-Strategien neu zu bewerten, um häufige Fehlerquellen, wie beispielsweise unzureichende Backup- und Wiederherstellungspraktiken für Identitätssysteme, zu beheben.
Die Mängel in den Unternehmen
Anzeige
Laut Studie verfügen nur wenige Unternehmen über einen umfassenden, dedizierten Identitätsschutz. Obwohl 70 Prozent der Befragten angaben, dass sie über einen Plan zur Wiederherstellung von Identitäten verfügen, was einen starken Fortschritt in Richtung IAM-zentrierter Sicherheit signalisiert, gaben nur 27 Prozent (36 Prozent in Deutschland) an, über dedizierte, Active Directory-spezifische Backup-Systeme zu verfügen.
Ohne AD-spezifische, Malware-freie Backups und einen getesteten Wiederherstellungsplan wird die Wiederherstellung länger dauern, was die Wahrscheinlichkeit erhöht, dass sich das Unternehmen entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen.
"Im Mittelpunkt dieser ganzen Diskussion steht die Rentabilität von Unternehmen. Angreifer versuchen, diese zu gefährden, um sie überzeugen können, sich freizukaufen. Wenn ihnen ein erfolgreicher Angriff auf die Identität gelingt, besitzen sie Privilegien, die sie dann zu ihrem Vorteil nutzen können," erläutert Chris Inglis, Semperis Strategic Advisor und erster U.S. National Cybersecurity Director. "Wenn man bedenkt, dass es eine 24/7-Bedrohung für die heutigen Unternehmen gibt, kann man nie sagen ‚Ich bin in Sicherheit' oder sich einen Moment frei nehmen. Das Beste, was sie tun können, ist, ihre Umgebung verteidigungsfähig zu machen und sie dann zu verteidigen."
Von den anhaltenden Herausforderungen im Bereich der Cybersicherheit, die Unternehmen nannten, stand die mangelnde Unterstützung durch den Vorstand ganz oben auf der Liste. Weitere Bedenken betrafen Budgetbeschränkungen, Personalmangel, veraltete Systeme sowie Vorschriften und Richtlinien zur Cybersicherheit.
"Damit die Geschäftsleitung und der Vorstand eine fundierte Entscheidung gegen die Zahlung von Lösegeld treffen können, müssen sie wissen, wie lange die Wiederherstellung dauern wird und sich darauf verlassen können," sagte Oliver Keizers, Area Vice President EMEA bei Semperis. "Dafür müssen Unternehmen ihren Wiederherstellungsplan in einem möglichst realitätsnahen Szenario testen und ihn dem Vorstand vorstellen, bevor ein Angriff erfolgt. Auf diese Weise sind die Entscheidungsträger im Ernstfall in der Lage, den Angreifern eine Zahlung zu verweigern." Der vollständige Bericht zur Ransomware-Studie hier verfügbar.
Anzeige
Und deswegen geht das weiter und weiter und weiter, das gehört gesetzlich unter Strafe gestellt und zwar so das es weh tut.
Baut/betreut eure System sicher und lernt endlich mal was Backup bedeutet! Dann geht euch sowas am Arsch vorbei!
IT/Cybersicherheit kostet… ja ist aber jeden Cent wert!
…ich hoffe, Sie meinen "Lösegeldzahlung durch die Opfer unter Strafe stellen", denn bekanntlich ist niemand gesetztestreuer, als Kriminelle.
Das könnte aber (verfassungs)rechtlich schwierig sein.
Ich denke damit ist gemeint dass die Unternehmen die Lösegeld zahlen und das Geschäftsmodell der Kriminellen stützten, bestraft werden sollen,
Das hätten die BWLer besser in Fortbildungen investieren können – ROFL.
Schade, daß Geschäftsführer / die Fehl-Entscheider da nicht privat haften müssen.
Weitere Bedenken betrafen … und Richtlinien zur Cybersicherheit.
Auch mein Gedanke. Richtlinien allein helfen da nicht. Es muss immer von Anfang bis Ende gedacht sein.
1. Bei einem Vorfall Meldepflicht! Zuwiderhandlung muss unter Strafe gestellt werden!
2. Lösegeldzahlungen per Gesetz unter Strafe stellen.
3. Verpflichtung eine Firma zu kontaktieren, die alles checkt, bereinigt, wiederherstellt und ein Konzept
für die Sicherheit erstellt. Zweites Gutachten, wenn beide Konzepte i.O. Verpflichtung dieses Umsetzens!
Bei Zuwiderhandlung Strafe!
4. Entscheider in die Pflicht nehmen und in die Haftung nehmen!
5. All das, was ich vergessen habe! ;)
Und mir klingeln noch einige O-Töne aus verschiedenen Management-Umgebungen aus dem Umfeld NIS-2-Pflicht in den Ohren, die mir von Vögelchen zugezwitschert wurden …
Bei allen Punkten Zustimmung, jedoch Realität sieht anders aus.
Gerade Punkt 4(!) :-D, wird nie passieren und werden sich immer rausreden.
Würde noch hinzufügen:
Mitarbeiter die sich vorsätzlich nicht an die Regeln halten werden sanktioniert.
Erlebe das gerade mehrfach und ich bin im KRITIS tätig.
Solange das Managesystem gut aussieht ist doch alles OK…..
lachhaft
> Mitarbeiter die sich vorsätzlich nicht an die Regeln halten werden sanktioniert.
Was sollen diese Regeln sein? Nicht auf böse Mails klicken? Als ob jemand zwischen validen und phishy Mails unterscheiden könnte. Da helfen auch dumme Awareness-Schulungen nicht weiter. Wer trifft die Entscheidung, ob etwas vorsätzlich ist oder nicht? Dein Satz ist einfach nur falsch denn Menschen machen Fehler, immer, minütlich. Das MUSS (!) eine Infrastruktur berücksichtigen.
Ein Arbeitgeber MUSS (!) eine sichere (!) Arbeitsumgebung für seine Arbeitnehmer schaffen. Der Geschäftsführer trägt die Gesamtverantwortung. Punkt. Keine Diskussion! Wenn der berühmte "falsche" Mausklick es schafft eine ganze Infrastruktur auszuknipsen, dann ist die Infrastruktur einfach nur kaputt.
Von daher kann ich nur jeden ermuntern: Klickt auf alle Anlagen! Stellt auch wirklich sicher, dass die angebliche Telekom-Mahnung auch wirklich von der Telekom ist oder eben nicht. Euch trifft keine Schuld, wenn Euer Admin/ IT-Verantwortlicher/ Geschäftsführer seine Hausaufgaben nicht macht.
Ransomware ist für mich genau dafür eine Heuristik.
Sehe ich ähnlich. Wir haben tausende Mitarbeiter und jede Woche gehen welche und es kommen neue. Wenn wir uns auf awareness Schulungen verlassen, dann kann ich auch gleich alle Computer einsammeln.
Wir arbeiten bei uns eher mit der Annahme, dass zu jeder Zeit irgendwelche DAUs irgendwelche DAU-Sachen machen und passen dementsprechend die IT-Landschaft an.
So sieht es aus. Diese Schulungen sind unbrauchbar weil die Praxis anders funktioniert. Jedem is es doch mittlerweile bekannt wie er sich verhalten sollte. Was uns schützen muss ist die Technologie. Das ab und an auf gefährliche Links geklickt wird lässt sich nie vermeiden.
Doch, indem die Funktion einfach per GPO in Outlook abgeschaltet wird.
Dann sind die Links nicht mehr anklickbar.
Die dahingehende Entscheidung trifft immer die GL (Herr S., wir sind keine Bank!") und die muss eben auch auf das Betriebsklima bzw. die sog. "Lohnzufriedenheit" schauen.
Nachdem ich z.B. einen Screenlock mit Passwortabfrage ("komplexe Passworte" (MS-GPO)) nach 15(!) Minuten idle per GPO ("mandatory") umsetzte beklagte sich die Chefbuchhalterin(!), dass sie jetzt immer ihren PC aufsperren müsse, wenn sie "mal kurz auf dem Klo war".
Raten Sie, wie lange es die GPO noch gab…
So ist es.
Genau dafür ist das da:
Damit niemand da an die sensiblen Daten ran kommt, wenn die mal kurz nicht am Platz ist.
Wenn die GL das anders sieht, ja warum hängt die dann nicht die Personaldaten ALLER Mitarbeiter ans schwarze Brett?
Die GL wird das ganz anders sehen, wenn da mal eine unbefugte Person an den PC der Chefbuchhalterin geht, während die nicht am Platz ist.
Leider werden die Leute meist erst durch Schaden klug, bzw.
Wenn ich das hier lese: "davon 78 Prozent sogar öfter als einmal. 66 Prozent bezahlten mehrfach Lösegeld, 49 Prozent – und mit diesem Wert ist Deutschland unter allen Regionen in dieser Studie Spitzenreiter – sogar öfter als vier Mal."
dann kann man aber daran zweifeln, ob die Leute aus Schaden klug werden.
Wie verstrahlt muß man sein, 4 mal von Ransomware innerhalb eines Jahres befallen zu werden?
Denken die Verantworlichen "Pech gehabt, aber da kann man nichts machen…."?
Buchhaltung und Lohnbuchhaltung ist hier ein vom übrigen Netz isolierter Bereich!
Und diese GPO gibt es hier auch.
und dann gibt's es noch das Problem "Innere Kündigung".
So kann der gefrustete das verhasste Unternehmen/IT ungestraft sabotiert werden… und wird es das eine oder andere Mal durchaus…
Exakt, auf beiden Seiten (MA wie IT-MA – aber IT-MA scheinen ersetzbarer). Darauf verwies ich gestern 14:54 Uhr mit »muss eben auch auf das Betriebsklima bzw. die sog. "Lohnzufriedenheit" schauen«
>Was sollen diese Regeln sein?
z.B. die Außentüren aufkeilen, weglaufen und nach x Stunden wiederkommen. Aufm Arbeitsplatz ID Karten/Schlüssel/usw. rumliegen lassen während externe Dienstleister sich frei im Gebäude bewegen, Selbständig IT Hardware kaufen, sich Adminrechte geben und in die KRITS stellen, externe Dienstleister beauftragen irgendwas zu tun, das aber nicht mit der IT Absprechen, usw.
Soll die IT jetzt hinter jedem Mitarbeiter sitzen? Es gibt mehr als nur SPAM Mails, vergessen auch viele, du wohl auch. Dein Punkt beleuchtet nur ein minimaler Verktor was IT Sicherheit angeht.
SPAM Mails sind bei uns kein Problem, die User sind selbst zu blöd zu erkennen wenn eine schlecht gemacht Mail reinkommt die zu erkennen.
Aber nach deinem Verständnis stellen wir jetzt nochmal 20 IT ler ein die nur Mitarbeiter kontrollieren.
>Ein Arbeitgeber MUSS (!) eine sichere (!) Arbeitsumgebung für seine Arbeitnehmer schaffen. Der Geschäftsführer trägt die Gesamtverantwortung. Punkt. Keine Diskussion!
In einer perfekten oder deiner Welt vielleicht…
Das will ich sehen das ein GF sagt: "Ja ich bin verantwortlich, da ich kein Geld ausgeben wollte."
> (…) sich Adminrechte geben (…)
Oh Boy, wenn das jemand bei Euch kann, dann seid ihr lost, da brauchen wir uns nicht weiter zu unterhalten.
> externe Dienstleister beauftragen irgendwas zu tun, das aber nicht mit der IT Absprechen
Die ohne den Segen der IT genau nichts machen können dürfen, siehe auch:
https://blog.jakobs.systems/blog/20231010-supplychain-management/
> z.B. die Außentüren aufkeilen, weglaufen und nach x Stunden wiederkommen.
> Aufm Arbeitsplatz ID Karten/Schlüssel/usw. rumliegen lassen während externe Dienstleister sich frei im Gebäude bewegen
Gegenfrage: Stehen bei Euch die Serverräume, -schränke offen? Nutzt Ihr keine ARP-Filter für unbekannt eingestecktes Zeugs? Sind freie Ports in Wanddosen/ Switches etwa nicht ausgeschaltet?
Dein Beitrag lässt viel mehr Durchblicken, als Dir vermutlich lieb ist.
Ach so und noch was zu dem Geld und Projekte durchbekommen… ich bekomme meine Linux-Projekte fast ausnahmslos alle durch, weil diese i.d.R. günstiger sind und mit weniger (Rechner- und Personal) Ressourcen auskommen.
Und in meiner Welt muss niemand kontrolliert werden und hat auch meinetwegen Zugriff auf Internet und darf alles runterladen, weil er oder sie eh nix ausführen darf und (wenn nicht sofort, dann etwas später) der Schmus automatisch gelöscht wird.
>Oh Boy, wenn das jemand bei Euch kann, dann seid ihr lost, da brauchen wir uns nicht weiter zu unterhalten.
Wenn du meinst…, gibt ja Leute die kaufen sich einfach Technik, ohne jemanden das zu sagen und richten es sich selbst ein.
Schatten IT, vielleicht schon mal gehört, oder hast du da auch ein Wundermittel gegen, wahrscheinlich.
>Die ohne den Segen der IT genau nichts machen können dürfen, siehe auch
Supi, nur dumm das sich Mitarbeiter nicht dran halten, gibt sogar zertifizierte Prozesse und Richtlinien und … aber halt.. Mitarbeiter sind ja nicht das Problem…
>Gegenfrage: Stehen bei Euch die Serverräume, -schränke offen?
Was hat das mit den Außentüren und Zutrittsberechtigungen zu tun, die von internen Mitarbeitern untergraben werden?
IT Sicherheit beginnt nicht erst am Rechenzentrum und PC.
>Nutzt Ihr keine ARP-Filter für unbekannt eingestecktes Zeugs?
Doch, hat nur unser letzter Pentester bewiesen das das umgeh bar ist. Und nein nicht falsch konfiguriert…aber vermutlich wird es mit einem Linux Projekt von dir nicht passieren…
>Sind freie Ports in Wanddosen/ Switches etwa nicht ausgeschaltet?
Soll da sowas geben wie switche oder Hubs, kann man an einen Aktiven Port klemmen und sogar NACs sind umgebar.
Und komm nicht mit Segmentierung, und den ganzen XDR Kram, Tiering, Härtung, usw.. Ist alles nur bis zu einem Grad "sicher" wenn die Basics nicht passen.
>Dein Beitrag lässt viel mehr Durchblicken, als Dir vermutlich lieb ist.
Oder du leitest einfach das für dich ab was du willst oder brauchst.
>ich bekomme meine Linux-Projekte fast ausnahmslos alle durch, weil diese i.d.R. günstiger sind und mit weniger (Rechner- und Personal) Ressourcen auskommen.
Verdammt…hätten das blos mal die Monopolisten der ERP Systeme, den Anforderungen der Firmen und der Mitarbeit im Energiesektor mitbekommen….das währe mit Linux nicht passiert…
>Und in meiner Welt muss niemand kontrolliert werden….
Ist ne leichtsinnige Behauptung die leicht umgangen werden kann. Hat unser letzter Pentester und sein Team in nem interessante POC bei sich im Labor bewiesen. Machen sogar ein Wettbewerb daraus…und alle Systeme sind irgendwann gefallen…auch Liunux…
Aber drehen uns hier im Kreis während du versucht in deiner Glaskugel dein Urteil zu bilden.
Lass gut sein, Du schreibst Dich hier um Kopf und Kragen…
Man kann sich Expertise einkaufen, wenn das mit dem eigenen Netz zu viel werden sollte…
Wenn du meinst…. deine Wahrnehmung…
Danke für den „Experten Tipp".
Natürlich werden keine ARP Filter eingesetzt, weil dann dir IT ständig die Switches neu trainieren müsste, wenn wer sein Notebook beim Kollegen anstöpselt und DHCP Server dürfen natürlich an jedem Ethernetport hängen. Auch mehrere gleichzeitig, und auch unbekannte… mit unbekannten LAN IP. Es wäre für die IT zu unbequem, das durch zig switches durch konfigurieren zu müssen, auch wenn es alles teuere Layer3-switsches sind für die es natürlich eine Verwaltungssoftware gibt (nur leider kennt sich keiner mit IP aus, sperrt aber ICMP)…
Natürlich werden die Clients nicht im DNS gefunden, sondern per Broadcast. Ist ja deutlich weniger Arbeit für die IT, und funktioniert doch auch, Sehen Sie?
Das ist natürlich alles blühende Phantasie. In keiner Deutschen Firma würde man so fahrlässig Schutzmöglichkeiten vernachlässigen weil's ja keine Zeit dafür gibt und es ja auch so funktioniert.
…
******************
Als ob jemand zwischen validen und phishy Mails unterscheiden könnte
******************
Stell dir vor das kann man! Ist aber vollkommen irrelevant in Firmen den wenn da Phishing/Malware beim Sachbearbeiter aufschlägt hat die IT bereits auf ganzer Linie versagt! Das abzufangen ist Aufgabe der IT und nicht des Sachbearbeiters, der kann da höchtens noch als Last Line of Defense fungieren.
(Warum die versagt ist wieder ein anderer Punkt… wenn das Management eben alles kürzt und IT für nebensächlich hält… was soll der ITler dann machen, aber da wären wir dann beim Thema Haftung, die es in der IT einfach nicht gibt und Manager ja nie den Kopf hinhalten, auch wenn sie es verbockt haben.)
Stimme ich dir vollends zu.
Nur…im Energiesektor oder wenn man mit Kommunen zu tun hat wird das schon fummeliger.
Gerade Sektor Energie bekommt die Vorgaben von der BNetzA und die sind zum Teil veraltet oder nicht immer nachvollziehbar. Dreht man den Hahn zu, weil man ein "normal" denkender IT Mensch ist, können sich dabei Folgen ergeben die nicht gut sind.
Wird man 3 mal bei der BNetzA angezeigt, gibt es dir rote Karte und das war es (kommt noch selten vor).
Und es ist egal ob es ein kleines Stadtwerk oder ein Energiekonzern ist. Regeln sind Regeln :-)
Haben hier einen guten Weg gefunden, jedoch ist da viel manuelle Arbeit vom IT Sec Team drin.
1. Meldepflicht haben wir doch bereits (keine Ahnung was die Strafen bei Missachtung sind)
2. auch bei Entführungen und Geiselnahmen?
3. Weil sowas nicht nur einfaches Rubberstamping wäre? Wird dann genau so effektiv wie Wirtschaftsprüfung, die finden immer alles /s
4. Je nach Konstellation ist das bereits so. zb Im Mittelstand nicht unüblich, dass GFs auch mit Privatvermögen haften, auch bei GmbHs (Banken sind ja nicht dumm bei Vergabe von Krediten)
5. Ja
Zu 2.
Wenn Du mir verrätst, was das mit Firmen und "Netzwerksicherheit" zu tun hat,
können wir uns darüber ja noch einmal unterhalten.
Zu 3.
Einfach nur NEIN, und meinen Vorschlag noch einmal lesen! Eventuell mal an den TÜV denken. ;) nur dass das dann noch ein zweites Mal überprüft werden muss.
Zu 4.
Äh, 1. Es geht nicht um Banken! 2. Geht es darum, Vorsatz unter Strafe zustellen
und um persönliche Haftung derer, die in einem Konzern das Sagen haben!
Der IT die Gelder zu kürzen, ist Vorsatz!
Bliebe halt die Frage, wie viel darf die IT kosten, aber, siehe Punkt 3.
Erst wenn ein regelmäßiges Audit "sagt" alles i.O., kann man schauen, ob es Einsparpotenzial gibt!
Z.Z. ist es doch so, dass viele Firmen, selbst wenn sie eine eigene IT haben,
diese unterbesetzt ist und die wenigen die da sind, mit pillepalle beschäftigt sind,
anstatt sich mit der IT-Sicherheit beschäftigen zu können, was zwar auch zu deren Bereich zählt, aber eigentlich eine untergeordnete Priorität haben sollte.
2. der Gleichbehandlungsgrundsatz könnte da zutreffen.
Zumindest bei verschlüsselnder Ransomware fliessen ja keine Daten ab, da sehe ich schon eine ähnliche Konstellation wie bei Erpressung und Geiselnahme.
Denke die Probleme sind meist selbst geschuldet.
Hab mich bei einem anderen Unternehmen auf eine Sec. Stelle beworben:
– Chef der IT hat sich in einigen Dingen "verplappert"
– Hat durchblicken lassen das viele Themen an Dienstleister ausgelagert werden/sollen.
– Hat durchblicken lassen das die Geschäftsführung mit dem Mittelmaß zufrieden ist und bei erreichen die finanzielle Unterstützung einschränkt.
– Als ich nach längerem Abwägen der Situation und Gesprächen mich für den Posten entschieden habe, hat die Personalerin abgesagt da Sie jemanden suchen der mehr für die Firma brennt.
Daher habe ich das Gefühl das die Probleme selber gemacht sind:
-> Abhängig von Dienstleistern
-> Finanziell nicht bereit mehr zu tun
-> falsche Vorstellungen wie man Fachkräfte wirbt.
War vielleicht auch gut so…
Häufig wird alles an Dienstleister ausgelagert. Eigene Kompetenz im Unternehmen ist teuer und nicht gewünscht. Insofern kann auch niemand die Leistung der Dienstleister beurteilen.
Wurde schon kritisiert warum ich eine eigene CA noch dazu open source fürs IoT verwende und nicht Microsoft in der Cloud. Da zeigt deutlich, wo das Problem liegt.
es ist schon schön wenn man bei einem Fehler auf andere zeigen kann. Manche Dienstleister können eigentlich nichts, aber sind gut für den schwarzen Peter.
Auch ein Grund für die Beliebtheit vom Cloud Diensten.
Es ist ein wenig schade, dass nichts über die Angriffsvektoren genannt wird, wie kommt die Ransomware auf's System?
82% aller Ransomware-Vorfälle basieren auf Social Engineering
50% der "non-error, non-misuse" Vorfälle drehen sich rund um Zugangsdaten
Es ist wahrscheinlicher, Dir was über einen Dienstleister einzufangen als direkt. Die klassischen VPN, Terminal- und Desktop-Sharing Zugänge wie RDP, Teamviewer, Anywhere etc. bilden zusammen mit E-Mails die Hauptangriffs-Vektoren.
Quelle Verizon Data Breach Investigation Reports (DBIR)
Ich habe vor zwei Jahren hier was zu geschrieben:
https://blog.jakobs.systems/blog/20220604-hacker-hacken-hirne/
IT ist Kostenstelle… IT hat Dienstleister zu sein. Wenn der Chef im Sale Adminrechte haben will, dann bekommt er die. Immer diese Jammerlappen und vor sich her Wuseler. Vom Selbstverwalten verdiene ich keinen einzigen Cent.
(nur ein paar O-Töne von IT Entscheidern/ Geschäftsführern)
Mein Favorit: "Herr B., wir sind keine Bank!"
"Das haben wir noch nie gemacht" oder in Modifikation: "Das habe ich noch in keinem anderen Unternehmen so gesehen"
Mir liegt da manchmal auf der Zunge: Menschen haben unterschiedliche Horizonte…
Solange wir nur weiter Security Theater mit Schlangenöl und die Angriffsfläche vergrößernden SIEMs arbeiten wir das ein valides gescäftsmodell bleiben. Fakt ist, daß die Unternehmen kein wirkliches Interesse an Security haben, dahergelaufende "Experten" befragen satt intern KOMPETENZ aufzubauen, und viel Geld für völlig unbrauchbare sog. "Security" Lösungen ausgeben, die in Wirklichkeit nur die Angriffsfläche vergrößern. Solange die Trinität des Bösen (Windows, Outlook, AD) Standard bleibt, wird sich nichts ändern. Denn Microsoft zählt inzwischen nur noch das Geld. Security gab und gibt es von diesem Konzern nicht und Qualitätssoftware auch nicht, seitdem sie ihre Tester rausgeschmissen haben. Jetzt kommt noch der ganze SD-WAN Mist dazu, der ganz neue Felder für Angriffe schafft. Solide Resilienz gegen Angriffe läßt sich so nicht erreichen.
Eine Haftung für Vulnerbilities für die Softwareunternehmen wäre ein erster Schritt. Es ist sicher schwierig auszugestalten, aber ich denke die Geldkoffer in Richtung Politik werden das zuverlässig verhindern. Schließlich sind die Entscheider dort intellektuell unbewaffnet.
ok und der Mitarbeiter der schön blöd seine Zugangsdaten in die Phishingseite eingibt würde das also unter Linux & Co. nicht manchen? Social Engineering Angriffe sind unabhängig vom OS!
Wenn HR und/oder GL nicht selbst hinreichend sachkompetent sind, Bewerber bzgl. Security-Expertentum zu beurteilen, wen sollen sie denn dann fragen (und woher wissen sie, dass der Befragte die Kompetenz des designierten MA tatsächlich einschätzen kann)?
Ich hoffe Sie sagen jetzt nicht "Das BSI!" 😂
Ich möchte lösen: Die Bitkom :-P
Wenn ich schon lese "Für 16 Prozent der Befragten stellte der Angriff ein Dilemma um Alles oder Nichts dar – bei den Befragten aus Deutschland lag dieser Wert bei 19 Prozent.", dann kann das doch nur heißen, das diese Befragten kein funktionierendes und/oder sicheres Backupkonzept haben und es auch sonst ziemlich übel in der IT-Infrastruktur aussieht.
Und Ransomware kommt doch meist über Links oder Anhänge in Emails rein.
Da mangelt es also an einem wirksamen Spamschutz und Mitarbeiterschulung im Umgang mit Emails.
Mitarbeiterschulungen sind nett, mehr aber auch nicht… wenn der SPAM bereits bei den Mitarbeitern aufschlägt hat die IT bereits versagt!
Naja, der Spam kann auch durch gehackte Emailkonten von Lieferanten/Kunden, mit denen man täglich zu tun hat, rein kommen.
Die gehen dann auch durch entsprechende Filter durch.
Da hilft dann die Schulung der Mitarbeiter, wie man solche Mails erkennt.
Und serverseitig kann man da auch etwas machen.
Bei uns ist z.B. per GPO die Funktionalität von Links in Mails ausgeknipst, d.h. die sind nicht anklickbar.
Dann sind die Filter falsch gesetzt ;-P Auch Lieferant geht nicht ungeprüft rein wenn es dazu intern keinen Auftrag gibt!… Sachbearbeiter braucht erstmal auch keine HTML Mail… damit sind SPAM/Phishing zu 100% ausgknocked!
weshalb in manchen Unternehmen keine E-Mails mehr zulässig sind und sich selbst was ausdenken.
Diese gehen automagisch in ein 100% sicheres Ticket System, und die Mitarbeiter können nur da ihre E-Mails lesen und beantworten.
Der Kunde bekommt nur eine Email,das seine Antwort auf dem Ticket Server bereit steht.
Finde den Fehler.
Danke an alle Flaschen, die gezahlt haben, statt Backups anzulegen und Fremdzugriffe zu vermeiden! Ihr seid die Helden, die dafür sorgen, dass Ransomware sich nach wie vor lohnt und nicht aufhört.
Bitte Zahlungen an Kriminelle behördlich unter Strafe stellen (bis zu 5% vom Jahresumsatz). Der Ransomware-Markt gehört ausgetrocknet.
Könnten wir bitte Mal über die Tastache reden, dass ca. 650 Unternehmen nach dem 1. Mal nicht aus deren Fehlern gelernt haben und 300 Unternehmen sogar so dumm waren, sich mehr als 3x hacken zu lassen und nichts aus deren Fehlern gelernt haben!!!
So viel Dummheit gehört wirklich bestraft!
Darauf bin ich implizit schon vorhin eingegangen*, gilt besonders für KMU.
* borncity .com/blog/2024/08/29/studie-75-der-ransomware-opfer-zahlen-in-deutschland-lsegeld/#comment-191951
Naja, ich habe mal vor einigen Wochen die Datenbank bzw. Sicherheitslücken auf https[:]//www.shadowserver.org/ angeschaut und mir dabei nur Microsoft Exchange angeschaut.
187 Exchange-Instanzen alleine in Deutschland sind auf dem Patchstand 2021 oder älter!
In GB sieht es mit 144 Instanzen ähnlich schlimm aus!
https[:]//dashboard.shadowserver.org/statistics/combined/map/?map_type=std&day=2024-08-28&source=exchange&severity=critical&tag=cve-2021-*&geo=Europe&data_set=count&scale=log
Über 3 Jahre lang kein Sicherheitspatches einzuspielen, das ist schon grober Vorsatz!
Gerade auf ZDNET ein ähnlicher Artikel:
https://www.zdnet.de/88417744/8-von-10-unternehmen-von-it-angriffen-betroffen/
Wie valide ist die Studie, wer wurde befragt? (Und hat geantwortet) Dass mehr als jedes zweite Unternehmen im letzten Jahr Lösegeld gezahlt haben soll (66% von 82% -> 54%) kommt mir intuitiv deutlich zu hoch vor.
Steht eigentlich schon in der Überschrift: Die Grundgesamtheit, auf die sich die Prozentzahlen beziehen, sind nicht alle Firmen, sondern nur die "Ransomware-Opfer"* (ich denke: Und davon wiederum nur die, die geantwortet haben).
Als seriöser Journalist verlinkte Herr Born im Artikel (Ende) auch auf Semperis, bei denen Sie bei Interesse eine ausführliche(re) Version** ansehen können.
* hat jemand eine Idee (oder gar Zahlen), wie hoch der Anteil der Ransomware-Opfer an allen Unternehmen ist?
** www .semperis .com/wp-content/uploads/resources-pdfs/ransomware-report-2024.pdf
destatis sagt, es gab 2022 3,4 Million Unternehmen in Deutschland.
Bei 900 Befragten erklärt sich die Qualität der Umfrage von selbst.
Immerhin haben die keine Nachkommastellen verwendet.
Natürlich ist jede Lösegeld Zahlung eine zu viel.
Sind solche Vorkommnisse nicht meldepflichtig?
Dann müsste es doch von dort (wo?) Zahlen geben…
54% der befragten 900 Unternehmen…
Ich staune immer über die unglaublich hohen Opferzahlen.
82%, echt jetzt?
Ist das Marketing- und Verkäufergedöhns?
Sind Borncity-Leser potentiell gebildeter und weniger betroffen?
Wer von euch war schon selbst oder im Kundenumfeld betroffen?
Solange sowas alltag ist: https://www.virustotal.com/gui/file/ccabbcfc49f109532fb55951874973bc97e05969134c086ea435e4db2e0d1759
kann man einfach keinerm sicherheits produkt treuen.
Das file ist sauber nur halt ein key gen, daran ist nix auszusätzen sicherheits technisch.
Solange false positives instrumentalisiert erden um urheberrechte zu schützen wehlen mündige menschen das kleinere übel.
ich schreib schon mal, warum solche Tools gelistet werden.
Die Erpresser kaufen fertige Software Pakete.
Und das Tool wird Teil eines solchen Sets sein.
Taucht es unerwartet auf, so könnte das von einem unbedarften Angreifer stammen, aber kein Grund einem Entwickler die Nutzung zu untersagen oder gar per Abmahnung anzukreiden.
Solange aber Admins immer noch glauben, das solche Tools böse seien, nicht verstehen warum die gemeldet werden, besteht wenig Hoffnung.
Das ist ein keygen für ein windows socks proxy, ich denke nicht das das bei irgend einem malware angrif verwendet wird, ich denke das sowas auf die erkennungs listen kommt ist schon vorsatz.
Das hat jetzt mit böswilliger* Klassifizierung als "Malware" nur z.T. zu tun, aber was kann CCProxy, das der legale gratis FreeProxy** nicht kann (ein Proxifier ist CC ja nicht, korrekt?)?
* ist es das denn? Virenscannner werden primär für Firmenkunden entwickelt und als IT-Manager wollte ich keine illegale Software auf 'meinen' Sytemen.
** web .archive .org/web/20240731082212/https://www.handcraftedsoftware.org/
Welche 900 Unternehmen wurden denn befragt?
Geht leider aus dem Artikel zur Zeit nicht hervor.
Ist imho auch nicht relevant – wenn die die Stichprobe entsprechend ausgelegt und nicht nur 1 Mann Klitschen befragt haben, kann man schon eine repräsentative Aussage bzgl. Trends treffen. Ideal wäre natürlich Angaben wie viele Stichproben auf die einzelnen Länder entfallen und wie die Verteilung der Unternehmensgröße ist.
offtopic
also die Blog Software ist lustig.
mal sagt sie, ich würde doppelt posten, was ich nicht tue.
Dann geht's direkt durch und ich könnte es sogar editieren.
Ein anderes Mal geht es auch durch, aber ich kann nicht editieren.
Ich glaube ich sah bisher nur einmal den Hinweis "Wartet auf Moderation" sonst nur den Hinweis auf doppeltes Posting, wobei der Beitrag dann doch noch kam (es war ja kein Spam oder so).
Laufen da mehrere Instanzen/Server mit unterschiedlichen Konfigurationen und Block-Files-Filtern gleichzeitig?
Es läuft aktuell nur eine Instanz und ein Plugin. Zu gegebener Zeit werde ich mich drum kümmern. Möglicherweise muss ich ein anderes Plugin zur Kommentierung verwenden – weiß ich nicht.
Absoluter Vorrang hat jetzt, die Blogs zum neuen Hoster umzuziehen – ich habe gerade ein Paket bei einem Hoster gebucht, mache mich mit der neuen (komplexeren) Oberfläche des Hosters zur Paketverwaltung vertraut und muss dann die Software umziehen oder neu aufbauen. Und dann muss ich noch herausfinden, warum ich in einem Blog technische Rendering-Probleme habe.
Wenn alles läuft, kann ich in Feinheiten investieren – hoffe auf Verständnis.