Ransomware-Angriffe: Die Gefahr steigt und die Unternehmen bezahlen …

Es gibt wohl einen "ungesunden Trend": Die Zahl der Ransomware-Angriffe steigt in DACH. Und Führungskräfte im Bereich Unternehmenssicherheit (CISOs) erwägen, auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden.

Ein Fundsplitter auf X

Die Woche ist mir nachfolgender Tweet von Prof. Dennis Kipker unter die Augen gekommen. Der Sachverhalt: Der Schweizer Rüstungskonzern RUAG wurde Opfer der Ransomwaregruppe Akira.

RUAG-Lösegeld

Akira gelang es, in die Systeme der Ruag-Tochterfirma Ruag LLC in den USA einzudringen und dort große Datenmengen zu stehlen. Die Ruag wurde dann mit der Drohung der Veröffentlichung der angeblich vertraulichen militärischen Daten der Ruag-Tochterfirma erpresst und zahlte schließlich Lösegeld. Und dies trotz der Warnung des Schweizer Bunds, keine Zahlungen an Ransomware-Gruppen zu leisten. Die Ruag ist im Bundesbesitz der Schweiz. Der Schweizer Rundfunk (SRF) hat dies in diesem Artikel öffentlich gemacht.

Studie zeigt: Firmen erwägen zu bezahlen

Mitte Mai 2026 ist mir dann noch eine Studie von Absolute Security zugegangen, die sich mit der Frage, wie sich derzeit die Bedrohung durch Ransomware darstellt und wie die Führungskräfte im Bereich Unternehmenssicherheit diese Bedrohung wahrnehmen. Es wurde auch analysiert, wie die Führungskräfte auf die Bedrohung reagieren. Dazu befragte das Unternehmen Absolute Security insgesamt 750 CISOs aus den Vereinigten Staaten (500) und dem Vereinigten Königreich (250). Die Befragten stammen aus Großunternehmen mit 5.000 oder mehr Mitarbeitern. Die Umfrage wurde im November 2025 abgeschlossen und lieferte Erkenntnisse von Führungskräften aus sieben verschiedenen Bereichen: Gesundheitswesen, Finanzdienstleistungen, Bildung, Öffentlicher Sektor, Einzelhandel, Fachdienstleistungen und Energie.

Angriffe gehen häufig von mobilen, Remote- oder hybriden Endgeräten aus

Ransomware steht bei CISOs nach wie vor ganz oben auf der Liste der bedrohlichsten Risiken, weil ihre Endgeräte-Infrastrukturen erheblich anfällig sind.

  • 57 Prozent der Befragten gaben an, dass ihre Unternehmen im Zeitraum der vergangenen 12 bis 18 Monate einen Angriff erlebt hätten, der von einem mobilen, Remote- oder hybriden Endgerät ausging.
  • 58 Prozent meinten wiederum, dass ein Vorfall die Endgeräte funktionsunfähig gemacht habe.

Diese Erkenntnisse überraschen die Macher der Studie, angesichts zusätzlicher telemetriebasierter Untersuchungen an Millionen von PCs, kaum. Denn dabei wurde festgestellt, dass kritische Endpunkt-Sicherheitskontrollen in 20 Prozent der Fälle nicht funktionieren. Dringt Ransomware über ein Endgerät ein, ist der kaskadenartige Ausfall bis hin zur vollständigen Betriebsunfähigkeit nahezu unvermeidlich – sofern in den Geräten keine Resilienz integriert ist.

Auswirkung von Ransomware auf die operative Resilienz

Die Befragung der für Sicherheit verantwortlichen Führungskräfte hat noch einige interessante Erkenntnisse gebracht:

  • Das Vertrauensparadoxon: 83 Prozent der CISOs sind zuversichtlich, dass sich ihr Unternehmen von einem Ransomware-Angriff erholen kann. Allerdings würden 57 Prozent bis zu sechs Tage und 20 Prozent sogar bis zu zwei Wochen für die Wiederherstellung benötigen. Kein CISO gab an, innerhalb eines Tages wieder einsatzbereit zu sein.
  • Sneakernet: Obwohl die Unternehmen wissen, dass Ransomware weiterhin zu Betriebsstörungen führt, sind 59 Prozent der Meinung, dass sie nach einem Vorfall physischen Zugriff auf einen Endpunkt haben müssen, um das Gerät reparieren und wiederherstellen zu können. Nur 53 Prozent der Unternehmen verfügen über Remote-Funktionen zur Wiederherstellung, obwohl solche Tools weit verbreitet sind.
  • Mythos-Variable: Laut Angaben von CISOs ist das Patchen von Altsystemen mit 42 Prozent nach der Problematik von Schulungen zur Sensibilisierung der Mitarbeiter (43 Prozent) die zweitgrößte Herausforderung bei der Abwehr von Ransomware.

Anthropics KI-Modell Claude Mythos zeigt, dass fortschrittliche LLMs in den Händen von Verteidigern und Angreifern Schwachstellen mit einer Geschwindigkeit aufdecken können, mit der die Branche nicht Schritt halten kann. Unternehmen werden weiterhin mit durch Bedrohungen verursachten Störungen konfrontiert sein, die ungeminderte Software-Risiken ausnutzen.

Aber hier haben wir vor wenigen Stunden doch gesehen, wie diese Ansätze uns auf's Gesicht fallen. Anthropic musste seine neuesten Modelle abschalten (siehe US-Regierung belegt Anthropic Fable und Mythos mit Export-Kontrolle). Der "Fallout" wurde auch sofort sichtbar (siehe Nordhealth Notion-Störung nach Anthropic KI-Abschaltung). Sieht mir wie ein "Lieferkettenangriff der juristisch/politischen Art" aus.

Das führt laut Absolute Security zu der Schlussfolgerung: Patching muss eine wichtige Sicherheitstaktik bleiben, jedoch muss die Fähigkeit, sich von zunehmenden Schwachstellen und Exploits zu erholen, ganz oben auf der Prioritätenliste stehen. Ist nicht falsch, aber es bleibt die Frage, wie praxisrelevant das noch ist? Patches, die Systeme auf's Kreuz legen, unvollständige Patches oder 0-day-Exploits, für die es noch keine Patches gibt, sind doch inzwischen an der Tagesordnung.

Bezahlen oder nicht bezahlen?

Für Cybersicherheit verantwortliche Führungskräfte beantworten diese Frage, laut Absolute Security Umfrage, für sich mehrheitlich mit "bezahlen".

  • 58 Prozent der CISOs erwägen, auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden.
  • Zudem stufen 46 Prozent der Sicherheitsverantwortlichen Betriebsausfälle als die schwerwiegendste Auswirkung ein, die Ransomware auf ihre Unternehmen haben könnte.

Dies sind zwei wichtige Erkenntnisse, die einem neuen Bericht von Absolute Security zu entnehmen sind: Der Report The Ransomware Reality: Zero Days to Recover (erfordert Registrierung) enthält die Antworten von 750 Chief Information Security Officers (CISOs) aus den Vereinigten Staaten sowie dem Vereinigten Königreich. Die aktuelle Untersuchung ist die zweite Ausgabe der Forschungsreihe "State of Enterprise Cyber Resilience" von Absolute Security.

"Es überrascht keineswegs, dass Sicherheits- und Risikoverantwortliche trotz des regulatorischen Drucks weiterhin bereit sind, Lösegeld zu zahlen, um ihre Systeme wiederherzustellen und Daten zu schützen. Insbesondere wenn man bedenkt, dass längere Ausfallzeiten zu untragbaren Verlusten führen können", sagt Christy Wyatt, Präsidentin und CEO von Absolute Security. "CISOs, die nach schwerwiegenden Angriffen die Geschäftskontinuität schnell wiederherstellen können, vermeiden es, in einen Ausfallzyklus zu geraten, der sich mit dem zunehmenden Einsatz KI-gestützter Angriffe durch Cyberkriminelle nur noch weiter verschärfen wird."

Cyberangriffe in der DACH-Region steigen um 124 Prozent

Dabei sieht die Situation in Deutschland, Österreich und der Schweiz (DACH) nicht wirklich gut in Bezug auf Cyberangriffe aus. Check Point Software Technologies Ltd.hat gerade die Ergebnisse des DACH Threat Landscape 2025 Reports (erfordert Registrierung) veröffentlicht. Der Bericht zusammengestellt vom Check Point Exposure Management-Team offenbart für das Jahr 2025 eine drastische Verschärfung der Cyberrisiken für Unternehmen und Behörden in der DACH-Region.

Die geopolitische Lage spiegelt sich direkt in der Cyberbedrohungslandschaft wider, schreiben die Autoren des Reposts. Im Jahr 2025 entfielen rund 18 Prozent aller in Europa registrierten Vorfälle auf die DACH-Region, wobei allein Deutschland 13 Prozent ausmachte. Einen außergewöhnlichen Höhepunkt erreichten die Angriffe in den Sommermonaten.

Dieser Anstieg war maßgeblich auf gezielte Vergeltungsaktionen von Hacktivisten infolge der sogenannten "Operation Eastwood" zurückzuführen. Bei dieser von Europol koordinierten Aktion im Juli 2025 wurden über 100 Server der pro-russischen Gruppe NoName057(16) abgeschaltet. Unter dem Hashtag #FuckEastwood reagierten die Täter umgehend mit massiven Angriffswellen auf öffentliche und private Einrichtungen in Deutschland und den Nachbarländern.

Die wichtigsten Erkenntnisse aus obigem Report lassen sich in nachfolgenden Punkten zusammenfassen:

  • Die DACH-Region verzeichnet eine Zunahme von rund 124 Prozent bei Cyberangriffen im Vergleich zum Vorjahr.
  • Mit 82 Prozent aller regionalen Vorfälle ist Deutschland am stärksten betroffen, gefolgt von der Schweiz (12 Prozent) und Österreich (8 Prozent).
  • 66 Prozent der Angriffe waren Defacements, die maßgeblich von pro-russischen und ideologisch motivierten Gruppen (wie NoName057(16)) im Rahmen geopolitischer Spannungen vorangetrieben wurden.
  • Knapp 30 Prozent der Vorfälle entfallen auf Erpressungstrojaner von finanziell motivierten Gruppen wie Safepay, Qilin oder Akira.
  • Die am stärksten attackierten Branchen sind Business Services (24 Prozent) und Regierungsbehörden (13 Prozent), was die Abhängigkeit der Region von vernetzten Lieferketten ausnutzt.

Während Hacktivisten durch massenhafte Überlastungsangriffe und Defacements eine maximale öffentliche Sichtbarkeit anstreben, agieren Ransomware-Akteure im Hintergrund, heißt es. Das habe gravierende Folgen.

  • Zu den aktivsten Gruppen 2025 gehörte "NoName057(16)", die nach der Zerschlagung ihrer Server mit massiven DDoS-Vergeltungsschlägen reagierte.
  • Daneben traten weitere haktivistisch motivierte Gruppen wie "Hezi Rash" und "Mr Hamza" mit gezielten Kampagnen gegen öffentliche Services in Erscheinung.

Auf der finanziell motivierten Seite dominierten hochprofessionelle Ransomware-Gruppen, die ungesicherte Identitäten für "Double Extortion"-Kampagnen nutzten.

  • "Safepay" trieb diese Erpressungen branchenübergreifend über Dark-Web- und TON-Netzwerke voran.
  • Die Gruppe "Akira" spezialisierte sich auf Windows- und Linux-Umgebungen und nutzte fehlende Multi-Faktor-Authentifizierungen aus,
  • während das "Qilin"-Kartell die Gefahr durch plattformübergreifende, Rust-basierte Malware und eigene Leak-Portale im Darknet vergrößerte.

Wie kritisch die Auswirkungen dieser organisierten Bedrohungsakteure im DACH-Raum tatsächlich waren, zeigt eine Reihe von weitreichenden Vorfällen aus dem vergangenen Jahr:

  • Kritische Infrastruktur und Flugverkehr: Ein Cyberangriff auf das Boarding-System eines großen Luft- und Raumfahrtunternehmens führte zu massiven Abfertigungsstörungen an mehreren europäischen Flughäfen, mit bestätigten Ausfällen auch am Flughafen BER in Berlin.
  • Behörden im Visier: Eine schwere Malware-Infektion zwang ein Ministerium dazu, seine E-Mail- und IT-Dienste temporär komplett vom Netz zu nehmen, um die Ausbreitung des Schadcodes zu stoppen.
  • Gefährdete Lieferketten: Im September 2025 kompromittierte der massive Supply-Chain-Angriff "Shai Hulud 2.0" über 600 npm-Pakete und 25.000 GitHub-Repositories. Dadurch wurden zehntausende Entwickler-Zugänge offengelegt, was auch DACH-Unternehmen mit vernetzten Software-Pipelines massiv gefährdete.

Erfolgreiche Gegenschläge: Die im November 2025 durchgeführte "Operation Endgame" von Europol zerschlug durch gezielte Razzien (unter anderem in Deutschland) Infrastrukturen von Botnetzen wie Rhadamanthys, die zuvor weltweit über 100.000 Krypto-Wallets kompromittiert hatten.

"Der alarmierende Anstieg der Angriffe um 124 Prozent im Vergleich zum Vorjahr verdeutlicht, dass die DACH-Region weiterhin attraktiv für Cyberkriminelle bleibt", erklärt Daniel Dreier, Area Manager DACH bei Check Point Exposure Management. "Insbesondere deutsche Unternehmen und Behörden stehen im Fokus von Hacktivisten. Sie nutzen geopolitische Spannungen für disruptive Kampagnen oder Erpressung aus. Angriffe zielen allerdings oft weniger auf finanziellen Gewinn ab, sondern wollen maximale öffentliche Aufmerksamkeit und Störungen verursachen."

Für das Jahr 2026 prognostiziert der Report eine weiterhin volatile Lage durch regulatorische und politische Risikofaktoren. Neben Business Services und Behörden wird der Druck auf das Gesundheitswesen, den Energiesektor und industrielle Ökosysteme stark zunehmen, weil Angreifer hier durch Störungen der Leistungserbringung eine maximale Hebelwirkung erzielen können.

Darüber hinaus birgt die gesetzlich geforderte Umsetzung der NIS2-Richtlinie in Deutschland sowie des NISG 2026 in Österreich kurzfristige Risiken: Bei der technischen Implementierung könnten vorübergehende Lücken in der Abwehr aufklaffen, die von Angreifern als Fenster gezielt ausgenutzt werden. Darüber hinaus werden die anstehenden Landtagswahlen in Deutschland sowie Referenden in der Schweiz als starke Katalysatoren für politisch motivierte Störaktionen, DDoS- und Desinformationskampagnen dienen. Experten warnen überdies davor, dass kurzzyklische Vergeltungsaktionen, wie sie nach der "Operation Eastwood" zu beobachten waren, nach polizeilichen Erfolgen zur neuen Norm werden könnten.

Um den wachsenden Herausforderungen zu begegnen, empfehlen die Sicherheitsforscher folgende strategische Maßnahmen:

  • KI-gestützte Erkennung: Einsatz von Künstlicher Intelligenz, um anomales Authentifizierungsverhalten und frühe laterale Bewegungen der Angreifer in den Netzwerken zu identifizieren.
  • Schwachstellen-Management: Kontinuierliches Scannen und schnelle Behebung von Schwachstellen, insbesondere bei internetfähigen Systemen und Cloud-Plattformen.
  • Absicherung der Lieferkette: Strenge Überprüfung von Drittanbietern und IT-Dienstleistern, da diese in der DACH-Region besonders häufig als Einfallstor dienen.
  • Ausbau der Incident Response-Fähigkeiten: Etablierung und regelmäßiges Testen von abteilungsübergreifenden Notfallplänen, um bei politischen oder finanziell motivierten Angriffen die Ausfallzeiten zu minimieren.

Die obigen Maßnahmen lesen sich zwar "sehr schön", ich habe aber Zweifel ob der Handhabbarkeit. Ob KI-gestützte Erkennung jetzt der Weisheit letzter Schluss ist, mag ich jetzt nicht abschließend beurteilen – aber in einer "Maßnahmenempfehlung" darf so was natürlich nicht fehlen. Und ob "Schlangenöl, abseits des beruhigenden Gefühls, wir haben was gemacht, hilft", da wird seit 30 Jahren drüber gestritten.

Schwachstellen-Management wäre wichtig, ist aber kaum machbar. Wie scannst und behebst Du als KMU oder auch Großunternehmen denn Schwachstellen in internetfähigen Systemen und Cloud-Plattformen? Gerade diese liegen doch bezüglich Absicherung und Wartung den Anbietern. Und wenn die einen schlanken Fuß machen, kannst Du zappeln wie du willst. Der Vorschlag verkommt zu "weißer Salbe".

Bezüglich der Absicherung der Lieferkette denke ich, dass das wichtig wäre, aber kaum machbar ist. Ein Großteil der Betriebe liegt im KMU-Bereich mit unter 10 Mitarbeitern. Da wird keiner die Kapazität haben, da irgend eine Überprüfung zu fahren. Und selbst große Unternehmen dürften sich schwer tun. Etwas weniger Outsourcing, etwas mehr nachdenken, ob man alle Hype-Trends in der IT mitmachen will, würde bereits helfen. Lieferkettenangriffe, wie wir sie in den letzten Monaten auf npm-Pakete gesehen haben, können eigentlich nur von Entwicklerseite, z.B. durch Paket-Pinning, pariert werden. Als Firma hast Du doch Null Chance, so etwas zu erkennen.

Einzig der Ausbau der Incident Response-Fähigkeiten könnte was bringen, sprich: Es wäre schon einiges gewonnen, wenn wenigstens was schriftliches vorliegt, welche Schritte bei einem Cybervorfall zu unternehmen sind. Wäre auch bei KMUs möglich, aber wer macht dass schon? Wäre das nächste Papier, neben der Dokumentation des "Leiternbeauftragten", das in den Schubladen abgelegt wird. Oder wie seht ihr da so?

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

36 Kommentare zu Ransomware-Angriffe: Die Gefahr steigt und die Unternehmen bezahlen …

  1. Norddeutsch - ohne Schlaf sagt:

    Bild vom Akira-Darkweb-Listing (Mecanex USA, Subsidiary) und weiterer Artikel auf Heise hier.

    "anomales Authentifizierungsverhalten" … selbst ein fail2ban ist eine konkrete & effektive technisch-organisatorische Maßnahme (TOM, gefordert zB durch DSGVO) die immer weniger eingesetzt wird oder in Tenant/Cloud-Strukturen ermöglicht ist… die genannten unteren 4 Punkte sind sinnvoll – jedoch ohne Konkretisierung (sorry für die harrsche Formulierung) eher Marketingtaugliches Bullshit-Bingo – wenn wir es nicht auf jeweiligen Einzellfall & Lösung adaptieren & konkretisieren.

    Analogie der Maßnahme in die Rinderzucht: "Überlebens-Management: Das Kalb muss beim Ziehen überleben" – wie dies mit Maßnahmen umzusetzen ist bleibt wieder uns überlassen. Der nur strategische Wunsch ist Vater des Gedanken.

  2. Mark Heitbrink sagt:

    solange Lösegeld zahlen billiger ist, als Maßnahmen zu ergreifen/umzusetzen, wird sicherheit klein geschrieben

    • WLanHexe sagt:

      Heißt, die Angreifer sind entweder dumm oder sehr schlau… Sie könnten ggF. noch mehr Lösegeld herausquetschen, oder sie wissen genau wie teuer Maßnahmen zum Schutz sind und bleiben atraktiv darunter. Ich fürchte zweiteres ist der Fall. Traurig wo wir mitlerweile stehen.

      • Mark Heitbrink sagt:

        die Lösegeld Summe orientiert sich am Unternehmen. es soll ja überleben, damit es erneut zahlen kann.

        • Red++ sagt:

          Das heißt aber auch wer einmal Zahlt, zahlt wahrscheinlich auch beim nächsten Mal wieder und wird gemolken wie ne Kuh.
          Ich finde diese Vorgehensweise nicht gut, sonst macht das Furore und am Ende zahlen alle.
          Im Grunde Zahlt der Steuerzahler und Kunde immer, die Preise werden eben nur noch teurer.
          Im Supermarkt zahlst du auch für die Diebe mit.

          • Stefan sagt:

            Wie Helmut Schmidt schon sagte: "mit Verbrechern wird nicht verhandelt". Verstehe nicht, warum sich Firmen das so leicht machen und sich damit immer wieder erpressbar machen.

            • User007 sagt:

              Was gibt's daran nicht zu verstehen?
              Du schreibst's doch selbst – es ist "leichter" bzw. würd' sogar ich das sogar eher noch mit "bequemer" bezeichnen, anstatt sich mglw. auch durchaus kostenintensiv mit der Ursache auseinanderzusetzen.
              Entspricht doch der allgemein gesellschaftloichen Handhabungstendenz! 🤷‍♂️

              • Varus sagt:

                Der Umsetzung des Spruchs ist dennoch mittelfristig zielführend. Wie könnte der Staat diesen kriminellen Erpressungssumpf austrocken lassen? Das ist releativ einfach:
                Die größten der Angreifergruppen (drei Beispiele sind ja hier im Artikel genannt) werden definitionsgemmäß zur kriminellen Vereinigung im Sinne des § 129 StGB erklärt und zukünftig würde sich jeder CEO, der mit Lösegeldzahlungen die Erpressungsmasche finanziell fördert, strafbar machen.
                Das würde den Sumpf austrocknen und außerdem die Motivation zur Gewährleistung der Datensicherheit (IT-Security) steigern. Zwei Fliegen mit einer Klappe.

            • Günter Born sagt:

              Wir sollten das in diesem Diskurs jetzt nicht vertiefen, da die Aussage des damaligen Bundeskanzlers in einem anderen Kontext erfolgt.

              Im Übrigen wissen Insider aus dem Sicherheitsbereich, dass die "Zahlenden" sehr schnell fett auf den Bauch fallen. Daten werden trotzdem veröffentlicht, verschlüsselte Dateien lassen sich, wegen Bugs nicht entschlüsseln, oder der nächste Vorfall lauert schon um die Ecke. Die Unternehmen müssen halt Lehrgeld bezahlen – wie es ausschaut.

  3. Anonym sagt:

    "…auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden."
    Lösegeld wird doch erst verlangt, wenn der Angriff erfolgreich war. Wie kann man schon zahlen wenn ein Angriff noch läuft?
    P.S: Warum muss man jetzt auch hier eine Emailadresse und einen Namen eintragen?

    • Daniel sagt:

      Das mit Email und Name ist schon eine Weile so. Günter will sich bestimmt absichern wenn hier strafrechtlich relevante Inhalte gepostet werden.

      • Günter Born sagt:

        Schaut bitte in 'Kommentieren im Blog', abrufbar in der Menüführung. Da ist alles erklärt, genau wie im Test unter dem Kommentarfeld. Ich muss schauen, ob ich die E-Mail-Adresse optional kriege. Jetzt stecke ich mal wieder Zeit in Sachen, die unnötig wären, wenn es nicht Leute gibt, die die ziemlich entgegenkommenden Kommentarregeln missbrauchen.

    • Mark Heitbrink sagt:

      Verschlüsselung erfolgt = erfolgreich ?
      die Angreifer sind immer noch in deinem Netz. du möchtest die Daten und das sie gehen. das ist dann der Ende des Angriffs

      • User007 sagt:

        Na ja, genau SOWAS kann eben nicht jedes Unternehmen, dass IT betreiben muß, leisten, weil's sonst das Unternehmen nicht mehr gibt/gäbe.
        Allerdings scheitert's auch grad' im KMU-Bereich oftmals einfach an simpler Unwissenheit/Ignoranz der Entscheider bzw. anders gelagerter Priorisierung.
        Erleb' ich fast täglich und hatte schon Fransen auf den Zähnen vom guten Zureden, aber mittlerweile spar' ich mir sämtliche Bekehrungsenergie und laß sie "in den Abgrund reiten" bzw. mich angemessen für die Schadensbeseitigung bezahlen. 😉

  4. R.S. sagt:

    Lösegeld zahlen ist eine schlechte Idee.
    Denn dadurch bestätigt man den Cyberkriminellen, das sich so ein Ransomwareangriff lohnt.
    Es ist quasi ein "gut gemacht, Angreifer!"

    Und was die Wiederherstellung der Daten angeht:
    Das muss innerhalb kurzer Zeit aus dem Backup möglich sein.
    Ist das nicht möglich, taugt das Backupkonzept nicht wirklich.
    Backups auf Offlinemedien, damit sind die vor Ransomware geschützt.

    Und bzgl. Sicherheit sollte ein Unternehmen nicht sparen.
    Ein Unternehmen, das aus Kostengründen bei der Sicherheit spart ist wie ein Fallschirmspringer, der aus Kostengründen auf den Reservefallschirm verzichtet.

    • xx sagt:

      Ist leichter gesagt wie getan. Was Kunden nicht kennen, vermissen sie auch nicht.
      Was Kunden nie passiert ist, erzeugt auch keine Unsicherheit.

      "Haben wir nie so gemacht, hat immer funktioniert"
      "Der/Die Server waren so teuer, die gehen doch nicht kaputt" "Sind es etwas schlechte Geräte?"
      "Der Hersteller hat uns versichert seine Software ist sicher"
      "Von Updates hat der Hersteller nichts gesagt"
      "Was für das Update des Herstellers X soll man Ihnen x Stunden zahlen? Was das nicht beim Preis dabei?"
      "Wir machen Backups, regelmäßig auf einen/den USB Stick" (nur halt die letzten 20 Wochen .. nie.. weil wir den Stick nicht gefunden haben)
      .
      .
      "Ich verwende überall das gleiche Passwort, das ist gut, das kann ich mir leicht merken, und damit gab es noch nie Probleme"
      "Wir verwenden doch Office 365, das ist doch eh wie ein Backup"
      .
      .

      • Exchadmin sagt:

        Wir können ein Lied davon singen.
        Leider ist das genau so.

        Was nicht war, dass passiert uns auch nie.

        • Christian Krause sagt:

          dito

        • R.S. sagt:

          Tja, da kann ich nur sagen:
          Die sind alle schlau!
          Einige vorher und die meisten hinterher.

          Kein Mitleid mit solchen Firmen/deren Entscheidungsträgern.

          Sicherheit wird in vielen Firmen klein geschrieben.
          Bei ihren Gebäuden ziehen die sicher auch nur die Tür ins Schloss und bringen ein Betreten verboten-Schild an.

          • User007 sagt:

            "Kein Mitleid mit solchen Firmen/deren Entscheidungsträgern."
            Lässt halt leider außer Acht, dass die selten bis nie die Konsequenzen dafür zu tragen haben, sondern eben immer der Kund…äh, Konsument (bzw. Bürger) über in Folge höhere Preise. 🤷‍♂️

            • R.S. sagt:

              Es gibt schon manchmal sehr sehr bittere Konsequenzen.
              Letztes Jahr hatte doch eine Firma in afaik Bayern einen Ransomwarevorfall. Und die Daten ließen sich nicht wieder herstellen.Folge war, das die Firma Insolvenz anmelden musste und heute nicht mehr existiert.
              Und die Hauptursache sehe ich im mangelhaften Backupkonzept.
              Hat man ein vernünftiges Backupkonzept, kann einem Ransomware nicht schrecken.
              Da macht man alles platt und rekonstruiert alle Systeme aus dem Backup.

              • aus dem Rhein-Main Gebiet sagt:

                @R.S.
                Nunja, vernünftiges Backupkonzept zu haben, ist das eine.
                Die Wiederherstellung von verschiedenen Szenarien zu können, ist die Königsdiziplin.
                Die Krux isst, daß die Unternehmen ein Backup haben. Aber die Wiederherstellung verschiedener Szenarien nicht üben.
                Ich mache bei verschiedenen Kunden mindestens einmal im Jahr die K-Fallübungen mit. Entweder als Beobachter, oder als Beteiligter. Und da sieht man dann wer seine Hausaufgaben macht.

                Beim Thema Backup und Recovery sind viele halt mangelhaft aufgestellt. Sei es wegen den Prioritäten, den Kosten, Schulungen, Manpower, Dokumentation, usw.

                Wie oft habe ich schon Aussagen wie:
                "Ja, wir haben Backup. Haben wir aber noch nie so richtig gebraucht. Hin und wieder eine Datei oder Verzeichnis zurückladen, das wars. Eigentlich ist das doch oversized."
                Und wenn man dann mal nach dem K-Fall Szenario nachfragt, sieht man erstaunte Gesichter.

              • User007 sagt:

                Bitter halt eher "nur" für das angestellte Personal am Ende der sog. "Nahrungskette", weil die halt immer für die Konsequenzen von Fehlern der Entscheidungsträger gerade stehen müssen.
                Aber natürlich wird auch niemand entlassen, weil er so, wie jene Entscheider, oftmals in der priorisierten Interessenbehaftung der Unternehmen handelt.
                Ist lediglich perfektionierte Risikoabwälzung nach dem Vorbild der Beweislastumkehr.
                Und welchem Mitarbeiter, dem in kleineren Unternehmen eher nur beiläufig die IT-Betreuung aufgedrückt wird und der wohl fachlich eine andere Qualifizierung aufweist, will man nicht gut oder gar nicht vorhandene Backup-Konzeptionierungen vorwerfen?

                • R.S. sagt:

                  Wenn man es selbst nicht kann, dann beauftragt man ein Systemhaus, ein Backupkonzept zu erstellen und zu implementieren, das in einem Handbuch zu dokumentieren und dann werden vom Systemhaus 1-2 Mitarbeiter in der Anwendung des Backupkonzeptes geschult.

                  Und das Thema Backup ist doch nicht neu.
                  Das ist nicht nur bzgl. Ransomware wichtig, sondern ganz allgemein.
                  Ich erinnere mich da an einen Vorfall bei einem ehemaligen Konkurrenzunternehmen vor ca. 20 Jahren:
                  Die hatten einen Server mit Raid 5.
                  Da ging plötzlich nichts mehr.
                  Man hat das analysiert und festgestellt das 2 Festplatten im Raid 5 defekt waren. Die eine Festplatte war aber schon vor Monaten ausgefallen, nur gemerkt hat das niemand, weil der Server ja weiter lief.
                  Erst beim Ausfall der zweiten Platte hat man das gemerkt.
                  Dann hat man die Platten getauscht und wollte das Backup zurückspielen.
                  Und da kam dann die zweite Nachlässigkeit ans Licht:
                  Man hat festgestellt, das das regelmäßige Backup schon seit fast 6 Monaten immer mit Fehlern abgebrochen war.
                  Es war also kein aktuelles Backup vorhanden.
                  Die Firma hat es nach dem Vorfall nicht mehr lange gegeben.
                  2 Nachlässigkeiten haben dazu geführt:
                  1. Keine regelmäßige Kontrolle des Systemstatus
                  2. Keine regelmäßige Kontrolle des Backupstatus.
                  Dabei gab es schon damals Systeme, die einen z.B. per Email über Störungen, Status etc. informieren.

  5. Mira Bellenbaum sagt:

    1. Ist es nicht so, dass Datenschutzvorfälle gemeldet werden müssen?
    Scheint so, dass die Strafen für das nicht melden noch zu gering sind! Auch könnte man ja mal in erwägung ziehen, den/die Gesellschafter in Haftung zu nehmen. (Knast!)
    2. Ist es nicht untersagt Lösegeld zu zahlen?
    Wenn nein, sollte das, Unterstrafe gestellt werden. Auch mit Haftung der "Chefs" (Knast).

    • User007 sagt:

      Hmm…
      Wie soll eine im Sinne des Liberalismus freiheitlich-demokratischer Entfaltung getroffene Individual-Entscheidung unter Strafe gestellt werden können?

  6. Uwe sagt:

    Solange Präventivmaßnahmen teuerer sind als Zahlen wird lieber gezahlt…
    Wo niemand dran denkt: Hacker sind Wiederholungstäter….die verschlüsseln nach Zahlung auch gern ein zweites mal, wenn wieder nicht agiert wird…

    gleicht dem Satz: Wer billig kauft, kauft zwei mal…

    • xx sagt:

      Hier in dem Umfeld könnte man schon den Begriff Hacker und Kriminelle differenzieren.

    • Heiko A. sagt:

      Nur sind Präventionsmaßnahmen langfristig gesehen nicht teurer als wiederkehrend Lösegeldforderungen nachzugeben oder Maßnahmen ergreifen zu müssen, um Schäden oder neu entdeckte Risiken zu beseitigen.

      Das ist eines der Kernprobleme vieler Unternehmen, deren Führung nur kurzfristig denkt. Es ist eben auch leichter Personal zu entlassen, statt sich mit tiefer liegenden Problemen auseinanderzusetzen. Man kann auch das Symptom (die Wirkung) statt die Ursache kritisieren. Da verstehen manche schon nicht die Kausalität.

      Und genau so wird IT-Sicherheit in vielen Unternehmen gehandhabt: IT-Sicherheit weist an und setzt um, obwohl die Anweisung vom IT-Risikomanagement kommen muss, damit die IT-Sicherheit sie umsetzt. Und so müssten IT-Risikomanagement und das betriebliche Risikomanagement Hand in Hand gehen, um die Unternehmensentwicklung mitzugestalten, gepaart mit einer langfristigen Strategie. IT-Risikomanagement und betriebliches Risikomanagement sucht man in manchen Unternehmen vergebens. Aber ja, wäre auch zu einfach und kostengünstiger.

      • R.S. sagt:

        Ja, oft genug werden nur die Symptome bekämpft anstatt die Ursachen anzugehen.
        Das ist ungefähr so, als wenn sich jemand mit einem Hammer ständig auf den Finger haut.
        Und weil das weh tut, nimmt er Schmerzmittel anstatt einfach aufzuhören, sich mit dem Hammer auf den Finger zu hauen.

  7. R.S. sagt:

    Und noch etwas soll auch schon vorgekommen sein:
    Cyberkriminelle rücken trotz Zahlung nicht den Entschlüsselungscode heraus, manchmal sogar, weil die den selbst nicht kennen, da eine Entschlüsselung nie vorgesehen war.

    Und in dem Fall hat ein Unternehmen den doppelten Schaden:
    Die Daten sind weiterhin verschlüsselt und zusätzlich ist noch das erpresste Geld weg.

  8. Red++ sagt:

    Ich sehe da eigentlich nur wieder eine große Spamflut mit Trittbrettfahrern auf uns zu rollen …, "ich habe ihren Router gehackt, und weis, was sie im Netz alles so treiben und welche Seiten sie besuchen … wenn sie nicht zahlen werde ich alle links an all ihre Kontakte senden."
    Woher sollen wir dann noch wissen welche Mail echt oder falsch ist, wenn die Mails kommen??

    • User007 sagt:

      "[…] wenn sie nicht zahlen werde ich alle links an all ihre Kontakte senden.""
      Kann ja nicht schlimm sein, da ja offensichtlich – nach wie vor – die Mehrheit der Bevölkerung immer so rein gar nichts zu verbergen hat. 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.