Ransomware als Geschäftsmodell

Wie es funktioniert und wie Sie sich schützen können

Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Schweiz

Ransomware-Angriffe sind für Cyberkriminelle zu einem lukrativen Geschäft geworden, mit dem sie jährlich Summen in Höhe mehrerer Millionen erbeuten. Die Gruppe hinter der Ransomware NetWalker soll zum Beispiel über 25 Millionen US-Dollar Lösegelder innerhalb von vier Monaten eingestrichen haben. Rund um Ransomware hat sich mittlerweile eine Wertschöpfungskette entwickelt, in die verschiedene, professionell agierende Gruppen involviert sind. Dazu gehören die Entwickler und Verkäufer der Malware, die ganz im Sinne der heutigen Serviceökonomie «Ransomware-as-a-Service» anbieten, sowie die Betreiber der Malware, die sie verbreiten und nutzen.

Auch Spezialisten für den «Support», die zum Beispiel über Hotlines die Anfragen der unfreiwilligen «Kunden» abwickeln, gehören dazu. Diese Ausdifferenzierung führt zu einer gewissen Vielfalt bei der Auswahl der Ziele – es geraten nicht nur grosse Firmen und Konzerne in das Visier der Kriminellen.

61% der Führungskräfte in der Schweiz erwarten eine Zunahme der meldepflichtigen Ransomware-Angriffe im Jahr 2022.

Quelle: PwCs Global Digital Trust Insights 2022
The New Equation

Cybersecurity und Datenschutz

Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.

Mehr erfahren


Entwicklung der Ransomware-Angriffe

Ursprünglich wurden bei einem Ransomware-Angriff die relevanten Arbeitsdaten im Firmennetzwerk mithilfe von Schadsoftware verschlüsselt. Für die Entschlüsselung verlangten die Angreifer dann ein Lösegeld (Ransom). Damals nahmen die Cyberkriminellen fast wahllos so viele Firmen und Systeme wie möglich ins Visier. Allein durch die Masse der Betroffenen ergab sich ein lukratives Geschäftsmodell. Viele Firmen haben sich inzwischen mit einem funktionierenden Konzept für Datensicherung und -wiederherstellung als effektivste Massnahme gegen diese Art von Angriffen ausgestattet und sind gut gewappnet. Das führte zur Verringerung der Einnahmen seitens der Cyberkriminellen, die daraufhin ihr Geschäftsmodell anpassten.

Die Angreifer gehen mittlerweile einen Schritt weiter und kopieren vor der Verschlüsselung sensible Daten, insbesondere Kundendaten, um ihre Opfer zusätzlich mit der Veröffentlichung dieser Daten zu erpressen. Sie suggerieren den Betroffenen, dass durch die Veröffentlichung ein Verstoss gegen Datenschutzgrundverordnungen (bspw. EU-GDPR/DSGVO) vorliegen würde und die Firma deswegen zur Zahlung eines hohen Bussgelds verpflichtet sei. Richtig ist, dass durch einen derartigen Vorfall ein tatsächlicher Verstoss gegen Datenschutzverordnungen oder Gesetze aufgedeckt und auch weiterverfolgt werden kann. Falsch hingegen ist die Schlussfolgerung, dass die Lösegeldzahlung oder deren Ablehnung Einfluss auf den Tatbestand eines Verstosses gegen die DSGVO haben könnte.

Fakt ist: Bei einem erfolgreichen Ransomware-Angriff droht nahezu immer ein bedeutender Schaden, sei es der Imageschaden durch die Veröffentlichung von Kundendaten (z. B. Passwörter, medizinische Unterlagen, Finanzdaten, Kaufgewohnheiten) oder der Verlust geistigen Eigentums (z. B. Quellcodes, Konstruktionspläne, Rezepturen, Filme). Nicht selten sehen die betroffenen Firmen in der Lösegeldzahlung das geringere Übel und gehen auf diese ein.

Cyber incident response and recovery

Bereiten Sie sich dank unserer vielseitigen und flexiblen Lösungen – einschliesslich Gesamtpaketen – erfolgreich auf bevorstehende Cyber-Bedrohungen vor.

Zum Angebot


Phase 1: die Vorbereitung

Stellen Sie sich die angreifende Person als Mitarbeiter:in einer kleinen kriminellen Organisation innerhalb der Wertschöpfungskette für Ransomware vor. Die wesentliche Aufgabe dieser Person besteht darin, geeignete Unternehmen als Angriffsziele zu identifizieren und den Angriff durchzuführen. Im ersten Schritt werden die potenziellen Ziele ausgespäht und Informationen über sie gesammelt. Dafür gibt es zwei verschiedene Vorgehensweisen: Es kann die breite Masse anvisiert werden, um möglichst viele Unternehmen zu erpressen – einige von ihnen werden bestimmt auf die Lösegeldforderungen bis zu einer gewissen Höhe eingehen. Die lukrativere Option besteht jedoch in der gezielten Auswahl von Unternehmen mit sehr sensiblen Daten, um möglichst hohe Lösegelder fordern zu können. In unserem Szenario entscheidet sich der:die Angreifer:in für die zweite Variante. Dazu arbeitet die Person eine Liste von Firmen ab und recherchiert in unterschiedlichen Quellen, um mehr über die fraglichen Unternehmen zu erfahren. Sie liest insbesondere die öffentlich verfügbaren Finanzberichte. Daraus kann sie unter anderem ableiten, wann das Unternehmen zuletzt Investitionen in die IT getätigt hat und wie viel Lösegeld sie verlangen kann. Sie sucht auch nach Stellenausschreibungen, denn diese können für Cyberkriminelle besonders aufschlussreich sein, etwa wenn Administratoren mit Kenntnissen für veraltete Systeme wie Windows 7 oder Windows Server 2008 R2 gesucht werden. Die gewonnenen Informationen fasst sie in einem Kurzprofil zusammen, um sie zu bewerten und zu priorisieren. Dabei wird der mögliche Gewinn stets dem erwarteten Aufwand gegenübergestellt.

Nach der Wahl eines Ziels sammelt die angreifende Person weitere Informationen. Sie erstellt zum Beispiel Listen von Mitarbeiter:innen und ihren E-Mail-Adressen oder versucht herauszufinden, ob einige Server, Clients, IoT-Geräte oder Produktionsanlagen (Operational Technology, OT) aus dem Internet erreichbar sind und Anmeldeversuche mit Standardnamen und Passwörtern zulassen.

Die Vorbereitung der Malware und weiteren Tools wurde bereits von Dritten erledigt oder eingekauft. Der:die Hacker:in muss lediglich die passenden Versionen für das Ziel auswählen und einstellen, also die IP- und E-Mail-Adressen eintragen. Zudem richtet er:sie die eigene Infrastruktur ein, in die die entwendeten Kundendaten hochgeladen werden sollen.

Emerge stronger through disruption podcast

Ransomware attacks hit without warning, inflicting serious damage with effects that can linger for years. With strong crisis management capabilities, however, companies can mitigate the damage – and even grow trust with customers, deepening the connection to their values and purpose.

Listen now

Ausblick

Auch wenn sich einzelne Schritte im Detail unterscheiden, ist der Ablauf eines Ransomware-Angriffs im Grunde immer gleich. Er lässt sich anhand von vier Phasen – Vorbereitung, Angriff, Ausbreitung und Infektion – darstellen. In unserer Blog-Serie veranschaulichen wir diese Phasen anhand eines Beispielszenarios aus der Sicht eines Ransomware-Betreibers und zeigen auf, welche Schutzmassnahmen wirklich effektiv sind. Abschliessend befassen wir uns mit rechtlichen Aspekten von Ransomware-Zahlungen.

#social#

Kontaktieren Sie uns

Johannes Dohren

Johannes Dohren

Partner, Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 22 20