Ransomware
Sicherheitsmythen: Top-Ranking der Angriffsmethoden
Ransomware gilt als die erfolgreichste Angriffsmethode. Klar, sie ist sehr einträglich, doch gibt es weitaus lukrativere Taktiken. Kapitulation vor staatlichen Angreifern ist unvermeidbar? Auch hier belehrt Sie unser Faktencheck eines Besseren.
Die Ansicht, Ransomware sei die erfolgreichste cyberkriminelle Angriffsmethode, hält sich hartnäckig, und Angriffe mit Software, deren Ziel es ist, ein Opfer zu erpressen, sind weltweit gefürchtet – das ist unbestritten, und auch dass Kriminelle mit der Methode Millionen umsetzen. Etwa 900 Millionen Dollar waren es 2024, hat Chainalysis errechnet. Die Firma überwacht seit Jahren Zahlungseingänge einschlägiger Cryptowallets. Ebenso wahr ist leider, dass die von Kriminellen geforderte Summe dabei meist nur einen Bruchteil des erzeugten Schadens darstellt.
Aber ist es auch die erfolgreichste bzw. einträglichste Angriffsmethode für Kriminelle? In den Statistiken des FBI wird Internetbetrug mit Investitionen (Investment Scam) als Topmethode geführt. Allein in den USA belief sich 2024 die Betrugssumme auf 6,6 Milliarden Dollar. Die Methode setzen Kriminelle hauptsächlich gegen Privatpersonen ein. Aber auch bei Angriffen auf Unternehmen ist Ransomware statistisch eher weiter hinten. Die so genannte „Chefmasche“ (BEC – Business E-Mail Compromise), also das Vortäuschen einer Respektsperson, die Mitarbeiter auffordert, Geld zu überweisen, liegt weiter vorn und hat allein in den USA Kriminellen etwa 2,8 Milliarden Dollar eingebracht.
Wieso dominiert trotzdem die Erpressungsmethode die Schlagzeilen? Nun, der Schaden ist sehr offensichtlich und in vielen Fällen dramatisch. Die meisten BEC-Taten sind dagegen peinlich und werden von Unternehmen deshalb unter den „virtuellen Teppich“ gekehrt.
Auch sind Ransomware-Angriffe verhältnismäßig aufwändig und bringen den Tätern zudem immer weniger Ertrag. Erscheint es den Akteuren zu komplex, die Daten eines Unternehmens zu verschlüsseln oder fehlt möglicherweise der Zugriff auf das Backup – von entscheidender Bedeutung – so lohnt die Tat meist nicht. Statt Verschlüsselung werden in diesen Fällen meist Daten „gestohlen“, mit denen das Opfer dann wiederum erpresst wird, oder die dann anderweitig monetarisiert werden. Dennoch sollte man nie die Vorsicht außen vor lassen.
Aber bei der Aufwand/Nutzen-Kalkulation gibt es auch Ausnahmen, denn der destruktive Charakter der Erpressermethode macht sie interessant für politisch motivierte Täter, die nicht auf Geld aus sind, sondern einem „Feind“ schaden wollen.
Apropos politisch motivierte Täter – auch da hält sich ein weiterer Mythos:
Gegen staatliche Angreifer haben wir keine Chance
Die Allmacht staatlicher Hacker ist einer der ältesten Mythen. Sie wird gern angeführt, um dem forschen Vertriebler den Wind aus den Segeln zu nehmen, wenn der gerade wieder mal das Schreckgespenst eines russischen Cyberangriffs an die Wand malt, um sein Produkt an den Mann zu bringen. Und tatsächlich stünden die Chancen für die meisten Unternehmen schlecht, würde man sich einer ernsten Attacke eines staatlichen Täters ausgesetzt sehen. Allerdings sind die meisten politischen Taten so genannten Hacktivisten zuzuschreiben, die aus ihrer Sicht für „das Gute“ kämpfen.
Was gut oder böse ist, variiert dabei je nach Herkunft und Bubble, in der man sich befindet. Das gilt auch für die Frage, welche Mittel im Kampf erlaubt sind. Hacktivisten sind meist schlecht ausgerüstet. Da sie vor allem Aufmerksamkeit erzeugen wollen, nehmen sie, was sie kriegen können.
Aus Security-Sicht ist die Masse der Einzeltaten das größere Problem. Denn sie lenkt oft die Aufmerksamkeit vom deutlich subtileren Vorgehen ernst zu nehmender Täter ab. In den letzten Jahren stellen wir allerdings zunehmend fest, dass staatliche Akteure Einfluss nehmen auf Hacktivisten und ihnen mit Technologie und Rat unter die Arme greifen.
Aber was ist dann mit den „richtigen“ staatlichen Akteuren? Diese agieren mit Zero Day-Sicherheitslücken, Bestechung und anderen miesen Tricks. Es gibt tatsächlich Gründe, warum man nur selten etwas über entdeckte Fälle dieser Kategorie erfährt. Sie kommen nicht sehr häufig vor. Denn besonders die wirklich ausgereiften Attacken kosten auch die Täter Zeit, Geld und Aufwand. Sie werden deshalb nur für wenige und sehr hochwertige Ziele verwendet. Man versucht dann, so lang wie möglich davon zu profitieren. Fliegt man auf, wird nicht nur der Angriff analysiert, auch andere Opfer werden möglicherweise gewarnt, oder dieselbe Attacke wird auf Ziele im eigenen Land angewendet. Dabei gilt, je häufiger eine Methode eingesetzt wird, desto höher auch die Chance entdeckt zu werden.
Als Unternehmen kann man sich dagegen nicht verteidigen, oder? Kommt es für staatliche Hacker auf Masse an, werden weniger ausgefeilte, aber dafür billigere Taktiken verwendet. Gegen beide Taktiken haben Unternehmen gute Verteidigungschancen, wenn sie Cybersecurity ernstnehmen. Dazu reichen erstaunlich oft auch Verfahren, die für den „normalen“ Schutz auch zum Einsatz kommen. Allmächtige Angreifer gibt es nicht, aber auch keine allmächtigen Verteidiger!
Es gibt noch weitere Mythen, die sich hartnäckig halten: „Kritische Lücken müssen zuerst geschlossen werden“ und „Kryptowährungen sind sicher“. Der nächste Beitrag nimmt sich ihres Wahrheitsgehalts an!