Allianz-Bericht: Die Zahl der Ransomware-Vorfälle steigt – Früherkennung wird immer wichtiger

Nach zwei Jahren mit Schadenssummen auf hohem, aber stabilem Niveau ist 2023 ein besorgniserregender Anstieg von Ransomware- und Erpressungsschäden zu verzeichnen. Grund dafür ist eine sich weiter entwickelnde Bedrohungslandschaft. Das stellt Allianz Commercial in einem neuen Bericht fest.

Hacker nehmen zunehmend digitale und physische Lieferketten ins Visier, starten massenhafte Cyberangriffe und finden neue Wege, um Geld von Unternehmen zu erpressen. Bei den meisten Ransomware-Angriffen werden inzwischen persönliche oder sensible Geschäftsdaten gestohlen, um diese Erpressung zu ermöglichen. Das erhöht die Kosten und die Komplexität der Vorfälle und macht Reputationseinbußen wahrscheinlicher. Die Analyse von Allianz Commercial zeigt, dass die Zahl der Fälle, in denen Daten abfließen, seit Jahren steigt – von 40 Prozent im Jahr 2019 auf fast 80 Prozent im Jahr 2022, mit einem absehbaren signifikanten Anstieg im Jahr 2023.

„Die Zahl der Cyber-Schäden ist in diesem Jahr erneut gestiegen, weil Ransomware-Gruppen ihre Taktiken weiterentwickeln“, sagt Scott Sayce, Global Head of Cyber, Allianz Commercial. „Auf Basis der Schadenfälle der ersten Jahreshälfte erwarten wir einen Anstieg der Zahl der Schadenfälle um 25 Prozent bis zum Ende des Jahres. Unsere Analysen zeigen: Die Angreifer sind zurück, sie konzentrieren sich auf westliche Volkswirtschaften, sie verfügen über leistungsstärkere Tools und verbesserte Angriffsmechanismen. Bei dieser Entwicklung ist klar: Ein gut geschütztes Unternehmen ist entscheidend, um der Bedrohung zu begegnen. Zu diesem Schutz gehören insbesondere starke Erkennungs- und Reaktionsfähigkeiten.“

Laut dem Allianz Commercial „Cyber Security Trends 2023 - The latest threats and risk mitigation best practice – before, during and after a hack”-Report stabilisierte sich die Zahl der Cyber-Schäden 2022. Das spiegelte eine verbesserte Cyber-Sicherheit und ein besseres Risikomanagement bei den versicherten Unternehmen wider. Außerdem nahmen Strafverfolgungsbehörden Ransomware-Gangs in den Fokus und der russische Angriffskrieg auf die Ukraine dämmte die Aktivitäten der Kriminellen ebenfalls ein. Zugleich stiegen die Ransomware-Aktivitäten allein in der ersten Jahreshälfte 2023 um 50 Prozent. Zu der hohen Zahl von Angriffen tragen vor allem sogenannte „Ransomware-as-a-Service“ (RaaS)-Angebote bei, die schon ab 40 Dollar zu haben sind. Hinzu kommt, dass Kriminelle mehr Angriffe in einer schnelleren Abfolge ausführen: Die durchschnittliche Dauer eines Angriffs fiel von 60 Tagen im Jahr 2019 auf nur noch vier Tage. 

„Vorfälle mit doppelter und dreifacher Erpressung (double and triple extortions), bei denen Kriminelle Verschlüsselung, Datenextraktion und DDoS-Angriffe kombinieren, sind nicht neu, treten aber jetzt häufiger auf“, sagt Michael Daum, Global Head of Cyber Claims, Allianz Commercial. „Wir erklären das damit, dass verschiedene Faktoren zusammengenommen das Abgreifen von Daten für Kriminelle interessanter macht. Dazu gehört etwa, dass der Umfang der gesammelten persönlichen Daten zunimmt, während zeitgleich die Vorschriften zum Schutz der Privatsphäre und zu Datenschutzverletzungen verschärft werden – was den Angreifern ein stärkeres Druckmittel bietet. Außerdem gibt es einen Trend zum Outsourcing digitaler Dienstleistungen und zum Fernzugriff, was mehr Einfallstore bietet, die solche Akteure ausnutzen können.“ 

Datenextraktion kann die Kosten eines Verlusts oder Cyber-Schadens erheblich steigern: Solche Vorfälle zu lösen nimmt oft mehr Zeit in Anspruch, während die Rechts- und IT-Forensik-Kosten sehr hoch sein können. Wurden Daten entwendet, müssen Unternehmen genau wissen, welche Daten abgeflossen sind und in der Regel Kundinnen und Kunden informieren. Diese wiederum könnten Schadenersatzansprüche stellen oder klagen. 

Zum starken Anstieg von Cyber-Schäden trugen 2023 mehrere großangelegte Ransomware-Angriffe bei, bei denen Cyber-Kriminelle Schwächen in Software-Produkten und IT-Supply-Chains ausnutzten, um mehrere Unternehmen gleichzeitig anzugreifen. Ein Beispiel ist der Großangriff auf „MOVEit“, bei dem eine Software für Datenübertragung als Einfallstor genutzt wurde: Allein in diesem Fall waren Millionen von Einzelpersonen und Tausende von Unternehmen betroffen. 

„Wir können uns in der Zukunft auf eine steigende Zahl von Cyber-Attacken einstellen“, führt Michael Daum weiter aus. „Unternehmen und ihre Versicherer brauchen ein besseres Verständnis davon, welche Vernetzungen und Abhängigkeiten zwischen Unternehmen und in digitalen Lieferketten bestehen.“

In der Vergangenheit wurden nur wenige Cyber-Vorfälle öffentlich. Das hat sich geändert, weil Angreifer nach einer erfolgreichen Datenextraktion häufig Teile der Informationen veröffentlichen und damit drohen, weitere gestohlene Daten online zu stellen. Eine Analyse großer Cyber-Schäden (1 Mio. Euro und mehr) zeigt, dass die Zahl der Fälle, die öffentlich wurden, von rund 60 Prozent im Jahr 2019 auf 85 Prozent 2022 gestiegen ist – für 2023 ist eine noch höhere Zahl zu erwarten. „Wenn Sie heutzutage Opfer einer Datenextraktion werden, können Sie damit rechnen, dass das öffentlich wird. Darauf sollte jedes Unternehmen vorbereitet sein“, sagt Rishi Baviskar, Global Head of Cyber Risk Consulting, Allianz Commercial.

Angesichts der drohenden finanziellen und rufschädigenden Folgen fühlen sich immer mehr Unternehmen unter Druck, Lösegeld für gestohlene Daten zu zahlen. Es ist außerdem zweieinhalb Mal wahrscheinlicher, dass Unternehmen Lösegeldzahlungen leisten, wenn die Daten nicht nur verschlüsselt wurden, sondern auch abgeflossen sind. 

Dieses Vorgehen mag verständlich erscheinen, löst jedoch nicht notwendigerweise das Problem. Selbst wenn die Daten freigegeben werden, drohen Klagen von Dritten, insbesondere in den USA. Tatsächlich gibt es nur wenige Fälle, in denen ein Unternehmen keine andere Möglichkeit als die Zahlung eines Lösegelds hat, um wieder auf Daten und Systeme zuzugreifen. Außerdem sollte jedes betroffene Unternehmen immer die Behörden informieren und mit ihnen zusammenarbeiten. 

Unternehmen vor Eindringlingen zu schützen, bleibt ein Katz- und Mausspiel, bei dem die Kriminellen im Vorteil sind. Eine Allianz-Analyse von über 3.000 Cyber-Schäden aus den vergangenen fünf Jahren zeigt, dass eine Manipulation von Systemen von außen der Grund für 80 Prozent aller Vorfälle war. Die entsprechenden Akteure gehen zudem neue Wege: Sie nutzen Künstliche Intelligenz (KI), um Angriffe zu automatisieren und zu beschleunigen, KI-basierte Malware zu entwickeln, Phishing zu verbessern oder menschliche Stimmen zu simulieren. Erschwerend kommt der Boom bei vernetzten mobilen Geräten hinzu – die Allianz stellt eine steigende Zahl an Vorfällen fest, die auf unzureichende Cyber-Sicherheit bei diesen Geräten zurückzuführen ist.

Cyberangriffe zu verhindern wird also immer schwieriger, während gleichzeitig mehr auf dem Spiel steht. Eine Folge ist deshalb, dass Früherkennungs- und Reaktionsfähigkeiten sowie -Tools immer wichtiger werden. Rund 90 Prozent aller Vorfälle werden frühzeitig eingedämmt. Gelingt das jedoch nicht, ist es sehr schwierig, einen deutlich ernsteren und teureren Vorfall noch zu verhindern.

„Bisher hat sich Cybersicherheit darauf konzentriert, Angreifer aus einem Netzwerk herauszuhalten“, sagt Rishi Baviskar. „Und es stimmt: Investments in die Prävention können die Zahl erfolgreicher Angriffe verringern. Zugleich wird es immer eine ‚Lücke‘ geben, die Angriffe ermöglicht. Sie können beispielsweise nicht komplett verhindern, dass Mitarbeitende auf zunehmend raffinierte Phishing-E-Mails hereinfallen.“

Deshalb rät er Unternehmen, zusätzliche Mittel für Früherkennung und angemessene Reaktionsschritte aufzuwenden, anstatt nur weitere Schutz- und Präventionsbarrieren zu errichten: Im Moment entdeckt nur ein Drittel der Unternehmen Datenvorfälle durch eigene Security-Teams. Technologien zur Früherkennung von Vorfällen sind jedoch in der Breite verfügbar und effektiv einsetzbar.

„Erkennungssysteme werden fortlaufend verbessert und können den Verantwortlichen eine Menge Ärger ersparen, weil sie die Erkennungs- und Reaktionszeiten verkürzen. Das ist im Übrigen auch ein Faktor für Cyber-Versicherungen: Wir achten bei unseren Cyber-Risikobewertungen und beim Underwriting darauf“, fügt Rishi Baviskar hinzu.

Wie wichtig es ist, Cyber-Verletzungen frühzeitig zu erkennen und einzudämmen zeigen die Kosten: Vorfälle, die nicht erkannt und eingedämmt werden, sind bis zu 1.000-Mal teurer als solche, bei denen dies gelingt, so der Allianz-Bericht. Allianz Commercial-Analysen zeigen somit, dass der richtige Umgang hilft zu verhindern, dass aus einem 20.000 Euro teuren Vorfall ein 20 Millionen Euro teurer Vorfall wird.

„Es gibt zwei wesentliche Faktoren: Die richtige Prävention bestimmt über die Zahl der Angriffe und die richtige Reaktion über die Höhe des Schadens – ganz gleich, ob es sich um einen kleinen IT-Vorfall oder eine Krise des Gesamtunternehmens handelt“, ergänzt Michael Daum. „In unseren Augen können sich Unternehmen aller Größen sinnvoll vorbereiten. Raum für Verbesserungen, wie sie auf diese Bedrohungen reagieren, existiert immer. Letztlich werden Früherkennungs- und Reaktionsfähigkeiten der Schlüssel sein, um die Folgen von Cyber-Angriffen zu mildern und einen nachhaltigen Cyber-Versicherungsmarkt zu schaffen.“