Schadensdaten zeigen: Sicherheitsmaßnahmen können Ransomware-Verluste signifikant reduzieren.

Ein Einblick in die Studie über finanzielle Verluste durch Ransomware-Angriffe.

Marta Pukite | 29.09.2023.

EN Version

Immer wieder tauchen Nachrichten über Unternehmen, die von Ransomware-Angriffen gequält werden, in den Schlagzeilen auf. Der berüchtigte Ruf von Ransomware hängt unter anderem mit den oft extremen Verlusten zusammen, die sich auf zweistellige Millionen Beträge für die betroffenen Unternehmen belaufen können (ein paar Beispiele aus der früheren Vergangenheit: Kaseya $70 Mio.*, Acer $50 Mio., JBS $11Mio., Colonial Pipeline $4,4 Mio.). [1]

Wenn man sich die Entwicklung der von Ransomware verursachten durchschnittlichen Verluste in den letzten Jahren ansieht, sind die Zahlen je nach Quelle entweder gestiegen oder haben sich stabil gehalten.[2] Gleichzeitig haben sich die Ausgaben bzw. die Investitionen in Cybersicherheit in den letzten zehn Jahren stetig erhöht.[3] Dies wirft die Frage auf, wie wirksam Sicherheitsmaßnahmen beim Schutz der Unternehmen vor finanziellen Schäden sind.

Was macht den Unterschied in den durch Ransomware-Angriffe verursachten Schäden aus? Ist es Glückssache oder können wir doch den Einfluss von Sicherheitsmaßnahmen identifizieren? Um die Antworten zu finden und das Verhältnis zwischen den Schäden und den Sicherheitsmaßnahmen zu verstehen, führten wir umfangreiche Fallstudien von vielen Ransomware-Vorfällen durch. Die Ergebnisse liefern neue Erkenntnisse über die Schäden und vor allem den Nachweis, dass angemessene Sicherheitsmaßnahmen einen enormen Einfluss auf die Höhe der finanziellen Verluste haben können.

Hintergrund, Abgrenzung und Vorgehensweise

Wir haben eine Datenbank mit verschiedenen Arten von Informationssicherheitsvorfällen aufgebaut, darunter Ransomware, Malware-Angriffe, unterschiedliche Datenlecks, E-Mail Kompromittierungen und andere Vorfälle. In dieser Studie liegt der Fokus auf Ransomware-Angriffen, die zu einer Betriebsunterbrechung geführt haben.

Bei der Datenerhebung haben wir über den Gesamtverlust hinausgeschaut und möglichst viele Details zu den Vorfällen erhoben. Dazu gehörten Angaben zu der Länge der Betriebsunterbrechung, die betroffenen Teile des Unternehmens, die Zusammensetzung der Verluste (wie viel wofür ausgegeben wurde) sowie auch Hinweise, welche die Sicherheitssituation des Unternehmens zum Zeitpunkt des Angriffs aufzeigen.

Der Umfang dieser Studie umfasst Erkenntnisse aus 35 Fallstudien zu Ransomware-Angriffen in Unternehmen aus den Industriezweigen Fertigung, Lagerung und Logistik. Eine Abgrenzung ist an dieser Stelle wichtig, da unsere Erkenntnisse zeigen, dass die Höhe der Schäden und deren Entwicklung von Branche zu Branche teilweise sehr unterschiedlich sein können. Außerdem haben wir alle Datensätze entfernt, bei denen der berichtete Schaden ausschließlich aus der Lösegeldzahlung besteht.

Finanzielle Schäden verursacht durch Ransomware-Angriffe

Der Datensatz umfasst Schäden im Bereich von $0,1 Mio. bis $740 Mio., wobei die Umsatzgröße der betroffenen Unternehmen von $20 Mio. bis $40 Mrd. variiert. Demnach sind nicht nur die größten Top-Unternehmen Opfer von Ransomware-Angriffen, sondern auch kleinere und mittelständige Unternehmen.

Bevor wir tiefer eintauchen, betrachten wir die Gesamtschäden im Verhältnis zu der Umsatzgröße der betroffenen Unternehmen. Allein ein Blick auf das Diagramm ist ausreichend, um einen starken Zusammenhang zwischen dem Gesamtschaden und dem Jahresumsatz zu erkennen. Allerdings scheinen die wenigen größten Datenpunkte die „Show“ zu stehlen*. Daher haben wir die lineare Korrelation ermittelt. Der Korrelationskoeffizient ist 0,86, statistisch signifikant (p<0.001). Das bedeutet, dass die Umsatzgröße ein wesentlicher Faktor für die Bestimmung der  potenziellen Schäden bei Ransomware-Angriffen ist. Allerdings ist es nicht der einzige bestimmende Faktor, sonst wären alle Datenpunkte gleichmäßig entlang der Linie angeordnet.

*Können Sie das Verhältnis der kleineren Schäden in der unteren linken Ecke der Grafik erkennen? Wir nicht..

Relative Schäden – Ransomware-Schaden als Anteil des Umsatzes

Als nächstes betrachten wir die Schäden als Anteil des monatlichen Umsatzes.

Der Durchschnitt beträgt 10%, der Median ist 6,8%. Dies entspricht auch dem Histogramm in der Abbildung. Es zeigt, dass in etwa einem Drittel aller Fälle die Höhe der Schäden zwischen 5% und 10% des Monatsumsatzes liegen*.  Allerdings gibt es zahlreiche Fälle unterhalb und oberhalb dieses Bereichs. Ungefähr ein weiteres Drittel der Schäden liegen unter 5% des Monatsumsatzes, während bei 15% der Fälle der Schaden deutlich höher liegt und 15% des Monatsumsatzes übersteigt.

Das bedeutet, dass es einen signifikanten Unterschied in den relativen Schäden gibt. Die Frage bleibt jedoch: Was verursacht diesen Unterschied?

*Nächstes Mal, wenn Sie eine “quick and dirty” Antwort zum Verlustpotenzial eines Ransomware-Vorfalls für Ihr Management benötigen, könnten Sie sagen, dass es wahrscheinlich bei etwa 5-10 % des monatlichen Umsatzes liegt.

Was macht den Unterschied aus?

Wir führten detaillierte Fallstudien zu den Ransomware-Angriffen und daraus resultierenden Schäden durch. Insbesondere waren wir auf der Suche nach Informationen und Details, die uns Einblicke in den Zustand der Sicherheitsmaßnahmen in den betroffenen Unternehmen geben könnten. Unsere Analyse ermöglichte es uns, die Schadensereignisse in wenige Gruppen mit ähnlichen Merkmalen zu unterteilen. Um die Darstellung hier zu vereinfachen, werden die Ergebnisse anhand von drei allgemeineren Gruppen beschrieben*.

*Insgesamt könnten fünf solche Gruppen in dem vorliegendem Datensatz identifiziert werden.

Gruppe 1

0,7 - 5%

  • Die Betriebsabläufe konnten fortgesetzt werden.

  • Interne Unternehmens­funktionen waren betroffen (teilweise Berichte, dass der Kernbetrieb sich auf einem getrennten Netzwerk befand).

  • Sofortige Maßnahmen zur Isolierung des Angriffs wurden unternommen, der Cyber-Notfallplan wurde umgesetzt.

  • Einige Berichte besagen, dass nur 2 forensische Experten zur Bewältigung des Angriffs hinzugezogen wurden und/oder nur 2 Tage benötigt wurden, um die betroffenen Teile des Unternehmens wiederherzustellen.

Gruppe 2

5 - 12%

  • Die Wiederherstellung dauerte etwa 1- 2 Wochen.

  • Die Betriebsabläufe konnten mithilfe von Workarounds fortgesetzt werden. Teilweise Berichte über niedrigere Produktionskapazitäten oder Produktionsengpässe, die durch andere Standorte aufgefangen wurden.

  • Signifikante Teile des Unternehmens waren betroffen (z.B. je nach Fall zwischen 20-60% der Mitarbeiter, einige Einrichtungen bzw. Funktionen wie Betrieb oder Vertrieb).

  • Im unteren Bereich der Schäden: proaktive Abschaltung der Systeme nach dem Erkennen des Angriffs.

  • Teilweise Berichte über Mängel in kritischen Zugriffskontrollen.

Gruppe 3

> 18%

  • Die Wiederherstellung dauerte länger als 2 Wochen (teilweise ≥ 4 Wochen).

  • Die Fähigkeit zur Produktion oder Lieferung an Kunden war beeinträchtigt.

  • Systeme, die für den Geschäftsbetrieb erforderlich sind, waren betroffen.

  • Wesentliche Teile des Unternehmens waren durch die Ransomware betroffen (z.B. mehrere Geschäftssegmente, >50% der Mitarbeiter).

  • Unternehmen berichten teilweise über verschlüsselte Backups, verlorene Arbeit, zeitaufwändige Workarounds, teilweise vorübergehende Betriebsunterbrechung und/oder betroffene Engpassfunktionen.

Die Tabelle stellt eine Zusammenfassung der Informationen dar, die wir im Verlauf unserer Fallstudien identifiziert haben. Es ist wichtig zu beachten, dass der Detailgrad und die Tiefe der von den betroffenen Unternehmen bereitgestellten Informationen von Fall zu Fall variierten. Sie reichen von fast keinen Informationen bis hin zu Angaben zur Anzahl der betroffenen Systeme und identifizierten Sicherheitsmängeln. Auch die in den Berichten verwendeten Formulierungen und die Art der Berichterstattung über solche Ereignisse sind heterogen. Als Hauptgrund dafür sehen wir die fehlenden Berichtsstandards. Die oben genannten Gruppen ermöglichen es uns trotzdem, Ähnlichkeiten in den Umständen bei den Schadensereignissen in jeder Gruppe zu identifizieren.

Durch den Vergleich der Gruppen lassen sich mehrere Beobachtungen feststellen. Es gibt einen deutlichen Unterschied in der Dauer der Betriebsunterbrechungen. Der Unterschied in der Unterbrechungsdauer zwischen Gruppe 2 und Gruppe 3 erstreckt sich teilweise auf mehrere Wochen. Darüber hinaus konnten Unternehmen der Gruppe 1 ihre Betriebsabläufe nach dem Angriff fortsetzen bzw. die Unterbrechung beschränkte sich auf interne Unternehmensfunktionen und wurde innerhalb weniger Tage behoben. Daraus schließen wir, dass mangelnde Reaktionsfähigkeit und unzureichende Vorbereitung in Form von Workarounds und Fähigkeit zur Wiederherstellung der Systeme einen Teil des Unterschieds in der Schadenshöhe erklären können. Eine ähnliche Beobachtung wurde vom Cyentia Institue in dessen Studie vom Jahr 2020 „Information Risk Insight Study 20/20“ gemacht.[4]

Ein weiterer signifikanter Faktor ist das Ausmaß, in dem das Unternehmen von der Ransomware betroffen war. Bei Unternehmen der Gruppe 3 sind große Teile der Organisation weitreichend betroffen. Die Auswirkungen auf des Kerngeschäft sind schwerwiegend, teilweise mit bedingtem Stillstand. Unternehmen der Gruppe 1 zeigten hingegen die Fähigkeit, die Ausbreitung der Ransomware auf wenige Teile der Organisation zu beschränken. Das trug dazu bei, die Schäden auf einen Bereich unter 5% des monatlichen Umsatzes zu halten.

Die Beobachtungen sind nicht überraschend. Auf gewisser Weise ergibt das alles Sinn – die durch einen Ransomware-Angriff verursachten Schäden richten sich nach der Dauer der Unterbrechung sowie dem Ausmaß der Beeinträchtigung des Betriebs.

Woraus setzt sich ein Ransomware-Schaden zusammen?

Ein kurzer Blick in die Zusammensetzung der Schäden bestärkt die obengenannten Erkenntnisse. Eine der am häufigsten erwähnten Schadenskomponenten bei Ransomware-Angriffen sind Wiederherstellungskosten. Das sind Ausgaben für die IT-Wiederherstellung, einschließlich Forensik und anderen professionellen Dienstleistungen. Hinzu kommen Kosten für die Wiederherstellung der Geschäftsabläufe in Form von zusätzlicher Arbeitszeit aufgrund der verlorenen Produktivität.

Neben den Wiederherstellungskosten berichten betroffene Unternehmen häufig über Umsatzverluste, die durch Betriebsunterbrechungen verursacht wurden.

Erwähnenswert ist die Tatsache, dass es in allen drei oben genannten Schadensgruppen Unternehmen gibt, die Lösegelder gezahlt haben. Das bedeutet, dass die Zahlung der Lösegelder keine Maßnahme ist, die eine Begrenzung der Schäden garantieren kann.

Zusammenfassung

Unsere Studie zeigt, welches die wesentlichen Treiber für die Höhe der Ransomware sind: die Umsatzgröße, die Dauer der Betriebsunterbrechung und das Ausmaß der Betroffenheit im Unternehmen. Unsere Beobachtungen zeigen, dass durch die Implementierung angemessener Reaktionsmechanismen und die Verkürzung der Betriebsunterbrechung der potenzielle Schaden ungefähr halbiert werden kann (von >18% auf 5-12% des Monatsumsatzes). Durch die Begrenzung der Verbreitung der Ransomware im Unternehmen kann der Verlust nochmal verringert werden (auf 0,7 - 5% des Monatsumsatzes).

Dementsprechend unterstreichen die Schadensdaten nicht nur die Notwendigkeit angemessener Sicherheitsmaßnahmen, sondern verdeutlichen auch deren Effektivität bei der Verringerung finanzieller Schäden.

Quellen

[1] A.M. Freed (2022): Ten of the biggest Ransomware Attacks of 2021. URL: https://www.cybereason.com/blog/ten-of-the-biggest-ransomware-attacks-of-2021 (Abrufdatum: 18.09.2023).

[2] R. Sobers (2022): Ransomware Statistics, Data, Trends, and Facts- updated 2023. URL: https://www.varonis.com/blog/ransomware-statistics  (Abrufdatum: 18.09.2023).

Sophos (2023): The State of Ransomware 2023. URL: https://assets.sophos.com/X24WTUEQ/at/h48bjq7fqnqp3n5thwxtg4q/sophos-the-state-ransomware-2023-infographic-1200-1200px_2x.png (Abrufdatum: 18.09.2023).

Sophos (2020): The State of Ransomware 2020. URL: https://www.idric.com.mx/storage/app/media/ebooks/sophos-the-state-of-ransomware-2020-wp.pdf (Abrufdatum: 18.09.2023).

[3] Kaspersky (2020): 2020 IT spending: cybersecurity remains investment priority. URL:  https://www.kaspersky.com/about/press-releases/2020_2020-it-spending-cybersecurity-remains-investment-priority-despite-overall-it-budget-cuts-kaspersky-found (Abrufdatum: 20.09.2023).

Statista (2023): Cybersecurity – Worldwide. URL: https://www.statista.com/outlook/tmo/cybersecurity/worldwide#revenue (Abrufdatum: 20.09.2023).

[4] “The median total incident costs for those events with clear issues in response is over two and a half times that of incidents where there was no sign of a poor response.” Quelle: Cyentia Institute (2020): IRIS 20/20 Xtreme. URL: https://www.cyentia.com/wp-content/uploads/IRIS2020-Xtreme.pdf (Abrufdatum: 26.09.2023).