Es klingt wie in einem schlechten Film – und es erwischt doch immer mehr Unternehmen, wie zuletzt die Media-Saturn-Gruppe: Cyberkriminelle verschlüsseln Daten eines fremden Unternehmens und fordern ein Lösegeld, damit das Unternehmen wieder an die Daten kommt. Doch Ransomware ist inzwischen die Realität, sowohl bei Privatanwendern, die mehr oder weniger ziellos durch Malware attackiert werden – noch mehr aber bei Unternehmen, bei denen es immer wieder zu gezielten Angriffen kommt. Im aktuellen Fall gelang es wohl den Angreifern, einen Teil des Filialsystems der Elektronikriesen lahmzulegen – und das könnte noch einige Tage andauern. In der aktuellen Angebotszeit, in der Mediamarkt und Saturn mit großem Marketingbudget überdurchschnittlich Umsatz machen wollen, ist das eine teure Beeinträchtigung für den Elektronikkonzern.

Fast jedes dritte Unternehmen, so aktuelle Zahlen der Unternehmensberatung KPMG, soll in den vergangenen Jahren schon einmal selbst Opfer einer solchen Attacke geworden sein, sechs von zehn sollen in ihrem Umfeld zumindest schon einmal Erfahrungen mit Ransomware gemacht haben, also Angriffsversuchen ausgesetzt gewesen sein. Ein Krankenhaus in Nordrhein-Westfalen, das über Tage hinweg quasi lahmgelegt war, ein großes produzierendes Industrieunternehmen, das nur eingeschränkt tagelang seine Produktion fortführen konnte, ein großer Juwelier, der weder Mails verschicken noch Rechnungen drucken oder Dokumente aufrufen konnte … die Beispiele, wie Ransomware schnell zur teuren, wenn nicht gar existenzbedrohenden Angelegenheit werden kann, sind vielfältig.

Doch wie viele Unternehmen es genau sind, die Opfer solcher Attacken werden, ist unklar – denn eine große Zahl an Fällen kommt gar nicht an die Öffentlichkeit, weil die Unternehmen einen Imageschaden fürchten oder Angst vor infolgedessen ausbleibenden Aufträgen haben. Doch bei vielen Unternehmen, wie auch im Fall Mediamarkt und Saturn, lässt sich das gar nicht verheimlichen, insbesondere wenn es sich um B2C-Ketten handelt. Auch die Behörden erfahren, so drückt es ein Experte auf diesem Gebiet aus, vieles nicht, weil man nicht erwartet, dass staatliche Stellen helfen können. Doch das Gegenteil soll der Fall sein: In den letzten Jahren haben nicht nur die IT-Security-Anbieter aufgerüstet, sondern auch die Behörden, etwa die Landeskriminalämter mit entsprechenden Cyber-Einheiten oder das Bundesamt für Sicherheit in der Informationstechnologie.

Gefährdet seien, so berichtet der Experte weiter, nicht nur die großen Unternehmen, bei denen eine stillstehende Produktion richtig wehtut, sondern zunehmend auch kleinere Verwaltungen, mittelständische Unternehmen, regionale Außenstellen der Verwaltung. Denn die, so das Kalkül dahinter, haben offenbar oft ihre Systeme weniger sicher abgeriegelt als beispielsweise jene Stellen, die auf Netzwerkfragmentierung setzen oder gar zu den nach Kritis-Vorgaben „kritischen Infrastrukturen“ zählen. Auch das IT-Sicherheitsunternehmen Malwarebytes beobachtet, dass immer seltener Privatpersonen (ungerichtet) angegriffen werden, sondern vielmehr gezielt Kommunen, Bildungsträger, Gesundheitseinrichtungen. Hier ist oftmals die IT nicht auf dem neuesten Stand, was die Sache für Angreifende einfacher macht.

In vielen der Fälle kommen übrigens Kryptowährungen zum Einsatz (oder werden zumindest eingefordert) – schließlich sind sie die eleganteste Möglichkeit, mit vergleichsweise wenig Spuren und geringem Aufwand an Geld zu kommen. Die Frage, die im Ernstfall den meisten Unternehmen Kopfzerbrechen bereitet, lautet, ob man zahlen soll oder nicht. Auch wenn Sicherheitsunternehmen und das BSI regelmäßig dazu raten, nicht auf die Forderungen der Ransomware-Angreifer einzugehen, zahlen sowohl Privatleute und vor allem Unternehmen offenbar nicht selten die geforderte Summe. Im Falle des Juweliers soll, so Zeitungsberichte, ein Lösegeld von mehr als einer Million Euro gezahlt worden sein. Deswegen, so BSI-Präsident Arne Schönbohm, könne es sein, dass auch für andere Unternehmen ähnlichen Kalibers die Bedrohungslage zunehme.

Gewandelt hat sich dabei offenbar auch die Preisfindung bei den Lösegeldern: Während man früher offenbar nach der Devise „Kleinvieh macht auch Mist“ drei- oder vierstellige Beträge von Einzelpersonen erpresste, sind die Summen heute höher (meist sechsstellig) und orientieren sich an der vermuteten Leistungsfähigkeit des Erpressten. Bei Mediamarkt und Saturn soll es angeblich sogar um einen dreistelligen Millionenbetrag gehen.

Und die Unternehmen zahlen offenbar in einem Großteil der Fälle. Zu groß ist die Angst, ohne die eigenen Daten handlungsunfähig zu sein, und zu groß die Hoffnung, die Daten Zug um Zug wieder zu erhalten. Hinzu kommt: Neben den Lösegeldforderungen benötigt das angegriffene Unternehmen Hilfe von IT-Security-Unternehmen. Selbst wenn die Daten wieder nutzbar sind, muss ja analysiert werden, wo die Schwachstelle lag und wie ein solcher Angriff überhaupt gelingen konnte. Und diese Kosten können schnell fünfstellig werden, selbst bei mittelständischen Unternehmen. Hinzu kommen – auch das ist ein Grund, warum Unternehmen und Gesundheitszentren inzwischen oft schnell zahlen – Ausfälle in der Produktion oder bei geplanten Operationen. Laut Medieninformationen soll der Pharmakonzern Merck ebenso dreistellige Millionenbeträge verloren haben wie die Logistikfirma TNT Express.

Oftmals sind es bekanntermaßen Schwächen von Mitarbeitern, die einen solchen Angriff möglich machen – etwa das Öffnen von E-Mail-Attachments aus fragwürdigen Quellen. Das Schlimme daran: Die Qualität der Anhänge wird, insbesondere wenn es zielgerichtete Angriffe sind, immer besser. Beispielsweise handelt es sich teilweise um Rechnungen, die zum Unternehmen und dessen Tätigkeitsfeld passen können. In manchen Fällen handelt es sich sogar um aus dem Unternehmen erbeutete E-Mail-Kontakte, sodass die E-Mail wie eine übliche Antwort auf die Korrespondenz eines Kunden aussieht. Zahlreiche Sicherheitsunternehmen, etwa Blackberry oder Kaspersky, bieten infolgedessen Trainings für die Sensibilisierung der Mitarbeiter an. Freilich wird auch das nicht immer helfen – angesichts von Angriffs-Mails, die zunehmend besser werden. Selbst vorhandene Backups werden in vielen Fällen, sofern sich die Malware dorthin fortpflanzt, ebenfalls befallen – wichtig ist daher ein entsprechend abgesichertes System, das gegebenenfalls vom Netz getrennt und in einen Quarantäne-Status versetzt wird.

Eine andere Strategie sind Versicherungen gegen Cyber-Attacken. Ob diese sich lohnen, hängt von vielen Faktoren ab: Zum einen wird ein B2B-Versicherer ein genaues Audit der Sicherheitssituation im Unternehmen einfordern, zum anderen werden die Beiträge für eine solche Versicherung nur dann nicht in schwindelerregende Höhen steigen, wenn das Unternehmen seine Hausaufgaben in Sachen präventive Sicherheit erledigt hat. Dennoch: Der weltgrößte Rückversicherer Munich Re rechnet bis 2025 mit einem Wachstum dieses Marktes auf 20 Milliarden Dollar.