Blogpost vom 02. November 2023

Ransomware: Schutz den Lieferketten!

Die Welt vernetzt sich weiter. Liefer- und Wertschöpfungsketten sind längst keine Ketten mehr, sondern Geflechte. Mit einer Vielzahl an Knotenpunkten, Drehkreuzen, Abhängigkeiten, dezentral agierenden Akteuren und Dienstleistern. Das führt nicht nur zu engen Verknüpfungen im operativen Prozess, sondern analog auch zu komplexen IT-Landschaften mit einer Fülle an Schnittstellen, Teilsystemen und Datentransaktionen.

Logistikunternehmen spüren derzeit besonders, wie empfindlich solche Geflechte sind und was passieren kann, wenn sie gestört werden. Störungen können sich dabei sowohl im realen als auch im digitalen Raum ereignen. Als Digitalisierungspartner in Industrie und Handel wissen wir, dass letztere ständig zunehmen und dass es deshalb nicht nur sinnvoll, sondern erfolgskritisch ist, in eine professionelle IT-Security zu investieren. Denn die Kosten dafür sind a.) gut angelegt und b.) wesentlich geringer als die Kosten eines möglichen Schadensfalls. Doch dazu später mehr. Zunächst eine kurze Übersicht der allgemeinen Bedrohungslage.

Freie Fahrt in Gefahr

Exemplarisch für die Bedrohung im realen Raum ist die Verunsicherung der Handelswege durch die Piraterie auf den maritimen Wasserstraßen rund um Afrika. Begonnen hatte diese ursprünglich im Golf von Aden, also vor der Küste Somalias, von wo sie sich nach den erfolgreichen Missionen Atalanta und Enduring Freedom 2015 in den Golf von Guinea verlagert hat.(1)

Seit dem Überfall Russlands auf die Ukraine im Frühjahr 2022 wissen wir, dass auch Krieg eine reale Bedrohung für globale Lieferketten sein kann. Mit fatalen Folgen für ganze Gesellschaften weltweit – sei das der Mangel an Grundnahrungsmitteln, Energieträgern oder anderen Handelsgütern.

Ein dritter großer Risikofaktor für den internationalen Gütertransport sind Havarien von Frachtern. Jüngstes Beispiel ist die Blockade des Suezkanals durch das Containerschiff Ever Given im Frühjahr 2021. Allein die ägyptische Kanalbehörde machte dafür Kosten von über 600 Mio. Euro geltend, an denen nach Tradition der „Havarie grosse“ nicht nur die Reederei, sondern auch die Händler beteiligt werden.(2)

Ein politisches Ereignis wie der Brexit kann durchaus als eine solche Störung verstanden werden – im Hinblick auf die Planungsunsicherheit in der Übergangsphase oder die neue Zollbürokratie(3) mit den entsprechend langen Warte- und Lieferzeiten(4). Besonders risikoreich ist vor diesem Hintergrund der Transport frischer Waren bzw. verderblicher Lebensmittel.

So ist seit Inkrafttreten der neuen Handels- und Zollregeln der Import von britischem Käse, Fisch und Fleisch in die EU dramatisch eingebrochen(5), was neben den neuen Zollformalitäten auch neue Einfuhrkriterien zur Ursache hat, so oder so aber das Volumen von Transportaufträgen deutlich mindert.

Jule Witte

Jule Witte

Presse & Kommunikation
presse@micromata.de

Ransomware & Co.

Im digitalen Raum sind die Störungen nicht minder teuer. Sie gehen zumeist von Ransomware aus, also der Infizierung von Softwaresystemen mit bösartiger Malware, die ganze Softwarelandschaften zum Absturz bringen. Zweck ist eine Lösegeldforderung, womit die Betroffenen ihre Systeme dann wieder „auslösen“ sollen.

Die Einfallstore für Ransomware reichen von verseuchten E-Mails über Exploit-Kits bis hin zu Schwachstellen in Servern. Eine Übersicht darüber und über die verschiedenen Spielarten von Ransomware liefert das Bundesamt für Sicherheit in der Informationstechnik BSI.(6)

Eines der bekanntesten Beispiele für Ransomware ist das Schadprogramm WannaCry, das im Jahr 2017 rund 230.000 Computer in 150 Ländern befallen und lahmgelegt hat, darunter auch solche großer Logistik-Unternehmen wie Deutsche Bahn, Schenker oder FedEx.(7)

Ähnlich verhält es sich mit dem Schadprogramm NotPetya, das im gleichen Jahr zugeschlagen und beispielsweise die FedEx-Tochter TNT Express Europe 300 Mio. US-Dollar gekostet hat.(8)

Seit Beginn der Corona-Pandemie 2020 hat die Zahl von Ransomware-Angriffen weltweit um 150 % zugenommen.(9) Für die Gesamtsumme der geforderten Lösegelder veranschlagen Fachleute im gleichen Jahr einen Anstieg von 171 % (10), während die Zahl der tatsächlich gezahlten Lösegelder sogar um satte 300 % zugenommen hat.(11)

Man mag sich fragen, warum die Lösegeldforderungen nicht höher sind. Hier können wir bisher nur spekulieren: Zunächst sind die veranschlagten Summen im Herkunftsland der Angreifer möglicherweise mehr wert als bei uns. Hinzukommt die mögliche Annahme der Angreifer, dass höhere Summen die Zahlungsbereitschaft der Erpressten sinken und das Risiko der Einschaltung von Behörden steigen lässt – wobei das Lösegeld auch gesteigert wird, wie wir noch sehen werden. Außerdem ist es durchaus denkbar, dass solche Angriffe nicht immer und in erster Linie der persönlichen Bereicherung dienen, sondern es vielmehr darum geht, entweder einfach zu schädigen oder auch die Verletzbarkeit von Unternehmen, ganzen Branchen und kritischen Infrastrukturen, vor Augen zu führen. Wie verwundbar diese sein können, das zeigt die Ransomware-Attacke auf AmeriCold, die mit dem Tiefkühltransport des COVID-19-Impfstoffs von BioNTech Pfizer beauftragt war.(12)

So oder so, für die Angreifer lohnt sich das Geschäft. Doch was macht Logistik-Unternehmen für sie besonders attraktiv? Die Antwort liegt in der eingangs erwähnten hohen Verflechtung: Viele Akteure entlang der logistischen Wertschöpfungskette bedeuten hohe Abhängigkeiten voneinander und damit eine hohe Erpressbarkeit der Geschädigten.

Wie sehr Ransomware ein einträgliches, zunehmend professionalisiertes Geschäftsmodell geworden ist, zeigt auch der Umstand, dass um die Cyberkriminellen herum ein richtiger Dienstleistungssektor entstanden ist, der die nötige Schadsoftware je nach Bedarf als Product-as-a-Service anbietet.(13) Kryptowährungen machen das Geschäft zusätzlich attraktiv, weil sie im Gegensatz zu klassischer Währung nicht zurückverfolgbar sind.

Doch das Lösegeld ist nicht der einzige und bei weitem nicht größte Kostentreiber bei Ransomware-Attacken. Noch viel teurer schlagen andere Effekte zu Buche. Hier die wichtigsten drei.

1. Downtime der Systeme

Bereits die erste Minute offline verursacht Einbußen und Kosten bei den betroffenen Unternehmen. In der Logistik kann das zum Beispiel die Stornierung von Aufträgen sein oder das Versäumen von neuen. Hinzukommen Verzögerungen bei der Lieferung, die dann besonders teuer werden, wenn mehrere Akteure in der Wertschöpfungskette betroffen sind und/oder Verträge bzw. Lieferfristen nicht eingehalten werden können. Der hinzukommende Prestigeverlust ist schwer zu beziffern, dürfte aber immens sein.

Da die Verflechtungen in der Logistik besonders ausgeprägt sind, ist auch der Schaden einer potenziellen Downtime höher – nicht nur wegen der genannten systemischen Folgen für den direkt Betroffenen, sondern auch durch mögliche Schadensersatzklagen der indirekt Betroffenen.

Je nach Länge der Downtime können die Downtime-Kosten bis zu 50 x höher sein als die eigentliche Lösegeldforderung, schätzen Expert:innen.(14)

2. Doppelte und dreifache Erpressung

Nicht immer bleibt es bei nur einer Lösegeldforderung. Eine gängige Praxis der Angreifer ist es, die Systeme nicht nur lahmzulegen, sondern auch geschäftskritische Daten abzugreifen und zu verschlüsseln, für deren Rückgabe dann ein zusätzliches Lösegeld verlangt wird. Dieses fällt nicht nur deutlich höher aus als das erste, sondern wird sogar noch verdoppelt, wenn nicht umgehend gezahlt wird.

Überdies setzen die Angreifer das geschädigte Unternehmen mit der portionsweisen Veröffentlichung geklauter Daten unter Druck, bis dieses zahlt.(15) Sind dabei personenbezogene Daten im Spiel, kann aus dem allgemeinen Prestigeverlust einer Downtime ein ganz persönlicher Vertrauensverlust werden. Wie nachhaltig der ist, lässt sich nur schwer zu bemessen.

Ob und wie die Unternehmen auf solche Erpressungen reagieren, zeigt eine Studie von Sophos: Nur 26 % der Betroffenen erhalten ihre Daten aufgrund einer Lösegeldzahlung zurück, mehr als doppelt so viele stellen sie aus Backups wieder her. Das ist auch gut so, weil die Lösegeldzahlung nur die Kosten des Angriffs in die Höhe treibt, ohne irgendeine Garantie zu bieten. Gleichwohl zu beobachten ist, dass die meisten Angreifer in Sachen Datenrückgabe nach Zahlung Wort halten, vermutlich um das eigene Geschäftsmodell nicht zu untergraben.(16)

3. Reparaturkosten

Nach einem erfolgreichen Ransomware-Angriff müssen die betroffenen Systeme repariert werden. Je nach Umfang des Schadens kann das ausgesprochen tief ins Kontor schlagen. Diese Instandsetzungsarbeiten sind mindestens nötig

  • Bereinigung der befallenen Teilsysteme,
  • Restaurierung der Daten,
  • Finden und Schließen der ursächlichen Schwachstelle.

All das kostet nicht nur Geld, sondern auch Zeit. Wertvolle Ressourcen also, die man viel besser in die Prävention solcher Vorfälle investieren sollte als in Aufräumarbeiten danach.

Prävention

Denn mit der Wiederherstellung des Status quo ante ist es ja nicht getan. Vielmehr ist es geboten, in ein zukunftsfähiges Sicherheitskonzept zu investieren. Denn wie heißt es so schön: Fool me once, shame on you. Fool me twice, shame on me. Wir möchten hinzufügen: Wer sich erst gar nicht übertölpeln lässt, erspart sich die Schande von vornherein.

Es folgen fünf Empfehlungen, wie Sie Ihre IT-Systeme und damit ihr ganzes Unternehmen vor Ransomware-Attacken schützen können.

1. Penetrationstests

Um es erst gar nicht so weit kommen zu lassen, dass Ransomware-Angriffe erfolgreich sein können: Testen Sie Ihre Softwaresysteme sorgfältig und regelmäßig auf Sicherheitslücken.

Ein professionelles Pentesting hilft, Schwachstellen zu finden und zu schließen, bevor andere sie ausnutzen können. Zu gut gemachten Penetrationstests gehören neben sachgerechten Black- und Whiteboxanalysen auch die Analyse des Quellcodes sowie sorgfältige Abhängigkeitstests, um Kettenreaktionen und Wechselwirkungen im Angriffsfall möglichst auszuschließen.

2. Zero Trust Policy

Das Zero-Trust-Prinzip stellt sicher, dass ausnahmslos alle, die im IT-Netzwerk eines Unternehmens aktiv sind oder von extern darauf zugreifen, authentifiziert werden müssen – und zwar nicht nur initial, sondern bei jedem einzelnen Zugriff. Getreu der Devise: So wenig Berechtigungen wie möglich, nur so viel Zugriff wie zwingend nötig. Einen Vertrauensvorschuss gibt es nicht mehr. Dass der Datenverkehr grundsätzlich verschlüsselt zu erfolgen hat, muss nicht eigens erwähnt werden – beim Übertragen ebenso wie beim Speichern.

3. Back-ups!

Backups sind gängige Praxis im Datenschutz von Unternehmen und Kern einer guten Disaster Recovery. Da Ransomware auch Datenbanken und -speicher kompromittieren kann, empfehlen sich neben reinen Netzwerk- oder Online-Backups auch solche auf separaten Servern, die rein lokal sind und abgetrennt von anderen Systemen arbeiten bzw. sich im Angriffsfall schnell vom Netz nehmen lassen.

Folgende zwei Parameter sollten für eine gute Backup-Strategie als Bemessungsgrundlage dienen:

  • Recovery Time Objective (RTO): Zeit, die eine Downtime maximal dauern darf
  • Recovery Point Objective (RPO): Datenvolumen, das maximal verlustig gehen darf

Beides auf 0 zu halten, ist praktisch unmöglich, aber ein tragbarer Kompromiss lässt sich zumeist finden.

Wichtig für die Wiederherstellung der Daten ist außerdem, keine blinden Passagiere mitzunehmen, also Daten, die unbemerkt verseucht oder beschädigt wurden. Denn auch das zeichnet Ransomware aus: eine gewisse Inkubationszeit, in der sie unbemerkt ein subkutanes Unwesen treibt, bevor sie erkennbar und mit allen Symptomen ausbricht.

Zu einer guten Backup-Strategie gehört es natürlich auch, regelmäßig zu prüfen, ob die Daten im Ernstfall überhaupt zurückgeholt werden können. Denn es kommt vor, dass Backup-Technologien fehlkonfiguriert sind, etwa wenn zu wenige oder die falschen Verzeichnisse gesichert werden. Aber auch der Verschleiß von Hardware kann sich später negativ auf die Wiederherstellung von Daten auswirken. Deshalb ist es ratsam, das Back-up-Set-up mindestens einmal pro Jahr und zumindest stichprobenartig auf Herz und Nieren durchzutesten.

4. Notfallplan & Schulungen

Etablieren Sie ein Notfallmanagement, das auf Ihr Unternehmen und seine Prozesse zugeschnitten ist. Dieses sollte von den zuständigen Personen bewusst gelebt werden, heißt: Schulen Sie ihre Mitarbeiter:innen regelmäßig zur Sache. Erstellen Sie dafür Notfallübungen zu allen denkbaren Szenarien, so dass im Angriffsfall das richtige Verhalten schnell und routiniert abgerufen werden kann.

5. Versicherung

In welchem Umfang Sie Ihre Systeme gegen Cyberkriminalität versichern sollten, hängt von verschiedenen teils sehr individuellen Faktoren ab. Achten Sie aber in jedem Fall auf das Leistungsportfolio der Versicherungen. Neben der Abdeckung möglicher Lösegeldsummen sollten auch Services wie Notfallhilfen und IT-forensische Analysen enthalten sein.

Fazit: Gezielte Vorsorge lohnt!

Die gute Nachricht: Die Folgekosten von Ransomware-Angriffen können Sie sich sparen. Investieren Sie stattdessen frühzeitig in eine ganzheitliche und nachhaltige IT-Security. Denn im Gegensatz zu Downtime, Lösegeldern und Reparaturen zahlt ein durchdachtes Sicherheitskonzept direkt auf eine sichere, erfolgreiche Zukunft ein. Damit Sie weiterhin von der Vernetzung der Welt profitieren können, ohne ihre Schattenseiten erleben zu müssen.

Quellen:
1 https://www.deutschlandfunk.de/unsichere-handelswege-piraten-vor-afrikas-kuesten.724.de.html?dram:article_id=493309
2 https://www.lto.de/recht/hintergruende/h/ever-given-havarie-wer-zahlt-schaden-suezkanal-festgesetzt-crew-eigner-ladung-verfahren/
3 https://www.zoll.de/DE/Fachthemen/Zoelle/Brexit/Brexit-Zoll/brexit-zoll_node.html4
4 https://www.logistik-watchblog.de/recht/3095-brexit-versand-huerde-kaeufer-umsatzverlust-haendler.html
5 arte Dokumentationen Brexit: More Borders, More Problems. British Exports sowie Brexit Borders: Brexit Fishing Industry Wales
6 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf
7 https://de.wikipedia.org/wiki/WannaCry oder https://darknetdiaries.com/episode/73/
8 https://www.golem.de/news/fedex-tnt-verliert-durch-notpetya-300-millionen-us-dollar-1709-130192.html oder https://darknetdiaries.com/episode/54/
9 Harvard Business Manager, Print-Ausgabe 08/2021, Seite 55
10 https://www.datensicherheit.de/dreifach-erpressung-neuartigkeit-ransomware-masche
11 Harvard Business Manager, Print-Ausgabe 08/2021, Seite 55
12 https://portswigger.net/daily-swig/ransomware-attacks-on-shipping-logistics-organizations-rising-as-coronavirus-vaccine-supply-chain-targeted
13 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf
14 https://www.datto.com/blog/downtime-the-true-cost-of-a-ransomware-attack
15 https://www.zdnet.de/88394716/ransomware-doppelte-erpressungsangriffe/
16 https://secure2.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf und https://www.nzz.ch/wirtschaft/ransomware-warum-zahlreiche-firmen-loesegeld-zahlen-duerften-ld.1489507