49 % der Ransomware-Opfer verlieren Daten, bevor sie den Angriff erkennen

49 % der Ransomware-Opfer verlieren Daten, bevor sie den Angriff erkennen

Ransomware war schon immer ein schmerzhaftes Problem, aber ein neuer Bericht zeigt, wie kläglich die Erkennung versagt: Nahezu die Hälfte aller Ransomware-Opfer musste feststellen, dass ihre Daten bereits gestohlen wurden, bevor sie überhaupt bemerkten, dass ein Angreifer in ihrem Netzwerk aktiv war. Dieser Anteil ist im Vergleich zum Vorjahr drastisch von 31 % angestiegen – ein deutliches Zeichen, dass Hacker nicht nur dreister, sondern auch erheblich geduldiger und unauffälliger vorgehen.

Die durchschnittliche Verweildauer vor der Entdeckung liegt inzwischen bei rund 2,5 Wochen. Das sind 17 oder mehr Tage, in denen ein Angreifer in aller Ruhe Ihre Systeme kartieren, Ihre wertvollsten Dateien identifizieren und sie unbemerkt abziehen kann, bevor überhaupt eine Warnung ausgelöst wird.

Die eigentliche Gefahr ist die Exfiltration, nicht nur die Verschlüsselung

Die meisten Menschen stellen sich einen Ransomware-Angriff als dramatisches Ereignis vor: Dateien werden gesperrt, eine Lösegeldforderung erscheint, der Betrieb kommt zum Erliegen. Dieses Bild ist zunehmend überholt. Moderne Ransomware-Gruppen setzen auf eine zweistufige Strategie. Zuerst stehlen sie die Daten. Erst danach, wenn sie die Verschlüsselung einsetzen, halten sie ihren Opfern zwei separate Drohungen entgegen: Zahlen, um den Zugriff wiederherzustellen, und nochmals zahlen, um die Veröffentlichung der gestohlenen Daten zu verhindern.

Dieses Vorgehen, oft als doppelte Erpressung bezeichnet, verändert die Kalkulation grundlegend. Selbst Organisationen mit robusten Backup-Systemen, die verschlüsselte Dateien schnell wiederherstellen könnten, sehen sich der Preisgabe sensibler Kundendaten, Finanzunterlagen oder geistigen Eigentums ausgesetzt. Die Verschlüsselung ist an diesem Punkt fast schon zweitrangig.

Dass Datendiebstahl in mehr als der Hälfte der Fälle Jahr für Jahr ein fester Bestandteil der Erpressungsaktivitäten bleibt, bestätigt: Das ist kein vorübergehender Trend. Es ist inzwischen das Standardvorgehen.

Warum die Erkennung immer weiter zurückfällt

Die wachsende Lücke zwischen Eindringen und Entdeckung deutet auf mehrere zusammenwirkende Probleme hin.

Erstens nutzen Angreifer zunehmend legitime Werkzeuge, die in der Umgebung des Ziels bereits vorhanden sind. Sicherheitssoftware ist darauf ausgelegt, unbekannte Malware-Signaturen zu erkennen. Wenn ein Angreifer jedoch systemeigene Dienstprogramme zum Verschieben von Dateien verwendet, sehen diese Aktionen oft genauso aus wie normales Administratorverhalten.

Zweitens verlassen sich viele Organisationen nach wie vor stark auf Perimeter-Verteidigungen. Firewalls und verschlüsselte Tunnel schützen zwar Daten bei der Übertragung, aber sobald ein Angreifer über gültige Anmeldedaten verfügt oder im Netzwerk Fuß gefasst hat, bieten Perimeter-Tools kaum Einblick in das, was sich lateral abspielt.

Drittens ist Alarmmüdigkeit ein reales und gut dokumentiertes Problem in Security Operations Centers. Wenn Erkennungssysteme täglich Tausende von minderwertigen Alarmen erzeugen, werden echte Eindringungssignale überdeckt. Angreifer wissen das und planen ihre Aktivitäten so, dass sie in lärmintensiven Zeiten untergehen.

Genau aus diesem Grund erzeugt auch das Verlassen auf ein einzelnes Tool – einschließlich eines VPNs – ein falsches Sicherheitsgefühl. Ein VPN verschlüsselt den Datenverkehr zwischen Ihrem Gerät und dem Internet, schützt Daten bei der Übertragung und maskiert Ihre IP-Adresse. Es trägt jedoch nichts dazu bei, Malware zu erkennen oder zu blockieren, die bereits auf einem kompromittierten Rechner läuft, und es bietet keinerlei Einblick in das Verhalten eines Angreifers, sobald Zugangsdaten gestohlen wurden. Der youX-Datenleck in Australien, bei dem Angreifer auf sensible Identitätsdaten eines Fintech-Unternehmens zugriffen, zeigt, wie raffinierte Eindringversuche oberflächliche Schutzmaßnahmen umgehen und weitreichende reale Konsequenzen nach sich ziehen können.

Was das für Sie bedeutet

Ob Sie ein einzelner Fachmann oder Teil eines IT-Teams sind – die durchschnittliche Verweildauer von 2,5 Wochen sollte Ihr Sicherheitsdenken neu ausrichten.

Die Frage lautet nicht mehr nur: „Wie halte ich Angreifer draußen?“, sondern gleichermaßen: „Wie schnell wüsste ich, ob bereits jemand drin ist, und was würde er vorfinden?“

Für Einzelpersonen und kleine Unternehmen bedeutet das:

• Gehen Sie davon aus, dass Anmeldedaten kompromittiert werden können. Nutzen Sie überall Multi-Faktor-Authentifizierung – insbesondere bei E-Mail, Cloud-Speicher und allen Tools für den Fernzugriff. Gestohlene Zugangsdaten sind der häufigste Einstiegspunkt.
• Begrenzen Sie, was erreichbar ist. Nicht jedes System oder jede Dateifreigabe muss von jedem Gerät aus zugänglich sein. Die Einschränkung des Zugriffs reduziert das, was ein Angreifer nach dem Eindringen erreichen kann.
• Achten Sie auf Anomalien, nicht nur auf bekannte Bedrohungen. Endpoint-Detection-Tools, die ungewöhnliches Verhalten melden – etwa wenn ein Benutzerkonto plötzlich auf Dateien zugreift, die es normalerweise nie anfasst –, sind wertvoller als reine signaturbasierte Virenscanner.
• Halten Sie einen Incident-Response-Plan bereit. Genau zu wissen, welche Schritte in der ersten Stunde nach einem bestätigten Sicherheitsvorfall zu unternehmen sind, begrenzt den Schaden erheblich. Viele Organisationen stellen fest, dass sie keinen dokumentierten Prozess haben, bis sie ihn dringend benötigen.
• Trennen Sie Ihre Backups. Backups, die sich im selben Netzwerk wie die primären Systeme befinden, können von Angreifern während ihrer Verweildauer verschlüsselt oder gelöscht werden. Offline- oder unveränderliche Backups sind eine separate Schutzschicht.

VPNs bleiben ein wirklich nützliches Werkzeug – besonders, um den Datenverkehr in nicht vertrauenswürdigen Netzwerken zu sichern und die Privatsphäre vor passiver Überwachung zu schützen. Ihre Rolle ist jedoch eine von vielen Schichten, keine vollständige Verteidigung.

Aufbau einer mehrschichtigen Verteidigungsstrategie

Die wirksamste Sicherheitshaltung betrachtet Erkennung als ebenso hohe Priorität wie Prävention. Prävention ist niemals perfekt, und die Daten bestätigen, dass Angreifer immer besser darin werden, sie zu umgehen. Organisationen und Einzelpersonen, die nur in die Abwehr von außen investieren, aber nichts tun, um Angreifer im Inneren zu entdecken, sind in dem entscheidenden Zeitfenster praktisch blind.

Mehrschichtige Verteidigung bedeutet die Kombination von Perimeter-Tools, Endpunktüberwachung, Netzwerkanalyse, strengen Zugriffskontrollen und Benutzerschulung. Kein einzelnes Produkt schließt alle Lücken, weshalb die Sicherheitsbranche von tiefgestaffelter Verteidigung spricht und nicht von der einen Wunderwaffe.

Der starke Anstieg der Datendiebstähle vor der Entdeckung ist ein klares Signal, dass die Bedrohungslage an Reife gewonnen hat. Angreifer agieren disziplinierter und geduldiger als je zuvor. Die angemessene Antwort besteht darin, dieser Disziplin mit ebenso durchdachten, mehrschichtigen Verteidigungsmaßnahmen zu begegnen – und nicht mit reaktiven Tool-Anschaffungen nach einem Vorfall.

Beginnen Sie mit einer Bestandsaufnahme: Welche sensiblen Daten halten Sie vor, wo befinden sie sich und wer kann darauf zugreifen? Allein diese Transparenz bringt Sie vor die meisten potenziellen Ziele.