Gut vier von fünf der befragten Unternehmen (79 Prozent) wollen deutlich mehr Augenmerk auf eine schnellere Wiederherstellung der Daten legen, da die Verteidigung gegen Ransomware immer häufiger versagt, so die aktuelle Studie "Ransomware 2024" von COMPUTERWOCHE, CSO und CIO in Zusammenarbeit mit Fortinet und Logicalis.

Offensichtlich reicht der bisherige Ransomware-Schutz nicht aus, der oftmals die Erstellung von Backups im Blick hat, aber die Wiederherstellung der Daten nach einem Ransomware-Vorfall nicht zeitnah genug sicherstellen kann. Doch nicht nur im Bereich Datensicherung und -wiederherstellung zeigt sich Optimierungsbedarf.

Ransomware kommt auf vielen Wegen

Supply-Chain-Risiken werden beispielsweise immer noch unterschätzt: Angriffe auf die Lieferkette stufen nur vier von zehn der befragten Unternehmen als "hohes" oder "sehr hohes" Risiko ein, elf Prozent sagen dagegen, dafür gebe es nur ein "geringes" bis "sehr geringes" Risiko.

Dabei kann die Lieferkette Quelle und Ziel von Ransomware sein. Gibt es bei einem der Lieferanten Schwachstellen, die in einer Attacke mit Ransomware ausgenutzt werden, kann dies schwerwiegende Auswirkungen auf die gesamte Supply Chain haben. Ein Datenverlust bei einem Vorlieferanten bedroht oftmals die eigene Produktion.

Doch Ransomware kann sich auch entlang der Lieferkette ausbreiten und scheinbar vertrauenswürdige Verbindungen zu Lieferanten ausnutzen, wenn sich diese durch IT-Sicherheitslücken Ransomware und andere Malware eingefangen haben. Dann wird die Ransomware ungewollt "Teil der Lieferkette" und trifft direkt die Produktionssysteme eines Unternehmens. Leider sind diese möglichen Angriffswege vielen nicht bewusst genug. Stattdessen sind es die Angriffe von "unbekannten Dritten", die 53 Prozent der befragten Unternehmen die meisten Sorgen machen. Zulieferer und Partner als Gefahrenquelle werden nur von 32 Prozent der Studienteilnehmenden genannt.

Doch es gibt weitere Gefahrenbereiche:"Ein Teilbereich, den es beim Schutz vor Ransomware zu adressieren gilt, ist Remote Work", erklärt Thorsten Henning, Regional Systems Engineering Director DACH bei Studienpartner Fortinet. "In einer zunehmend dezentralen Arbeitsumgebung steigt die Anfälligkeit für Ransomware-Angriffe exponentiell". Der IT-Sicherheitsexperte empfiehlt: "Mitarbeiter arbeiten von überall aus und nutzen verschiedene Geräte und Netzwerke, was potenzielle Einfallstore für Cyberkriminelle schafft. Doch mit Fortinet Zero Trust Network Access (ZTNA) können Kunden ihre Arbeitsumgebungen absichern und sich besser vor Ransomware-Angriffen schützen. Durch eine strikte Vertrauensbasis und granulare Zugriffskontrollen ermöglicht Fortinet ZTNA sicheren und kontrollierten Zugriff auf Unternehmensressourcen, unabhängig vom Standort oder Gerät", so Henning.

Wenn aber die Vielfalt der Ransomware-Bedrohungen nicht im Bewusstsein der Unternehmen ist, kann auch das Security-Konzept nicht umfassend genug die verschiedenen Risiken berücksichtigen. Es bestehen dann strategische Sicherheitslücken.

Externe Expertise gegen Ransomware

Es bestehen aber gute Aussichten, dass sich die Lücken in der Security-Strategie gegen Ransomware schließen lassen. Ganze 88 Prozent der für die Studie befragten Unternehmen kooperieren mit einem IT-Security-Dienstleister im Bereich Ransomware-Schutz oder planen dies. Dabei haben 43 Prozent bereits eine entsprechende Zusammenarbeit, 45 Prozent sind in der Planungsphase. Nur für sieben Prozent der Befragten ist dies kein Thema, fünf Prozent sind sich noch nicht schlüssig.

Die Nutzung professioneller Services ist in Zeiten des Fachkräftemangels in der Security eine gute Entscheidung. Alleine Security Automation wird nicht ausreichen, um den Ransomware-Schutz von seinen Lücken zu befreien. Zwar nutzen fast zwei Drittel der Unternehmen (65 Prozent) bereits die Automatisierung von Security-Funktionen, und weitere 25 Prozent der Befragten planen dies in den kommenden zwölf Monaten einzuführen. Doch die Security Automation bezieht sich nur auf gewisse Bereiche, die für einen besseren Ransomware-Schutz nicht ausreichen.

Auch internes Know-how nutzen

Die Fehlstellen im Ransomware-Schutz würden ohne Zweifel besser erkannt und behoben, wenn auch das interne Expertenwissen für Cybersicherheit stärker genutzt würde. Doch in nahezu jedem dritten Unternehmen (32 Prozent der Befragten) sind es CIO / CDO / IT-Vorstand, die den Schutz vor Ransomware verantworten. CISO / CSO / (IT-) Security-Vorstand nennen dagegen nur acht Prozent der Befragten als Verantwortliche für das Thema Ransomware. Security (Operations) Manager werden sogar nur von vier Prozent der Unternehmen als verantwortlich benannt.

"Die Studie über Ransomware bietet aufschlussreiche Einblicke. Besonders bemerkenswert ist, dass die Hauptverantwortung für den Schutz gegen Ransomware mehrheitlich nicht bei der Sicherheitsabteilung liegt", kommentiert Malte Vollandt, CISO bei Studienpartner Logicalis. "Ich setze mich stark dafür ein, dass IT-Verantwortliche und die Abteilung für Informationssicherheit enger zusammenarbeiten. So können wir gemeinsam effektive Schutzmaßnahmen entwickeln, aus Fehlern lernen und unseren Schutz kontinuierlich verbessern."

Wie die Studie "Ransomware 2024" ergab, sind die Security-Fachkräfte in den Unternehmen nicht einmal beratend an führender Stelle, wenn es um den Schutz vor Ransomware geht: In 42 Prozent der Unternehmen sind es CIOs / CDOs und IT-Vorstände, die mindestens beratend an Entscheidungen zum Ransomware-Schutz beteiligt sind. Unter der Gruppe der CISOs / CSOs / (IT-) Security-Vorstände sind es dagegen nur 24 Prozent, bei den Security (Operations) Managern sogar nur 21 Prozent, die zum Ransomware-Schutz intern beraten.

Offensichtlich werden die Chancen, die in einem internen Know-how für den Ransomware-Schutz liegen können, vielfach noch nicht genutzt. Das sollte sich ändern. "In den kommenden Jahren wird eine realistische Risikoeinschätzung entscheidend sein, um wirkungsvolle Maßnahmen zu ergreifen", meint Vollandt. "In der sich schnell verändernden Welt der IT-Sicherheit benötigen wir bereits jetzt effektive Strategien und Prinzipien für den Umgang mit Risiken. Die Entwicklung von Governance-Strukturen und Fachwissen in diesem Bereich wird künftig entscheidend für den Erfolg von Unternehmen sein."

Versicherung alleine genügt nicht, aber...

Die Studie macht zudem deutlich, dass auch Versicherungsgesellschaften bei Ransomware-Schutz weniger zum Zug kommen als in anderen Security-Bereichen. So geben nur 22 Prozent der Befragten an, dass sie eine spezielle Cybererpressungsversicherung und damit eine Ransomware-Versicherung haben oder dass diese Schadensart in ihrer Cyberversicherung eingeschlossen ist. Eine Cyberversicherung gegen Diebstahlrisiken haben dagegen 48 Prozent der Unternehmen, eine Cyberhaftpflichtversicherung immer noch 45 Prozent der Befragten.

Auch hier könnten Unternehmen von dem Wissen einer Spezialversicherung profitieren, die zum Beispiel schon vor Versicherungsabschluss auf einen unzureichenden Ransomware-Schutz hinweisen könnte.

Ransomware-Schutz braucht geballtes Know-how

Es zeigt sich: Die Angriffe mit Ransomware sind komplex und vielschichtig, doch viele Unternehmen setzen auf einen eher eindimensionalen Schutz vor den Erpresserviren. Professionelle Security-Services, Beratung und Unterstützung durch Spezialversicherungen und nicht zuletzt das verfügbare interne Wissen der eigenen Security-Fachkräfte sollten stärker genutzt werden, damit die Verteidigung gegen Ransomware mehr Erfolg hat.

Gerade bei der Nutzung externer Services gegen Ransomware haben dies bereits viele Unternehmen erkannt und in die Tat umgesetzt. Dagegen steht es um die Berücksichtigung der eigenen, internen Expertise im Ransomware-Schutz noch nicht so gut. Es erscheint aber nicht sinnvoll, über Fachkräftemangel in der Security zu klagen und die verfügbaren Kräfte dann nicht gegen eine der größten Cyberbedrohungen an vorderster Stelle einzusetzen. Ransomware-Schutz braucht eine Verantwortung gepaart mit fachlichem Know-how, wie dies CISOs bieten, um gefährliche Schlupflöcher für Online-Erpressungen zu vermeiden.

Studiensteckbrief

Herausgeber: CIO, CSO und COMPUTERWOCHE

Studienpartner: Fortinet GmbH; Logicalis GmbH, NetApp Deutschland GmbH

Grundgesamtheit: Oberste (IT-)Verantwortliche in Unternehmen der DACH-Region: Beteiligte an strategischen (IT-)Entscheidungsprozessen im C-Level-Bereich und in den Fachbereichen (LoBs); Entscheidungsbefugte sowie (Sicherheits-) Experten und Expertinnen aus dem IT-Bereich

Teilnehmergenerierung: Persönliche E-Mail-Einladung über die exklusive Unternehmensdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels

Gesamtstichprobe: 370 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 27. November bis 04. Dezember 2023

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung und Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern