[datensicherheit.de, 28.03.2025] Die Check Point Software Technologies Ltd. hat weitere Informationen über die „Medusa“-Ransomware veröffentlicht. Seit Februar 2025 haben die Operationen dieser Gruppe demnach zugenommen und sich mehr als 300 Opfer bei den US-Behörden gemeldet. Die betroffenen Branchen reichten von Technologie über die Fertigung bis hin zum Bildungs- und Versicherungswesen. Die CISA hat hierzu eine Liste von Empfehlungen veröffentlicht, die Sicherheitsverantwortliche bei der Erkennung unterstützen soll.

Foto: Check Point Software

Marco Eggerling zur Ransomware-Bedrohung: E-Mail-Sicherheitsmaßnahmen sollten nicht länger optional sein, denn sie sind unerlässlich geworden!

Ransomware-Hacker wenden Taktik der Doppelten Erpressung an

Der Hauptinfektionsvektor sind laut Check Point Phishing-Kampagnen, die darauf abzielen, Anmeldedaten von Benutzern zu sammeln. „Sobald diese Anmeldedaten vorliegen, erhalten die Angreifer den Zugriff auf das System und beginnen mit der Übernahme der Systeme.“

In den bekanntgewordenen Fällen hätten die Hacker die Taktik der sogenannten Doppelten Erpressung verwendet: „Dafür haben sie eine Website für Datenlecks eingerichtet, auf der die Opfer neben Countdown-Timern aufgelistet sind.“ Diese Timer gäben an, wann die gestohlenen Informationen veröffentlicht werden sollten.

Diese Website enthalte auch Informationen über spezifische Lösegeldforderungen und direkte Links zu sogenannten Crypto-Wallets. „Für Unternehmen, die bereits angegriffen werden, bietet ,Medusa’ die Möglichkeit für 10.000 US-Dollar in ,Krypto-Währung’ die Zahlungsfrist zu verlängern, droht aber auch mit dem Verkauf der Daten an Dritte.“

Tipps zum Schutz vor „Medusa“-Ransomware und ähnlichen Bedrohungen

Um sich gegen die „Medusa“-Ransomware und ähnliche Bedrohungen zu schützen, sollten Unternehmen laut Check Point die folgenden vier Maßnahmen ergreifen:

1. Fortschrittlicher Schutz vor Phishing
   Fortschrittliche E-Mail-Security-Lösungen identifizierten und blockierten automatisch verdächtige E-Mails, bevor sie Mitarbeiter erreichen und neutralisierten damit die Hauptinfektionsmethode.
2. Zero-Day-Schutz
   Einsatz KI-basierter „Engines“, um bisher unbekannte Phishing-Versuche und bösartige Anhänge zu erkennen.
3. E-Mail-Authentifizierung
   Diese helfe bei der Verifizierung der Identität des Absenders, um E-Mail-Spoofing zu verhindern (diese Taktik werde häufig bei Kampagnen zum Sammeln von Zugangsdaten angewendet).
4. „Security Awareness“
   Unternehmen sollten die Widerstandsfähigkeit der Mitarbeiter durch automatisierte Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein stärken.

Bedrohung durch Ransomware vor allem im Phishing-Kontext

Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, kommentiert: „Die Erfahrung zeigt, dass in den USA aktive Malware auch früher oder später bei europäischen Unternehmen in den Systemen gefunden wird. Das Teilen der Informationen von Unternehmen mit den zuständigen Behörden und dieser wiederum mit der Öffentlichkeit ist deshalb umso wichtiger.“

Für Firmen gelte einmal mehr, dass die Bedrohung durch Ransomware vor allem eine Bedrohung durch Phishing sei. „E-Mail-Sicherheitsmaßnahmen sollten deshalb nicht länger optional sein, denn sie sind unerlässlich geworden“, betont Eggerling abschließend.

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY CISA, 12.03.2025
#StopRansomware: Medusa Ransomware

datensicherheit.de, 27.03.2025
Ransomware-Gruppe RansomHub übernimmt kriminelles Erbe von LockBit & Co. / ESET Forscher decken Verbindungen zwischen rivalisierenden Gruppen auf / Neue Angriffs-Werkzeuge im Umlauf

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 12.02.2025] „Mehr als jedes zehnte OT-Gerät in den Bereichen Produktion, Transport und Logistik sowie natürliche Ressourcen verfügt über bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerability / KEV)“ – so eine zentrale Erkenntnis des aktuellen Reports „State of CPS Security 2025“ von Claroty zur Sicherheit sogenannter Cyber-Physischer Systeme (CPS), für den demnach knapp eine Million OT-Geräte analysiert wurde. Claroty-Sicherheitsforscher hätten dabei über 110.000 KEVs entdeckt, von denen mehr als zwei Drittel (68%) von Ransomware-Gruppen ausgenutzt würden.

Abbildung: Claroty

Der komplette OT-Report „State of CPS Security 2025“ mit vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen steht zum Download bereit (s.u.)

Claroty-Report zeigt auch Bedrohungen auf, denen Kritische Sektoren durch OT-Anlagen ausgesetzt sind, welche mit bösartigen Domänen kommunizieren

„Sicherheitsverantwortliche stehen vor großen Herausforderungen bei der Priorisierung von Schwachstellen. Sie müssen hierfür die Zusammenhänge zwischen Schwachstellen und Angriffsvektoren wie Ransomware oder unsicherem Fernzugriff erkennen, um die Risiken proaktiv und effizient zu minimieren.“

Dies gelte umso mehr, da Aktivitäten staatlich unterstützter Angreifer immer weiter zunähmen. Deshalb zeige dieser Report auch die Bedrohungen auf, denen Kritische Sektoren durch OT-Anlagen ausgesetzt seien, „die mit bösartigen Domänen kommunizieren, einschließlich solcher aus China, Russland und dem Iran“.

Aktuelle OT-Bedrohungen im Überblick

Die wichtigsten Ergebnisse des Reports lt. Claroty:

• Bei den 940.000 analysierten Geräten seien 110.000 KEVs identifiziert worden. Zwölf Prozent der Geräte seien also über Schwachstellen angreifbar. Hiervon sei fast jedes zweite (40%) zudem unsicher mit dem Internet verbunden.
• Zwölf Prozent der untersuchten Unternehmen verfügten über OT-Assets, welche mit bösartigen Domains kommunizierten. „Dies zeigt, dass es sich um eine reale Bedrohung handelt!“
• In der Produktion fänden sich prozentual die meisten Schwachstellen (13%), gefolgt von natürlichen Ressourcen (7%) sowie Transport und Logistik (2%).

OT-Infrastrukturen grundsätzlich schwer zu schützen

OT-Infrastrukturen seien aufgrund ihrer Art grundsätzlich schwer zu schützen, kommentiert Thorsten Eckert, „Regional Vice President Sales Central“ von Claroty. Er führt hierzu weiter aus: „Angreifer können Schwachstellen ausnützen und damit nicht nur Technik, sondern auch die Umwelt und Menschenleben gefährden!“

Durch die zunehmende Vernetzung infolge der Digitalen Transformation würden die Herausforderungen noch weiter zunehmen. Deshalb müssten Sicherheitsverantwortliche umdenken: „Weg von einem klassischen Schwachstellen-Management hin zu einem modernen ,Exposure Management’!“, rät Eckert abschließend. Nur damit seien sie in der Lage, die wachsende Anzahl von Schwachstellen in ihren Infrastrukturen zu priorisieren und gezielt zu adressieren.

Weitere Informationen zum Thema:

CLAROTY, Team82
Report: State of CPS Security: OT Exposures 2025 / Team82’s analysis of the riskiest operational technology (OT) exposures putting critical infrastructure organizations in the crosshairs of adversaries

datensicherheit.de, 19.12.2024
OT-Prognose 2025: Schutz industrieller Systeme entscheidend / OT-Sicherheit fokussiert auf Aufrechterhaltung physischer Prozesse und Vermeidung von Ausfällen

datensicherheit.de, 03.12.2024
Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen / Alt-Systeme in OT-Umgebungen weisen zwar Schwachstellen auf, können aber dennoch geschützt werden

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

[datensicherheit.de, 12.11.2024] Laut einer Mitteilung von Kaspersky hat das eigene „Global Emergency Response Team“ eine neue Ransomware-Variante entdeckt, welche im Rahmen eines zielgerichteten Angriffs nach dem Diebstahl von Mitarbeiterzugangsdaten zum Einsatz gekommen sei: „,Ymir’ nutzt fortschrittliche Verschleierungs- und Verschlüsselungsmethoden; so verschlüsselt sie bestimmte Dateien auf einer Whitelist nicht, um einer Entdeckung zu entgehen.“ Weiterhin wendet sie demnach eine Kombination von Speicher-Manipulationstechniken an, um Schadcode direkt im Speicher auszuführen.

„Ymir“-Angriff ging Einsatz eines „Infostealers“ voraus

Die „Ymir“-Ransomware kombiniere besondere technische Merkmale und Taktiken, welche ihre Wirksamkeit steigerten. „Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – ,malloc’, ,memmove’ und ,memcmp’ –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der ,–path’-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht.“ Dateien auf der Whitelist würden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermögliche.

Dem Ransomware-Angriff sei ein Einsatz eines „Infostealers“ vorausgegangen: „Im von Kaspersky beobachteten Angriff nutzten die Angreifer ,RustyStealer’, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren.“ Diese Art von Angriff sei als „Initial Access Brokerage“ bekannt, „bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen“. Normalerweise verkauften „Initial Access Broker“ solch einen Zugang im sogenannten DarkWeb an andere Cyber-Kriminelle weiter; in diesem Fall schienen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.

„Ymir“-Ransomware-Gruppe bislang noch nicht identifiziert

Die Ransomware verwende „ChaCha20“, ein modernes Strom-Chiffre-Verfahren, welches für seine Geschwindigkeit und Sicherheit bekannt sei und sogar den „Advanced Encryption Standard“ (AES) in einigen Aspekten übertreffe. „Wenn die ,Initial Access Broker’ tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service-(RaaS)-Gruppen auskommt“, so Cristian Souza, „Incident Response Specialist“ im „Kaspersky Global Emergency Response“-Team.

Sie führt weiter aus: „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei ,Ymir’ ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“

Neue Ransomware nach „irregulärem“ Saturnmond Ymir benannt

Bei der Namenswahl für diese neue Ransomware entschieden sich die Kaspersky-Experten nach eigenen Angaben für den Saturnmond Ymir. Dieser sei ein „irregulärer“ Mond, welcher sich entgegen der Rotation des Planeten bewege – ein Merkmal, „das auf den unkonventionellen Einsatz von Speicherverwaltungsfunktionen in der neuen Ransomware widerspiegelt“. Kaspersky-Produkte sollen diese Ransomware als „Trojan-Ransom.Win64.Ymir.gen“ erkennen.

Kaspersky-Empfehlungen zur Prävention von Ransomware-Angriffen:

• Regelmäßig Backups erstellen und diese testen!
• Mitarbeiterschulungen zur Cyber-Sicherheit durchführen, um das Bewusstsein für Bedrohungen wie Daten stehlende Malware zu erhöhen und effektive Schutzstrategien zu vermitteln!
• Bei einem Ransomware-Befall und fehlender Entschlüsselungsmöglichkeit sollten kritische, verschlüsselte Dateien aufbewahrt werden. Eine Lösung zur Entschlüsselung könnte später durch fortlaufende Forschungsbemühungen oder die Ergreifung der Täter durch Behörden verfügbar werden!
• Es wird empfohlen, kein Lösegeld zu zahlen, da dies die Täter zu weiteren Angriffen ermutigen könnte und keine Garantie für die sichere Wiederherstellung der Daten bietet!
• Umfassende Lösungen (wie z.B. „Kaspersky Next“) bieten Echtzeitschutz, Transparenz von Bedrohungen, Untersuchungen und die Reaktionsmöglichkeiten von EDR und XDR für Unternehmen jeder Größe und Branche!
• „Managed Security Services“ nutzen, welche alle Bereiche eines Angriffs abdecken – von der Entdeckung bis zur Beseitigung (Kaspersky bietet beispielsweise „Compromise Assessment“, „Managed Detection and Response“ und „Incident Response“ an)!

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Cristian Souza & Ashley Muñoz & Eduardo Ovalle, 11.11.2024
Ymir: new stealthy ransomware in the wild

golem.de, Hanno Böck, 23.06.2016
RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

[datensicherheit.de, 31.10.2024] „Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern ist unerlässlich, um Patientendaten zu sichern, die Betriebskontinuität zu gewährleisten und die Patienten bestmöglich behandeln zu können“, betont Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Im Zuge moderner Ransomware-Methoden, wie sie jüngst beim „Trinity“-Angriff auf den US-amerikanischen Gesundheitssektor zum Einsatz gekommen seien, würden zunehmend sensible Daten vor ihrer Verschlüsselung exfiltriert. Dieser Ansatz ziele verstärkt auf Kritische Branchen wie das Gesundheitswesen und verdeutliche die Notwendigkeit einer starken Sicherheitskultur. Dr. Krämer führt hierzu aus: „Hierbei ist nicht nur die Technik gefordert, sondern auch das Sicherheitsbewusstsein der Geschäftsführung und die Schulung aller Mitarbeitenden, um die Sicherheit im Umgang mit solchen Bedrohungen zu erhöhen.“

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt u.a. regelmäßige Trainings – etwa Phishing-Simulationen

Cyber-Angreifer nehmen Gesundheitssektor ins Visier

Die Häufigkeit von Cyber-Angriffen nehme zu, besonders im Gesundheitswesen, wie der aktuelle Bericht „Hacked Healthcare: A Global Crisis in Cybersecurity“ von KnowBe4 demnach verdeutlicht. Nach einem Ransomware-Angriff auf 140 Krankenhäuser habe das Health-ISAC (Health Information Sharing and Analysis Center) im Mai 2024 eine dringliche Empfehlung herausgegeben, welche auf eine deutliche Zunahme gezielter Angriffe im Gesundheitsbereich hinweise.

„Die Empfehlung verwies auf schwere Betriebsstörungen in Gesundheitsorganisationen in Europa und den USA“, so Dr. Krämer. Laut „Check Point Research“ seien die weltweiten Cyber-Angriffe im Jahr 2023 um drei Prozent gestiegen, wobei das Gesundheitswesen mit einem Zuwachs von elf Prozent und durchschnittlich 1.613 Angriffen pro Woche den globalen Durchschnitt deutlich übertroffen habe.

Cyber-Resilienz des Gesundheitswesens entscheidend für Stabilität und Schutz der gesamten Gesellschaft

Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern sei unerlässlich, um Patientendaten zu schützen und die Betriebskontinuität aufrechtzuerhalten. Die Gesundheitsbranche sehe sich zunehmend mit Angriffen wie Ransomware, Datenschutzverletzungen und Malware konfrontiert, die Patientendaten, Diagnosegeräte und Kritische Systeme gefährdeten.

„Diese Angriffe riskieren nicht nur die Privatsphäre der Patienten, sondern können medizinische Dienste extrem stören und Behandlungen verzögern oder ganz ausfallen lassen – im Extremfall mit lebensbedrohlichen Konsequenzen“, warnt Dr. Krämer. Cyber-Resilienz in diesen Bereichen sei daher entscheidend für die Stabilität und den Schutz der gesamten Gesellschaft.

Aufbau einer umfassenden Sicherheitskultur auch im Gesundheitswesen erfordert gezielte Schulungen

Ransomware-Angriffe wie „Trinity“ zeigten, dass Organisationen auf eine Balance zwischen technischen Schutzmaßnahmen und einem informierten Team setzen müssten. „Eine starke Sicherheitskultur verwandelt potenzielle Schwachstellen in wertvolle Ressourcen, die zur Cyber-Resilienz der Organisation beitragen können“, rät Dr. Krämer.

Der Aufbau einer umfassenden Sicherheitskultur beginne mit gezielten Schulungen, kontinuierlichen Sensibilisierungsprogrammen und klarer Führungskompetenz. Regelmäßige Trainings, wie etwa Phishing-Simulationen, könnten Mitarbeiter helfen, Bedrohungen zu erkennen und richtig darauf zu reagieren. „Verstehen alle Mitglieder die Bedeutung ihrer Rolle für die Cyber-Sicherheit, können sie aktiv zum Schutz der gesamten Organisation beitragen!“, unterstreicht Dr. Krämer abschließend.

Weitere Informationen zum Thema:

U.S. Department of Health and Human Services, Health Sector Cybersecurity Coordination Center (HC3), 04.10.2024
Trinity Ransomware

KnowBe4, 2024
Hacked Healthcare: A Global Crisis in Cybersecurity

[datensicherheit.de, 02.10.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur „Awareness“-Veranstaltung mit dem Schwerpunkt „Incident Response“ in Industrie-Unternehmen ein. Ransomware-Angriffe nehmen offensichtlich weiter zu – und jedes Unternehmen sollte sich vor Cyber-Angriffen schützen. Das Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

Abbildung: it’s.BB e.V.

Der it’s.BB e.V. lädt zur „Awareness“-Veranstaltung mit dem Schwerpunkt „Incident Response“ in Industrie-Unternehmen

Aktuelle Gefahren in Industrie-Unternehmen sowie priorisierte Maßnahmen

Konkret stellt sich angesichts der Bedrohung die Frage, was die Unternehmen konkret tun können – so könnten sie sich präventiv auf diesen Fall vorbereiten und auf Experten hören, aber dies ist mit finanziellem Aufwand verbunden…

Die Erfahrung zeige nun leider, „dass viele Menschen erst einmal in den Brunnen fallen müssen, um Änderungen voranzubringen“. Dieses Web-Seminar soll laut it’s.BB ein kurzer Ausflug in das „Neuland“ der IT- und OT-Security sein, um aktuelle Gefahren in Industrie-Unternehmen sowie priorisierte Maßnahmen aufzuzeigen und die Gefahr zumindest etwas zu bannen.

Web-Seminar zur „Incident Response“ in Industrie-Unternehmen

Web-Seminar am Mittwoch, dem 16. Oktober 2024,
16.00 bis 17.00 Uhr via „MS Teams“-Plattform
Teilnahme kostenlos, Anmeldung erforderlich (s.u.).

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Daniel Jedecke, Senior Expert HiSolutions AG
– Anna Borodenko, IHK Berlin

16.10-16.45 Uhr
• „Aktuelles Lagebild“
• „Was ist ,IT und OT’?“
• „Was passiert bei einem Cyber-Angriff?“
• „Maßnahmen gegen Cyber-Angriffe“
• „Was sollte priorisiert werden?“
– Daniel Jedecke, Senior Expert HiSolutions AG

16.45-17.00 Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 16. Oktober / it’s.BB-Awareness: Incident Response in Industrie-Unternehmen

[datensicherheit.de, 27.08.2024] Eine internationale Umfrage unter 900 IT- und Security-Verantwortlichen zeigt laut Semperis, „dass 83 Prozent der Unternehmen im vergangenen Jahr Ziel von Ransomware-Angriffen waren, was alarmierende Trends in Bezug auf Häufigkeit, Schwere und Folgen von Angriffen aufzeigt“. Semperis ging demnach mit einer internationalen Studie der Prävalenz, Häufigkeit und den durch Lösegeldzahlungen und Kollateralschäden verursachten Kosten von Ransomware-Angriffen auf den Grund. Für diese Studie seien Unternehmen aus verschiedenen Branchen in Deutschland, Frankreich, Großbritannien und den USA befragt worden.

Foto: semperis

Oliver Keizers: Entscheidungsträger im Ernstfall in dier Lage versetzen, den Ransomware-Angreifern eine Zahlung zu verweigern!

Wenige Unternehmen sehen Alternative zur Lösegeldzahlung nach Ransamoware-Befall…

Die Studie wurde nach eigenen Angaben in der ersten Jahreshälfte 2024 durchgeführt. Dies sind laut Semperis die wichtigsten Ergebnisse:

Ransomware-Angriffe bleiben kein einmaliges Ereignis
74 Prozent der Befragten, die in den letzten zwölf Monaten gegen Lösegeld attackiert wurden, seien mehrfach angegriffen worden – viele innerhalb einer Woche.

Unternehmen können es nicht mit Ransomware aufnehmen
In Deutschland seien 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen gewesen, davon 78 Prozent sogar öfter als einmal. „66 Prozent bezahlten mehrfach Lösegeld, 49 Prozent – und mit diesem Wert ist Deutschland unter allen Regionen in dieser Studie Spitzenreiter – sogar öfter als vier Mal.“ Im Gesamtdurchschnitt aller befragten Länder hätten 78 Prozent der betroffenen Unternehmen Lösegeld gezahlt – davon 72 Prozent mehrmals und 33 Prozent viermal oder häufiger.

Nur wenige Unternehmen sehen eine Alternative zur Lösegeldzahlung
87 Prozent der Angriffe hätten zu Betriebsunterbrechungen geführt – selbst bei denen, die Lösegeld zahlten – einschließlich Datenverlust und der Notwendigkeit, Systeme offline zu nehmen. „Für 16 Prozent der Befragten stellte der Angriff ein Dilemma um Alles oder Nichts dar – bei den Befragten aus Deutschland lag dieser Wert bei 19 Prozent.“

Die Zahlung von Lösegeld garantiert keine Rückkehr zum normalen Geschäftsbetrieb
35 Prozent der Opfer, die Lösegeld gezahlt haben, hätten entweder keine oder fehlerhafte Decodierungsschlüssel erhalten.

Recovery Time Objectives (RTOs) werden nicht erreicht
49 Prozent der Befragten hätten ein bis sieben Tage benötigt, um den Geschäftsbetrieb nach einem Ransomware-Angriff auf ein Minimum an IT-Funktionalität wiederherzustellen, „und zwölf Prozent benötigten sieben Tage oder länger“.

Die o.g. Ergebnisse unterstrichen einen alarmierenden Trend zu mehreren, manchmal gleichzeitigen Angriffen, was Führungskräfte dazu zwinge, ihre Cyber-Resilienz-Strategien neu zu bewerten, um häufige Fehlerquellen, wie beispielsweise unzureichende Backup- und Wiederherstellungspraktiken für Identitätssysteme, zu beheben.

Nicht nur gegen Ransomware: IT-Umgebung verteidigungsfähig machen und sie dann verteidigen!

Nur wenige Unternehmen verfügten über umfassenden, dedizierten Identitätsschutz: „Obwohl 70 Prozent der Befragten angaben, dass sie über einen Plan zur Wiederherstellung von Identitäten verfügen, was einen starken Fortschritt in Richtung IAM-zentrierter Sicherheit signalisiert, gaben nur 27 Prozent (36% in Deutschland) an, über dedizierte, Active-Directory-spezifische Backup-Systeme zu verfügen.“ Ohne AD-spezifische, malware-freie Backups und einen getesteten Wiederherstellungsplan werde die Wiederherstellung länger dauern, was die Wahrscheinlichkeit erhöhe, dass sich das Unternehmen entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen.

„Im Mittelpunkt dieser ganzen Diskussion steht die Rentabilität von Unternehmen. Angreifer versuchen, diese zu gefährden, um sie überzeugen können, sich freizukaufen. Wenn ihnen ein erfolgreicher Angriff auf die Identität gelingt, besitzen sie Privilegien, die sie dann zu ihrem Vorteil nutzen können“, so Chris Inglis, „Semperis Strategic Advisor“ und erster U.S. National Cybersecurity Director. Er führt weiter aus: „Wenn man bedenkt, dass es eine 24/7-Bedrohung für die heutigen Unternehmen gibt, kann man nie sagen ‚Ich bin in Sicherheit‘ oder sich einen Moment frei nehmen. Das Beste, was sie tun können, ist, ihre Umgebung verteidigungsfähig zu machen und sie dann zu verteidigen.“

Geschäftsleitung und Vorstand müssen bei Ransomwae-Angriff fundierte Entscheidung treffen können!

Von den anhaltenden Herausforderungen im Bereich der Cyber-Sicherheit, die Unternehmen nannten, habe die mangelnde Unterstützung durch den Vorstand ganz oben auf der Liste gestanden. Weitere Bedenken betrafen „Budgetbeschränkungen, Personalmangel, veraltete Systeme sowie Vorschriften und Richtlinien zur Cyber-Sicherheit“.

„Damit die Geschäftsleitung und der Vorstand eine fundierte Entscheidung gegen die Zahlung von Lösegeld treffen können, müssen sie wissen, wie lange die Wiederherstellung dauern wird und sich darauf verlassen können“, betont Oliver Keizers, „Area Vice President EMEA“ bei Semperis. Dafür müssten Unternehmen ihren Wiederherstellungsplan in einem möglichst realitätsnahen Szenario testen und ihn dem Vorstand vorstellen, bevor ein Angriff erfolgt. Keizers unterstreicht: „Auf diese Weise sind die Entscheidungsträger im Ernstfall in der Lage, den Angreifern eine Zahlung zu verweigern.“

Weitere Informationen zum Thema:

semperis
Ransomware-Risikobericht: Die Denkweise des Einbrechers annehmen / Opfer mehrfach getroffen, 78% zahlten Lösegeld

datensicherheit.de, 23.08.2024
Neuer WithSecure-Report zeigt: Jüngste Schläge gegen Ransomware-Gruppen hatten Wirkung / „Produktivität“ der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht weiter angestiegen

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 23.08.2024] Der aktuelle WithSecure-Report soll einen „detaillierten Einblick in die neuesten Entwicklungen der Welt der Ransomware“ bieten. Als eines der zentralen Ergebnisse aus der ersten Hälfte des Jahres 2024 kann demnach festgehalten werden, „dass die Produktivität der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht mehr ansteigt“. Außerdem zeigten sich interessante Entwicklungen bei Angriffszielen und Branchendynamik. Der Bericht geht auch auf das anhaltende Problem der Reinfektion ein – eine Erkenntnis sei: „Die Daten zeigen, dass ein erheblicher Prozentsatz der Unternehmen, die Lösegeld gezahlt haben, später erneut von denselben oder anderen Ransomware-Gruppen angegriffen wurden.“

Deutliche Verlagerung der Ransomware-Angriffe auf KMU

Während die Produktivität von Ransomware 2024 offenbar eher nachlässt, seien die Häufigkeit der Angriffe und die Höhe der eingenommenen Lösegeldzahlungen in der ersten Hälfte des Jahres 2024 im Vergleich zu den gleichen Zeiträumen der beiden Vorjahre weiter gestiegen. „Es gibt eine deutliche Verlagerung hin zu kleinen und mittleren Unternehmen, die nun einen größeren Anteil der Ransomware-Opfer ausmachen“, erläutert Tim West, „Director of Threat Intelligence and Outreach“ bei WithSecure.

Klar sei: Strafverfolgungsmaßnahmen, insbesondere die Zerschlagung der „LockBit“-Ransomware-Gruppe im Februar 2024, hätten eine entscheidende Rolle bei der Unterbrechung großer Ransomware-Operationen gespielt. Diese Bemühungen hätten zur Beschlagnahmung bedeutender Vermögenswerte und zur Zerstörung kritischer Infrastrukturen auf Seiten der Ransomware-Gruppen geführt.

Langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem indes noch ungewiss

Trotz dieser Unterbrechungen blieben langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem ungewiss, da sich die Gruppen meist anpassten und weiterentwickelten. Der Report zeige insbesondere für die Zeit seit Juni 2024 vermehrt Hinweise auf eine Umbauphase bei „LockBit“ auf. Im Ergebnis ziehen die Autoren den Schluss, dass „LockBit“ mit großer Sicherheit beabsichtige, mit einem robusteren Betriebsmodell in die Branche zurückzukehren.

Der Bericht untersuche die Architektur von RaaS-Kollektiven (Ransomware-as-a-Service) und hebe den zunehmenden Wettbewerb zwischen Ransomware-Franchises hervor, um Partner anzuziehen. Nach dem Niedergang prominenter Gruppen wie „LockBit“ und „ALPHV“ hätten sich viele neue „nomadische“ Ransomware-Affiliates mit etablierteren RaaS-Marken zusammengeschlossen.

Häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure

„Das Vertrauen innerhalb der cyber-kriminellen Gemeinschaft ist wahrscheinlich aufgrund von Vorfällen wie dem mutmaßlichen Exit-Scam von ,ALPHV’, bei dem Partner um ihre Einnahmen betrogen wurden, erheblich geschwächt worden. Das verkompliziert die Dynamik innerhalb des Ransomware-Ökosystems weiter“, so West.

Ein bemerkenswerter festgestellter Trend sei die zunehmende Nutzung des Erstzugriffs über die Ausnutzung sogenannter Edge-Dienste, wie in früheren WithSecure-Untersuchungen beschrieben, sowie die häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure.

Weitere Informationen zum Thema:

WithSecure Intelligence, Stephen Robinson, 12.06.2024
Mass exploitation: The vulnerable edge of enterprise security

WithSecure Intelligence, Tim West, 22.08.2024
Ransomware Landscape H1/2024

datensicherheit.de, 08.04.2024
Lockbit-Ransomware-Gruppe: Zerschlagung wohl nur kurzfristiger Erfolg / Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

[datensicherheit.de, 02.08.2024] Dies sein nur eine Frage der Zeit gewesen: Eine Bedrohungsgruppe mit dem Namen „ChamelGang“ verwende Ransomware als sekundäre Angriffsart, um ihre Spuren zu verwischen. Sicherheitsforscher der „Sentinellabs“ von SentinelOne hätten diese bisherige Anomalie in einem Report aufgedeckt. Laut deren Erkenntnissen nutze diese APT („Advanced Persistent Threat“) sowohl Datenverschlüsselung als auch Exfiltration und Erpressung. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, kommentiert diesen Vorfall in seiner aktuellen Stellungnahme: „Unternehmen und Organisationen, die Opfer dieser Gruppe wurden, werden durch die Ransomware abgelenkt und wissen oftmals nicht, dass vor der Verschlüsselung auch noch eine umfassende Exfiltration stattgefunden hat.“ Es sei davon auszugehen, dass der eigentliche Auftrag Spionage gewesen sei und die Verschlüsselung und Erpressung als Extra-Geschäft genutzt würden. „Wenn die Angreifer schon mal im Netz sind, verdienen sie sich bei der Gelegenheit noch mal etwas extra dazu, so könnte man meinen“, so Dr. Krämer.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen wie Organisationen, mehr in ihre Phishing-Prävention zu investieren und vor allem die eigenen Mitarbeiter zu schulen

Ransomware-Akteure könnten Cyber-Spionagemarktplatz etablieren

Diese zusätzliche Taktik mache Cyber-Angriffe wesentlich gefährlicher: „Es ist nicht auszuschließen, dass mehrere Ransomware-Bedrohungsakteure davon Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln.“ Angenommen, eine Ransomware-Gruppe habe sich einen ersten Zugang verschafft und ihre Ransomware im Stillen überall verteilt – alles, was es nun noch brauche, sei ein Bedrohungsakteur, der einen „Spionagemarktplatz“ einrichtet, „auf dem auch andere bösartige Akteure nach Einfallstoren für jenes Unternehmen oder Organisation suchen“.

Nationalstaatliche Spionage-Akteure könnten von Ransomware-Einfallstoren profitieren

Weiter gedacht, würden dann auch nationalstaatliche Akteure davon profitieren, welche die Ransomware-Einfallstore zu Spionagezwecken nutzen möchten. Eine Ransomware-Gruppe könnte dann den Zugang zunächst an eine andere Gruppe verkaufen, „die ausschließlich Spionage betreiben möchte und danach dann ein zweites Mal Geld verdienen, in dem es Daten verschlüsselt und das Opfer erpresst“.

Phishing als bevorzugtes Ransomware-Einfallstor

Nicht zuletzt aus diesem Grund sollten Unternehmen wie Organisationen mehr in ihre Phishing-Prävention investieren und vor allem die eigenen Mitarbeiter schulen. „Security Awareness Trainings“ mit dem Ziel einer dauerhaften Verhaltensveränderung und der Etablierung einer starken Sicherheitskultur seien geeignete Mittel, um Phishing zu stoppen. Ohne Phishing als Einfallstor müssten APTs nämlich mehr finanziellen und zeitlichen Aufwand betreiben, um an ihr Ziel zu kommen – so dass es sich dann, egal welches Ransomware-Geschäftsmodell, weniger lohne.

Weitere Informationen zum Thema:

SentinelLABS, Aleksandar Milenkoski & Julian-Ferdinand Vögele, Juni 2024
CHAMELGANG & FRIENDS | CYBERESPIONAGE GROUPS ATTACKING CRITICAL INFRASTRUCTURE WITH RANSOMWARE

[datensicherheit.de, 21.06.2024] Dies sind laut einer aktuellen Stellungnahme von Cohesity direkte Folgen der jüngsten Ransomware-Attacken der vergangenen 15 Tage: „800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste“ – die Ransomware-„Pandemie“ wüte ungebremst und die Politik diskutiere strengere Regeln. So werde in Großbritannien diskutiert, ob Firmen gezwungen werden sollten, Ransomware-Attacken und Lösegeld-Zahlungen zu melden. Die EU habe mit NIS-2 und DORA bereits strenge Meldepflichten definiert.

Ransomware-Angriff gegen britisches Labor zwang Krankenhäuser zur Verschiebung von rund 800 Operationen

„Der Fall von Synnovis legt offen, wie selbst Kritische Infrastrukturen anfällig bleiben und wie komplex Firmen heute miteinander verwoben sind. Dadurch entstehen ungewisse Ausfallrisiken.“ Synnovis sei als Pathologie-Labor in Großbritannien mit seinen Dienstleistungen wie Bluttests eng mit einigen Krankenhäusern verzahnt.

Ein Ransomware-Angriff gegen dieses Labor habe nun betroffene Krankenhäuser gezwungen, insgesamt rund 800 Operationen zu verschieben. Mark Dollar, „CEO“ des demnach am 4. Juni 2024 gehackten Gesundheitsdienstleisters Synnovis, kommentiert: „Angriffe dieser Art können jederzeit jedem passieren und die dahinter stehenden Personen haben beunruhigenderweise keinerlei Skrupel, wen ihre Aktionen treffen könnten.“

Weitere Ransomware-Angriffe gegen kommunale Einrichtungen in den USA

Zeitungen hätten weitere Ransomware-Angriffe gegen kommunale Einrichtungen wie Michigan’s Traverse City und New York’s Newburgh in den USA gemeldet, der Video-Dienstleister Niconico sei ebenfalls offline. Dies seien vier Beispiele für erfolgreiche Ransomware-Angriffe aus den vergangenen 15 Tagen – die Dunkelziffer sei wahrscheinlich x-fach höher. „Und hier wollen Politiker aus Großbritannien ansetzen und Firmen zu mehr Transparenz zwingen.“

„Diskutiert werden erste Ideen, ob man alle Opfer verpflichten soll, Vorfälle der Regierung zu melden.“ Opfer sollten sich auch vor erpressten Lösegeldzahlungen eine Lizenz besorgen müssen – ebenfalls vorgeschlagen werden solle sogar ein vollständiges Verbot von Lösegeldzahlungen für an nationaler Kritischer Infrastruktur beteiligte Organisationen. Dieses Verbot solle Hackern den Anreiz nehmen, diese Kritischen Dienste zu stören, indem es sie daran hindere, Angriffe zu monetarisieren.

Meldepflicht von 72 Stunden als globaler Standard auch nach Ransomware-Vorfällen

Die US-Regierung habe bereits im März 2022 mit ihrem Gesetz „Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)“ klar geregelt, dass Betreiber Kritischer Infrastruktur einen Cyber-Vorfall innerhalb von 72 Stunden melden müssten. Ransomware-Zahlungen müssten sogar 24 Stunden nach der Zahlung kommuniziert werden.

Die Vorschriften und Gesetze, mit denen Regierungen mehr Licht in Cyber-Gefahren und -Risiken bringen möchten, orientierten sich zusehends an strengen zeitlichen Vorgaben bei der Meldepflicht: „72 Stunden sind hier der globale Standard, der sich nun zu etablieren scheint.“ Auch bei dem „Digital Operational Resilience Act“ (DORA), auf die Finanzindustrie fokussiert, und der NIS-2-Direktive seien 72 Stunden das Maß der Dinge. Mit beiden Regelwerken möchte die EU Firmen in Europa zu mehr operativer Cyber-Resilienz drängen.

Obligatorische Meldepflichten bei Datenschutzverletzungen

Die obligatorischen Meldepflichten bei Datenschutzverletzungen hätten es in sich und stellten klare Anforderungen:

• Innerhalb von 24 Stunden müsse die Organisation eine Frühwarnung geben, „wenn der Verdacht besteht, dass ein schwerwiegender Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte“.
• Innerhalb von 72 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls müsse die Frühwarnung mit einer ersten Bewertung, einschließlich seiner Schwere und Auswirkungen, aktualisiert werden. Die Organisation sollte dem nationalen CERT auch alle Indikatoren für eine Gefährdung im Zusammenhang mit dem Angriff mitteilen.
• Auf Anfrage eines nationalen CERT oder einer Aufsichtsbehörde müsse die Organisation Zwischenstatus-Aktualisierungen bereitstellen.
• Innerhalb eines Monats nach Einreichung der Vorfallmeldung müsse die Organisation einen Abschlussbericht vorlegen.

Nicht nur nach Ransomware-Angriffen selbst mehr Transparenz schaffen

Das Risiko erfolgreicher Cyber-Attacken auf das Wohl und Leben der Bürger werde die Politik weiter antreiben, neue Regeln und Vorschriften zu erlassen – mit dem Ziel, das Sicherheitsniveau und die Cyber-Resilienz zu stärken. „Da wird also wahrscheinlich noch mehr kommen.“ Firmen sollten entsprechend reagieren und intern mehr Transparenz und Kontrolle über ihre Daten und Dienste schaffen. Dazu seien folgende Schritte elementar:

1. Daten genau verstehen!
Firmen müssten genau wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann könnten sie in den Behörden berichten, welche Daten bei einer erfolgreichen Attacke korrumpiert wurden. Auf diesem Gebiet könnten KI-Lösungen (wie z.B. „Cohesity Gaia“) massiv helfen und eine der komplexesten Probleme entschärfen, „indem sie die Daten von Firmen automatisiert klassifizieren“. Sogenannte Business Owner könnten beispielsweise direkte Fragen zu bestimmten Daten stellen und bekämen automatisch eine entsprechende Antwort mit einer Liste aller betroffenen Dokumente.

2. Zugriffe reglementieren!
„Wer seine Daten richtig eingestuft und klassifiziert hat, kann automatisch Regeln und Rechte durchsetzen, die den Zugriff darauf regeln.“ Daten-Management-Plattformen (wie etwa jene von Cohesity) wickelten das automatisiert ab und reduzierten die Risiken für menschliche Fehler. Eine Firma könne durchsetzen, dass bestimmte Daten niemals an externe Speicherorte oder KI-Module weitergegeben werden dürften.

3. Angriffe überstehen!
„Damit eine Firma die Berichte für die Behörden überhaupt erstellen kann, muss sie handlungsfähig bleiben!“ Bei Ransomware oder einem Wiper-Angriff (Attacke per Schadsoftware mit Löschfunktion) aber funktioniere im „Worst Case“ nichts mehr. Die IT-Teams der „CIOs“ und „CISOs“ würden auf diese Attacke nicht einmal reagieren können, da alle Sicherheitstools offline, Beweise in Logs und auf den Systemen verschlüsselt seien. Firmen sollten daher unbedingt sogenannte Clean-Room-Konzepte implementieren, „wo ein Notfallset an Tools und System- und Produktionsdaten liegt, um einmal einen Notbetrieb der Gesamt-IT zu schaffen“. Darin lägen alle erforderlichen Tools für die Security-Teams, „damit diese mit dem essenziellen Incident-Response-Prozess beginnen können“. Dieser Prozess sei fundameltal, um richtige und aussagekräftige Berichte für NIS-2-, DORA- und DSGVO-Verstöße zu generieren.

„Die Regeln für IT werden strenger, denn unsere Abhängigkeiten von der IT werden größer und damit der Schaden für die Wirtschaft und Gesellschaft, wenn wichtige Dienste ausfallen“, unterstreicht Mark Molyneux, „EMEA CTO“ bei Cohesity. Abschließend gibt er zu bedenken: „Wer die Vorgaben von 72 Stunden bei den Berichten einhalten will, muss all jene Prozesse und Workflows gegenchecken, die mit Daten hantieren.“ Cohesity etwa könne diese Aufgabe mit einer zentral KI-getriebenen Plattform für Datenmanagement mit Kernfunktionen massiv abdecken, um möglichst große operative Cyber-Resilienz zu schaffen.

Weitere Informationen zum Thema:

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)

The Digital Operational Resilience Act (DORA)
Regulation (EU) 2022/2554

The NIS 2 Directive
What is the NIS 2 Directive?

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cyber-Sicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 18.06.2024] Cyber-Angriffe auf Krankenhäuser wie zuletzt auf die Bezirkskliniken in Mittelfranken oder das Klinikum Heilbronn häufen sich offensichtlich. Dieser „Trend“ ist besorgniserregend, denn derartige Vorfälle können den Betrieb des betroffenenen Krankenhauses einschränken, gar Operationen verhindern und wie in Mittelfranken die Notversorgung beschränken.

Verlockung für Cyber-Kriminelle: Zahl sensibler Datensätze um mehr als 63 Prozent zugenommen

Laut dem jüngsten „Zero Labs“-Bericht von Rubrik soll die Zahl der sensiblen Datensätze in Gesundheitsorganisation 2023 um mehr als 63 Prozent zugenommen haben – weit mehr als in jeder anderen Branche und mehr als das Fünffache des weltweiten Durchschnitts.

Gesundheitsorganisationen verlieren bei jeder Cyber-Attacke mit Ransomware rund 20 Prozent ihrer sensiblen Daten

„Dies ist dramatisch, denn der Report zeigt, dass Gesundheitsorganisationen bei jedem Ransomware-Angriff rund 20 Prozent ihrer sensiblen Daten verlieren.“ Dies komme nicht von ungefähr, denn der Gesundheitssektor habe 2023 rund 50 Prozent mehr Verschlüsselungsvorfälle als der weltweite Durchschnitt erlebt.

Erhöhung der Cyber-Resilienz muss das Ziel sein

Der Gesundheitssektor dürfe sich heute also nicht länger darauf konzentrieren, IT-Systeme lediglich widerstandsfähiger zu machen. Zur Verteidigung gegen Ransomware-Angriffe und andere Cyber-Bedrohungen sollte die Erhöhung der Cyber-Resilienz das Ziel sein.

Weitere Informationen zum Thema:

Rubrik Zero Labs
DATENSICHERHEIT: EINE BESTANDSAUFNAHME / Messung Ihres DATENRISIKOS

SWR» AKTUELL, 30.01.2024
Auch Heilbronner SLK-Kliniken betroffen / Datenklau im Krankenhaus: Immer mehr Hackerangriffe auf Kliniken

BR24, Martin Hähnlein & Henry Lai & Eleonore Birkenstock & Florian Deglmann, 29.01.2024
Hackerangriff auf Bezirkskliniken Mittelfranken

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 12.10.2023
Gesundheitswesen im Visier: Patienten leiden unter Cyber-Attacken / Cyber-Attacken haben 2022 in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt