Auf dem Chaos Computer Congress handelte ein Vortrag von Ransomware-Angriffen auf deutsche Städte und Gemeinden. Natürlich kann man sich darüber lustig machen, dass einige Rechner mit Windows 98 (!!!) gehackt wurden. Deutsche Digitalisierung.
Die dadurch entstandenen Kosten sind nicht klar und einfach zu beziffern. Wieviel „verliert“ eine Behörde, wenn sie drei Monate lang keine Führerscheine ausstellen kann? Unklar.
Laut statista gab es in 2021 304 Millionen Ransomware-Angriffe weltweit. 62% mehr als im Jahr zuvor. Doch die absolute Zahl ist nicht immer hilfreich. Während vor Jahren die Ransomware-Angriffe mit einer „Schrotflinte“ erfolgten und vor allem Personen galten, sind sie heute gezielter, technischer, komplexer und gelten Behörden und Unternehmen. Einer alten Omi zu erklären, wie sie Bitcoins im Gegenwert von 300€ überweisen kann, war offensichtlich nicht so gewinnbringend, wie eine Pipeline-Firma in den USA um $40 Millionen zu ringen und mit Anwälten und CISOs (Chief Information Security Officer) zu verhandeln.
Laut einer Studie von Proofpoint griffen Hacker 67% der deutschen Unternehmen auf diese Art an. 36% davon bezahlten das Lösegeld.
Wiederum statista liefert eine schöne Aufteilung mit einem Beispiel. Die am meisten attackierten Branchen weltweit sind Regierungen und das Bildungswesen. Was dort nicht steht: Wieviele der Täter sind Regierungen?
Das BSI hat eine schöne Zusammenstellung der Angriffsvektoren, Beispiele und Präventionsmaßnahmen aufgelistet. Für das BSI entwickelt sich Ransomware zur größten Bedrohung. Und wir fangen mit der Digitalisierung erst an. Die wenigsten Projekte, die ich kenne, haben Sicherheit in das Projekt eingebaut.
Doch wir müssen das Thema weiter denken. Was bedeutet das für mich als Bürger? Außer der Tatsache, dass das Krankenhaus, in dem ich liege, keine Daten mehr über mich hat, weil die verschlüsselt sind, keine OPs durchführen kann usw.
Die Kosten, die bei Behördern entstehen, werden durch Steuergelder bezahlt. Lobend kann man sagen, dass die meisten Gemeinden kein Lösegeld bezahlt haben. Doch der Schaden durch Serviceausfall, die Kosten für das Neuaufsetzen der Systeme, tragen die Steuerzahler. Also wir.
Das bedeutet, es ist in unser aller Interesse, dass unsere öffentlichen Ämter nicht nur digitalisieren, sondern unsere Daten schützen und ihre Systeme auf aktuellen Standards halten. Doch da habe ich nicht all zu viel Hoffnung.
Dasselbe gilt auch für Unternehmen. Werden diese gehackt, dann entstehen Kosten. Weil Firmen manchmal bezahlen, um die Daten wieder zu entschlüsseln, oder weil sie Tage, Wochen oder Monate benötigen, diese Infrastrukturen wieder aufzubauen. Das bedeutet schlechterer Service für Kunden. Es bedeutet aber auch, das Firmen höhere Kosten haben, entgangene Gewinne und dadurch weniger Gesamtgewinn machen können. Im schlimmsten Fall bedeutet das Entlassungen, weil Kosten eingespart werden müssen. Oder gar Firmenschliessungen.
Das kann zu einem negativen Kreislauf führen. Dann, wenn diese Firmen aus Ignoranz an der IT Sicherheit sparen. Was viele sowieso schon tun. Gerade im mittelständischen Bereich.
Das ist der finanzielle Teil.
Doch Ransomware heisst heute auch, dass die Daten zuerst abgesaugt werden, bevor die Kriminellen sie verschlüsseln.
Die Daten werden im Internet verkauft, manchmal sogar kostenlos angeboten: An Kriminelle und andere Datensammler. Das erhöht das Risiko selber Opfer von kriminellen Aktivitäten zu werden.
Je nach Ziel der Hacker, befinden sich nicht nur Benutzername und Passwort in diesen Datensammlungen, sondern ggf. Ihre Versicherungsdaten, von Ihrer Hausrat, der Krankenversicherung oder andere.
Die Behörden haben andere sensible Daten über Sie. Die Telekomanbieter auch. Damit können Sie sehr viel wahrscheinlicher Opfer eines Identitätsdiebstahls werden.
Die Liste der Schäden, die für die Gesellschaft im Allgemeinen und das Individuum im Speziellen auftreten, ist lang.
Was ich damit sagen will: Es liegt in unser aller Interesse, dass die Behörden und Firmen unsere Daten schützen und ein gewisses Mass an Sicherheit in Ihren Systemen haben. Windows 98 gehört meiner Meinung nach nicht dazu.