Während viele glauben, dass die Vorbeugung von Sicherheitsverletzungen die beste Vorgehensweise ist, gibt es immer noch keine Garantie dafür, dass Unternehmen nicht dennoch anfällig für Ransomware-Angriffe sind, selbst wenn sie über ein hohes Maß an Sicherheit verfügen. Die Einführung der General Data Protection Regulation (GDPR) hat dazu geführt, dass mehr Unternehmen, die Opfer von Ransomware-Angriffen geworden sind, darüber nachdenken, lieber zu zahlen, als mit höheren Strafen durch das ICO rechnen zu müssen.
Im vergangenen September erklärte Europol, die Polizeibehörde der EU, in ihrem fünften Bericht zur Bewertung der Bedrohungslage im Bereich der organisierten Kriminalität im Internet, dass die DSGVO zu einem Anstieg der Cyber-Erpressung führen könnte. Darin heißt es: „Gehackte Unternehmen zahlen vielleicht lieber ein kleineres Lösegeld an einen Hacker für die Nichtoffenlegung als eine hohe Geldstrafe, die von ihrer zuständigen Behörde verhängt wird.“
Es heißt, dass einige große Firmen Bitcoin beiseite gelegt haben, für den Fall, dass sie Opfer von Ransomware werden, eine Taktik, die vielen Risikomanagern nicht behagt.
Die Geldbußen sind alarmierend hoch
Die Geldbußen für Verstöße gegen die GDPR-Vorschriften können potenziell hoch sein. Verstöße gegen bestimmte Artikel der Verordnung oder gegen die Verpflichtungen einer Organisation können zu Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Wird festgestellt, dass der Verstoß die Datenschutzrechte einer Person verletzt hat, kann die Geldstrafe bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Im Dezember ergab eine Studie des Sicherheitsunternehmens Sophos, dass fast die Hälfte (47%) der britischen IT-Direktoren „auf jeden Fall“ bereit wäre, ein Lösegeld zu zahlen, wenn Hacker ihre Unternehmensdaten gestohlen hätten, anstatt den Verstoß zu melden und eine höhere Strafe zu zahlen. Weitere 30 % gaben an, dass sie „möglicherweise“ eine Zahlung in Betracht ziehen würden, wenn das Lösegeld niedriger als die offizielle Strafe wäre, und nur jeder Fünfte (18 %) sagte, dass er die Zahlung an Kriminelle völlig ausschließen würde.
Mehr kleine Firmen sagen Nein
Die Studie ergab, dass kleine Unternehmen mit weniger als 250 Mitarbeitern (54%) am wenigsten bereit sind, eine Ransomware-Forderung zu bezahlen, verglichen mit nur 11% der Unternehmen mit 500 bis 750 Mitarbeitern. Im Mai warnte ein anderes Cybersicherheitsunternehmen, CrowdStrike, davor, dass sich mehr Unternehmen für eine Zahlung entscheiden würden, so der Geschäftsführer George Kurtz:
„Wenn Sie eine Geldbuße von 4 % Ihres Gesamtumsatzes zahlen müssen oder wenn Sie eine Ransomware haben, die Sie bezahlen können, um sie vielleicht still und leise verschwinden zu lassen, denke ich, dass es eine interessante Dynamik bei der Höhe des Betrags geben wird, den der Markt für die Bezahlung von Unternehmens-Ransomware schätzt.“
Gefahren beim Bezahlen
Der gängige Ratschlag lautet jedoch, niemals zu zahlen, da das Unternehmen dadurch noch stärker gefährdet und weiteren Angriffen ausgesetzt sein könnte und zudem keinen Schlüssel zum Entsperren der Daten erhält. Letztes Jahr hat eine Studie der Imperva CyberEdge Group ergeben, dass 55% der Befragten im Jahr 2017 durch Ransomware kompromittiert wurden. Von denjenigen, die gezahlt haben, konnten 49% ihre Daten wiederherstellen, d.h. sie wurden entschlüsselt, während dies bei 51% nicht der Fall war.
Auch die Zahlung von Geld ist kein Garant für Datenschutz. Wie die gut dokumentierte Sicherheitslücke bei Uber im Jahr 2016 zeigt, kamen auch dann noch Details ans Licht, als das Unternehmen etwa 100.000 $ (75.000 £) an Hacker zahlte. In den USA wurde das Unternehmen im September zu einer Geldstrafe in Höhe von 148 Millionen Dollar verurteilt, weil es seine Fahrer nicht über den Datenschutzverstoß informiert hatte, und im November wurden die europäischen Niederlassungen des Unternehmens zu einer Geldstrafe von 385.000 Pfund verurteilt. Natürlich wurde die Entscheidung, zu zahlen, schon früher getroffen und wird auch weiterhin getroffen werden, wenn das Unternehmen dies als einzige Möglichkeit ansieht, seine Geschäfte weiterzuführen. Es kann eine äußerst schwierige Entscheidung sein, und wenn es jemals notwendig war, dieses Thema ganz oben auf die Tagesordnung zu setzen, dann jetzt. Operational Resilience – ein zukunftsorientierter Ansatz Operational Resilience ist für viele Unternehmen zu einem wichtigen Entwicklungsbereich geworden, da sie sich mehr auf die Verringerung der Auswirkungen von Ransomware-Angriffen konzentrieren möchten, als sich nur auf Präventionsmaßnahmen zu verlassen. Die Strategie stellt im Wesentlichen sicher, dass Unternehmen ihren Kunden und Klienten auch bei größeren Zwischenfällen weiterhin kritische Dienste zur Verfügung stellen können. Ein solcher Ansatz erfordert eine ausfallzentrierte Denkweise, die davon ausgeht, dass im Grunde alle Vorfälle „eintreten werden“ und nicht „eintreten könnten“. Auf diese Weise können Unternehmen jedoch stärkere Eventualitäten entwickeln, die, wie bereits erwähnt, dazu beitragen können, die Auswirkungen von Ransomware-Angriffen auf Unternehmen zu verringern und gleichzeitig hohe Geldstrafen der ICO zu vermeiden. Die FCA ist der Ansicht, dass Operational Resilience ganz oben auf der Agenda von Führungskräften und Vorstandsmitgliedern stehen sollte. Die Aufsichtsbehörden wollen, dass die Unternehmen besser darauf vorbereitet sind, störende Vorfälle zu überstehen, zu absorbieren und sich davon zu erholen. Die Herausforderung besteht darin, solche Praktiken in bereits etablierte Prozesse und Strategien zu implementieren.
