Wer sollte das lesen: CISOs, Chief Security Officers, Führungskräfte der C-Ebene, Risikomanager, Teams für die Reaktion auf Sicherheitsvorfälle, Verbindungspersonen zu Strafverfolgungsbehörden und politische Entscheidungsträger.
Ransomware ist zur dominierenden Cyberbedrohung für europäische Organisationen geworden. Zwischen 2020 und 2024 stiegen die Häufigkeit von Ransomware-Angriffen und die Lösegeldforderungen sprunghaft an, und die Geschäftsmodelle hinter Ransomware wurden zunehmend ausgefeilter. Kein Sektor bleibt verschont: Krankenhäuser, Banken, Schulen, Hersteller, Kommunen und Versorgungsunternehmen wurden allesamt getroffen. Manche Angriffe verursachen lebensbedrohliche Störungen. Andere führen zu finanziellen Katastrophen. Die NIS2-Richtlinie begegnet dieser Bedrohung mit einem ausdrücklichen politischen Fokus auf Ransomware. Erwägungsgrund 54 erkennt die Dringlichkeit an und fordert Mitgliedstaaten und regulierte Einrichtungen auf, umfassende Ransomware-Strategien zu entwickeln. Dieser Beitrag erklärt die Ransomware-Bedrohung, warum NIS2 sie als strategische Priorität behandelt und was die Richtlinie verlangt.
Ransomware ist eine Kategorie von Schadsoftware, die die Daten und Systeme einer Organisation verschlüsselt und damit unzugänglich macht. Der Angreifer verlangt anschließend eine Zahlung (ein Lösegeld) für die Entschlüsselungsschlüssel. Der Angreifer kann zusätzlich damit drohen, die verschlüsselten Daten im Internet zu veröffentlichen, falls nicht gezahlt wird, und so einen zweiten Druckhebel ansetzen. Die Kombination aus operativer Störung (die Systeme des Opfers funktionieren nicht) und Datenschutzrisiko (die Geheimnisse des Opfers werden offengelegt) erzeugt enormen Zahlungsdruck.
Die Ökonomie von Ransomware ist einfach: Angreifer wählen Ziele, bei denen die Lösegeldforderung die Angriffskosten übersteigt. Ein Hersteller kann pro Stunde Stillstand 10.000 € verlieren, sodass eine Lösegeldforderung von 100.000 € günstig erscheinen mag. Ein Krankenhaus, in dem Menschenleben auf dem Spiel stehen, zahlt höhere Lösegelder. Eine Kommune mit begrenztem Budget muss zwischen Zahlung und wochenlanger Ausfallzeit wählen. Die Beträge sind oft kalibriert; Angreifer schätzen die wahrscheinliche Zahlungsfähigkeit des Opfers und legen den Preis entsprechend fest.
Erwägungsgrund 54 benennt die strukturellen Faktoren, die das Wachstum von Ransomware ermöglichen: „Die zunehmende Häufigkeit und Schwere von Ransomware-Angriffen kann auf mehrere Faktoren zurückzuführen sein, etwa unterschiedliche Angriffsmuster, kriminelle Geschäftsmodelle rund um ‘Ransomware as a Service’ und Kryptowährungen, Lösegeldforderungen sowie die Zunahme von Angriffen auf die Lieferkette“.
Das lohnt eine genauere Betrachtung. Unterschiedliche Angriffsmuster bedeuten, dass Ransomware nicht statisch ist. Angreifer entwickeln ihre Techniken weiter, um Abwehrmaßnahmen zu umgehen. Manche nutzen Spear-Phishing, um Administratoren zu kompromittieren. Andere nutzen Schwachstellen in ins Internet exponierten Systemen aus. Wieder andere kompromittieren Lieferanten und nutzen sie als Einfallstor. Die Vielfalt der Angriffsmuster erschwert die Verteidigung. Kein einzelnes Kontrollinstrument stoppt jede Ransomware.
Ransomware as a Service ist eine besonders besorgniserregende Entwicklung. Professionelle cyberkriminelle Gruppen entwickeln Ransomware und vermieten sie an andere Kriminelle. Die professionelle Gruppe übernimmt die Back-End-Operationen, etwa den Betrieb des Entschlüsselungsdienstes, das Verhandeln der Lösegeldzahlungen und die Abwicklung der Kryptowährungsseite. Die Mieter übernehmen die Front-End-Operationen: Kompromittierung, Verschlüsselung und Verhandlung. Das senkt die Eintrittsbarrieren. Ein Krimineller ohne technische Fähigkeiten kann Ransomware mieten und Organisationen ins Visier nehmen. Der Gewinn wird geteilt. Dieses Modell hat Ransomware industrialisiert.
Kryptowährungen ermöglichen Lösegeldzahlungen ohne die traditionellen Kontrollen des Bankensystems. Ein Opfer kann in wenigen Minuten Kryptowährung an die Wallet eines Kriminellen überweisen, bei begrenzter Transaktionsaufsicht. Kryptowährungen machen Zahlungen schwer nachvollziehbar und noch schwerer umkehrbar. Strafverfolgungsbehörden können Transfers nicht ohne Weiteres abfangen.
Angriffe auf die Lieferkette fügen eine weitere Dimension hinzu. Anstatt ein Unternehmen direkt anzugreifen, kompromittieren Angreifer einen Lieferanten und infizieren die Opfer über vertrauenswürdige Software-Updates oder Produkte. Ransomware-Angriffe auf die Lieferkette haben weltweit Krankenhäuser, Hersteller und Behörden getroffen.
Reichweite und Auswirkungen von Ransomware
Ransomware betrifft alle Sektoren und Organisationsgrößen. Die Auswirkungen unterscheiden sich jedoch je nach Sektor dramatisch:
- Gesundheitswesen: Krankenhäuser mit Ransomware-Befall stehen vor der Wahl, Lösegeld zu zahlen oder die Patientenversorgung abzusagen. Beim Ransomware-Angriff auf Universal Health Services im Jahr 2020 hatten Krankenhäuser keinen Zugriff auf Patientenakten und verschoben Operationen. Dutzende Krankenhäuser in den Vereinigten Staaten waren wochenlang beeinträchtigt. Mehrere Patienten starben infolge verzögerter Versorgung. Aufsichtsbehörden äußerten Bedenken, dass Lösegeldzahlungen indirekt weitere Angriffe auf Gesundheitssysteme finanzieren.
- Kritische Infrastrukturen: Stromnetze, Wasserversorger und Verkehrssysteme wurden angegriffen. Ein erfolgreicher Ransomware-Angriff auf ein Stromnetz könnte Millionen Menschen ohne Elektrizität lassen. Ein Angriff auf einen Wasserversorger könnte die Wasseraufbereitung stilllegen. Das sind keine theoretischen Risiken; solche Angriffe haben stattgefunden.
- Finanzdienstleistungen: Banken und Versicherer wurden getroffen. Sind die Systeme einer Bank verschlüsselt, kann sie keine Transaktionen abwickeln, keine Kredite genehmigen und keine Kundenidentitäten prüfen. Ein Ransomware-Vorfall kann rasch zu einer systemischen Finanzkrise werden.
- Hersteller: Die Fertigung ist auf die Koordination der Lieferkette angewiesen. Sind die Systeme eines Herstellers verschlüsselt, steht die Produktion still. Lieferanten wissen nicht, was sie liefern sollen. Kunden wissen nicht, wann Produkte ankommen. Lösegeldforderungen an Hersteller belaufen sich oft auf Millionenbeträge.
- Kommunen: Kleinere Kommunen verfügen häufig über begrenzte IT-Budgets und begrenzte Cybersicherheitskompetenz. Ransomware-Vorfälle sind nicht selten. Eine Kommune, die den Zugriff auf Grundsteuerdaten, Baugenehmigungen oder Notfalldienste verliert, gerät unter existenziellen Zahlungsdruck.
- Bildung: Universitäten wurden gezielt angegriffen. Studierendendaten, Forschungsdaten und geistiges Eigentum werden verschlüsselt. Lösegeldforderungen können sich auf zweistellige Millionenbeträge belaufen.
- Kleine und mittlere Unternehmen: KMU werden häufiger getroffen, weil ihre Abwehrmaßnahmen oft schwächer sind. Die Lösegeldbeträge sind niedriger, aber im Verhältnis zum Umsatz dennoch erheblich.
Warum die Mitgliedstaaten handeln müssen
Ransomware ist nicht nur ein Problem des Privatsektors. Sie ist ein Thema der nationalen Sicherheit. Aus folgenden Gründen:
- Destabilisierung durch Störung: Weit verbreitete Ransomware-Angriffe auf Krankenhäuser, Stromnetze und Behördendienste können ein Land destabilisieren. Eine koordinierte Kampagne, die gleichzeitig mehrere Krankenhäuser trifft, würde eine Gesundheitskrise auslösen. Ein Angriff auf Stromnetze könnte Bürger ohne Strom und Wärme lassen. Das ist eine Form hybrider Kriegsführung.
- Finanzierung organisierter Kriminalität und ausländischer Akteure: Lösegeldzahlungen finanzieren organisierte Kriminalitätsgruppen, von denen viele in europafeindlichen Ländern ansässig sind. Manche Zahlungen finanzieren staatlich unterstützte Akteure. Lösegeld zu zahlen ist ökonomisch gleichbedeutend mit der Finanzierung von Gegnern.
- Datenschutzverletzungen: Ransomware-Angreifer exfiltrieren häufig Daten, bevor sie Systeme verschlüsseln. Diese Daten werden dann verkauft oder veröffentlicht. Opfer von Angriffen auf kritische Infrastrukturen verlieren sensible Informationen. Das verschärft den unmittelbaren Schaden durch die Ransomware.
- Konzentration in der Lieferkette: Ransomware-Angreifer nehmen gezielt Lieferanten kritischer Infrastrukturen ins Visier. Ein erfolgreicher Angriff auf einen Softwareanbieter betrifft alle Kunden. Das erzeugt kaskadierende Risiken über Sektoren hinweg.
Die Antwort der Richtlinie, festgehalten in Erwägungsgrund 54, besteht darin, die Mitgliedstaaten zu verpflichten, im Rahmen ihrer nationalen Cybersicherheitsstrategie eine Politik zur Ransomware zu entwickeln. Diese Politik sollte Erkennung, Prävention, Reaktion und, besonders wichtig, das Abraten von Lösegeldzahlungen abdecken. Der Nachdruck auf dem Abraten von Zahlungen spiegelt die Einsicht wider, dass Lösegeldzahlungen zwar aus Sicht des einzelnen Opfers rational, kollektiv aber irrational sind: Sie schaffen Anreize für weitere Angriffe.
Erkennung und Prävention
Ransomware gelangt oft über Phishing, ausgenutzte Schwachstellen oder schwache Zugangsdaten in Organisationen. Prävention stützt sich auf:
- E-Mail-Sicherheit: Filtern bösartiger E-Mails und Schulung der Nutzer im Erkennen von Phishing. Viele Ransomware-Kampagnen beginnen mit Phishing-E-Mails, die schädliche Anhänge enthalten.
- Patch-Management: Zeitnahes Einspielen von Sicherheitsupdates, damit ausnutzbare Schwachstellen geschlossen werden. Einige der größten Ransomware-Kampagnen haben ungepatchte Schwachstellen ausgenutzt, für die seit Monaten Patches verfügbar waren.
- Zugriffskontrolle: Beschränken, wer auf kritische Systeme zugreifen darf, und Mehrfaktor-Authentifizierung für den Fernzugriff verlangen. Ransomware verbreitet sich über kompromittierte Zugangsdaten; eine starke Zugriffskontrolle verlangsamt die Ausbreitung.
- Netzwerksegmentierung: Aufteilen des Netzwerks, damit sich eine Kompromittierung in einem Bereich nicht automatisch überallhin ausbreitet. Ist der Laptop eines Nutzers mit Ransomware infiziert, verhindert Segmentierung, dass die Infektion sofort auf Dateiserver und Datenbanken übergreift.
- Überwachung und Erkennung: Systeme auf Zeichen ungewöhnlicher Aktivität überwachen. Ransomware verhält sich häufig auffällig, mit ungewöhnlichen Dateioperationen, schneller Verschlüsselungsaktivität und unerwarteten Netzwerkverbindungen. Erkennung kann Ransomware stoppen, bevor die Verschlüsselung abgeschlossen ist.
- Backups: Regelmäßige, automatisierte Backups, die offline (nicht mit dem Hauptnetzwerk verbunden) gespeichert werden. Verschlüsselt Ransomware Produktionssysteme, kann das Opfer aus Backups wiederherstellen, ohne Lösegeld zu zahlen.
- Reaktion auf Sicherheitsvorfälle: Ein Plan für die rasche Reaktion auf Ransomware, einschließlich der Benachrichtigung relevanter Stellen, der Isolation von Systemen zur Verhinderung der Ausbreitung und der Zusammenarbeit mit Strafverfolgungsbehörden.
Reaktion auf Ransomware-Vorfälle
Wenn Ransomware zuschlägt, müssen Organisationen rasch reagieren:
- Infizierte Systeme isolieren: Systeme vom Netzwerk trennen, um die Ausbreitung zu stoppen.
- Umfang bestimmen: Feststellen, welche Systeme infiziert und welche Daten verschlüsselt sind.
- Behörden benachrichtigen: Den Vorfall bei Strafverfolgungsbehörden und zuständigen Behörden melden.
- Fachleute hinzuziehen: Spezialisten für Incident Response, Cybersicherheitsexperten und Rechtsberater einbinden.
- Backup-Optionen prüfen: Feststellen, ob saubere Backups vorhanden sind und für die Wiederherstellung genutzt werden können.
- Verhandeln oder zahlen: Manche Opfer handeln die Lösegeldbeträge deutlich herunter. Andere entscheiden sich, aus Backups wiederherzustellen. Manche Organisationen haben Cyberversicherungen, die Lösegeldzahlungen abdecken, was die Entscheidung beeinflusst.
- Transparent kommunizieren: Mitarbeitende, Kunden und Stakeholder über die Lage und die ergriffenen Schritte informieren.
- Untersuchen und beheben: Ist die unmittelbare Krise bewältigt, feststellen, wie der Angriff erfolgen konnte, und die zugrundeliegende Schwachstelle beheben.
Das Dilemma der Lösegeldzahlung
Die Richtlinie untersagt Organisationen die Lösegeldzahlung nicht ausdrücklich. Erwägungsgrund 54 fordert jedoch Politiken, die von Zahlungen abraten. Die Begründung ist überzeugend: Jede Zahlung, die ein Angreifer erhält, verstärkt den Anreiz für weitere Angriffe. Wenn alle Opfer zahlen, bleibt Ransomware profitabel. Wenn niemand zahlt, bricht das Geschäftsmodell zusammen. Ein kollektives Nein zur Zahlung liegt daher im Interesse aller.
Aus Sicht des einzelnen Opfers kann eine Zahlungsverweigerung jedoch irrational erscheinen. Ein Krankenhaus, das Patientenakten nicht innerhalb weniger Stunden wiederherstellen kann, steht unter enormem Zahlungsdruck. Ein Hersteller mit Verlusten von 100.000 € pro Stunde könnte rational ein Lösegeld von 500.000 € zahlen, statt wochenlang aus Backups wiederherzustellen.
Die Mitgliedstaaten sollten dieses Dilemma angehen durch:
- Aufklärungskampagnen: Aufklären der Opfer darüber, dass Lösegeldzahlungen weitere Angriffe finanzieren und dass die Zusage des Angreifers, exfiltrierte Daten zu löschen, oft gebrochen wird.
- Finanzielle Kontrollen: Zusammenarbeit mit Banken und Kryptowährungsbörsen, um Lösegeldzahlungen zu erschweren. Manche Länder haben Kryptowährungsbörsen strenger reguliert, um Lösegeldzahlungen zu verhindern.
- Versicherungsanreize: Cyberversicherungen fördern, die Organisationen belohnen, die Lösegeldzahlungen ablehnen oder niedrigere Beträge aushandeln.
- Unterstützung für Opfer: Staatliche Hilfe für Organisationen, die nicht zahlen, etwa Notfallfinanzierung, Unterstützung bei der Vorfallsreaktion oder beschleunigte Wiederherstellungshilfe.
- Strafverfolgungsbehörden: Vorrang für Ermittlung und Verfolgung von Ransomware-Angreifern. Das ist schwierig, weil viele Angreifer aus Ländern operieren, die nicht ausliefern; werden sie jedoch gefasst, wirkt eine konsequente Strafverfolgung abschreckend.
- Internationale Zusammenarbeit: Koordination mit anderen Ländern, um bekannte Ransomware-Gruppen zu isolieren, ihre Vermögenswerte einzufrieren und ihre Operationen zu stören.
Ransomware-Angriffe auf die Lieferkette
Ransomware-Angriffe auf die Lieferkette nehmen einen Lieferanten ins Visier, um mehrere nachgelagerte Opfer zu erreichen. Beispielsweise kompromittiert ein Angreifer einen Softwareanbieter, schleust Ransomware in ein Routine-Update ein, und das Update infiziert alle Kunden des Anbieters. Dieser Ansatz ist für den Angreifer effizient: Statt jeden Kunden einzeln zu kompromittieren, kompromittiert er einen einzigen Lieferanten und erreicht Tausende von Kunden.
Die Verteidigung gegen Ransomware-Angriffe auf die Lieferkette erfordert:
- Lieferantenbewertung: Bewertung der Cybersicherheitspraktiken der Lieferanten, mit besonderem Augenmerk darauf, wie sie Updates entwickeln und verteilen.
- Gestaffelter Rollout: Updates nicht sofort auf alle Systeme ausrollen. Stattdessen zunächst auf eine Testgruppe ausrollen, mögliche Probleme abwarten und dann breiter verteilen.
- Integritätsprüfung: Prüfen, dass Software-Updates nicht manipuliert wurden, mithilfe kryptografischer Signaturen. Das setzt voraus, dass Anbieter ihre Releases signieren und Kunden die Signaturen vor der Installation prüfen.
- Überwachung: Nach dem Ausrollen von Updates auf unerwartete Änderungen achten.
- Segmentierung: Netzwerke so segmentieren, dass sich ein kompromittiertes Update in einem Bereich nicht automatisch überallhin ausbreitet.
Ein Wandel in der Denkweise
Der Nachdruck der Richtlinie auf Ransomware spiegelt einen Wandel wider: Cybersicherheit ist nicht länger ein IT-Problem, sondern ein strategisches Thema der nationalen Sicherheit. Ransomware ist kein technischer Fehler, den bessere Firewalls beheben. Sie ist eine anhaltende Bedrohung mit ökonomischen Triebkräften, die so lange bestehen wird, wie Opfer bereit sind, Lösegeld zu zahlen.
Dieser Wandel in der Denkweise verlangt:
- Engagement der Führungsebene: Cybersicherheit ist keine technische Randfrage; sie ist ein geschäftskritisches und nationales Sicherheitsthema, das die Aufmerksamkeit von Führungskräften und Regierungen verlangt.
- Kollektives Handeln: Der Selbstschutz einzelner Organisationen ist notwendig, aber nicht ausreichend. Es bedarf kollektiver Politiken, die von Lösegeldzahlungen abraten.
- Langfristige Investitionen: Resilienz aufzubauen, Angriffe früh zu erkennen und saubere Backups zu unterhalten, verlangt fortlaufende Investitionen, nicht nur Krisenreaktion.
- Informationsaustausch: Strafverfolgungsbehörden, staatliche Stellen, Organisationen des Privatsektors und internationale Partner müssen Bedrohungsinformationen teilen, damit Angriffe erkannt und zugeordnet werden können.
Wichtige Erkenntnisse
- Erwägungsgrund 54 der NIS2 benennt Ransomware ausdrücklich als strategische Bedrohung, die durch die Weiterentwicklung der Angriffsmuster, Geschäftsmodelle nach dem Prinzip Ransomware as a Service, Zahlungsinfrastruktur über Kryptowährungen und Angriffe auf die Lieferkette befeuert wird.
- Ransomware betrifft alle Sektoren, doch Gesundheitswesen, kritische Infrastrukturen und Finanzwesen sind besonders von schwerwiegenden Folgen bedroht.
- Erkennung und Prävention stützen sich auf E-Mail-Sicherheit, Patch-Management, Zugriffskontrolle, Netzwerksegmentierung, Überwachung, Backups und die Planung der Reaktion auf Sicherheitsvorfälle.
- Die Mitgliedstaaten sollten Ransomware-Politiken entwickeln, die Erkennung, Prävention, Reaktion und, besonders wichtig, das Abraten von Lösegeldzahlungen abdecken, die zusammengenommen weitere Angriffe finanzieren.
- Ransomware-Angriffe auf die Lieferkette sind besonders gefährlich, da sie über einen einzigen kompromittierten Lieferanten mehrere Opfer treffen; die Abwehr erfordert Lieferantenbewertung, gestaffelten Rollout, Integritätsprüfung und Überwachung.
- Der Ansatz der Richtlinie spiegelt einen Wandel wider: Cybersicherheit wird nicht länger als IT-Angelegenheit behandelt, sondern als strategisches Thema der nationalen Sicherheit, das kollektives Handeln und langfristige Investitionen erfordert.