Lösegeld bei Angriff mit Erpressungstrojaner: 42 Prozent der Ransomware-Opfer zahlen

Zwei von drei deutschen Mittelständlern wurden 2021 erpresst. Gegen den Rat von Behörden zahlen viele für die Datenrettung Lösegeld, hat eine Befragung der IT-Sicherheitsfirma Sophos ergeben – meist siebenstellige Summen.

Ransomware (Symbolbild): Lösegeldzahlungen sind keine Garantie für die Wiederherstellung von Daten

Foto: traffic_analyzer / Getty Images

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Das Geschäftsmodell Ransomware läuft seit Jahren blendend. Firmen, Behörden, Schulen, Krankenhäuser, ganze Verwaltungen – alles, was Daten hat, muss damit rechnen, in den eigenen Systemen früher oder später einen Erpressungstrojaner zu finden, wo eben noch interne Daten waren.

Der jährliche Bericht des IT-Sicherheitsunternehmens Sophos, »The State of Ransomware« , zeichnet das Drama in Zahlen nach. Die Firma lässt dazu Tausende IT-Spezialisten aus mittelständischen Unternehmen in aller Welt befragen, unabhängig davon, wessen Sicherheitssoftware sie verwenden. 400 Expertinnen und Experten in Deutschland von Unternehmen mit 100 bis 5000 Angestellten machten in diesem Jahr mit. Dem SPIEGEL lag die Auswertung vorab vor.

Die Furcht der Opfer

Von den Befragten gaben demnach 67 Prozent an, im vergangenen Jahr einen Ransomware-Vorfall im Unternehmen gehabt zu haben. 61 Prozent dieser Vorfälle wiederum führten dazu, dass Daten des Unternehmens verschlüsselt und damit unzugänglich wurden. Beide Zahlen liegen deutlich höher als im Vorjahr. Sie liegen, wie auch alle folgenden Zahlen, nahe am jeweiligen internationalen Durchschnitt.

Interessant ist, wie die Betroffenen reagieren. 71 Prozent konnten Daten aus eigenen Sicherungskopien wiederherstellen. 42 Prozent zahlten ein Lösegeld. Es muss also Überschneidungen geben. Chester Wisniewski, Forschungschef bei der britischen IT-Sicherheitsfirma Sophos, erklärt das im Gespräch mit dem SPIEGEL so: »Sie versuchen, die Veröffentlichung von internen Daten zu verhindern.« Ransomware-Gruppen betreiben die Erpressung mittlerweile häufig auf zwei Ebenen: Sie machen die internen Daten ihrer Opfer unzugänglich – fertigen vorher aber Kopien an und drohen damit, diese ins Internet zu stellen.

»Die Opfer vertrauen nicht darauf, alle Daten mit dem Schlüssel der Täter wiederherstellen zu können«, sagt Wisniewski, »das versuchen sie daher mit ihren Sicherungskopien. Aber sie wollen auch nicht als kompromittierte Organisation im Blog der Täter auftauchen und den Vorfall bei den Datenschutzbehörden melden müssen, also zahlen sie zusätzlich das Lösegeld.« Für den Ransomware-Report sei das zwar nicht abgefragt worden, aber so würden es Sophos' eigene Kunden erzählen.

Durchschnittslösegeld: 255.000 Euro

Früher hieß es von den Sicherheitsbehörden oft, man solle auf keinen Fall Lösegeld zahlen, weil das keine Garantie dafür sei, den Schlüssel zu den eigenen Daten zu bekommen. Mittlerweile hat sich die Lage etwas geändert. Auch wenn die Behörden weiterhin nur hinter vorgehaltener Hand sagen, dass man als Opfer um ein Lösegeld manchmal einfach nicht herumkommt: Die Täter profitieren davon, wenn sich herumspricht, dass sie ihr Wort halten, daher sind Fälle, in denen zahlende Opfer im Regen stehen gelassen werden, die Ausnahme.

Doch laut Sophos hilft der Schlüssel nur bedingt. Im Durchschnitt nämlich bekamen diejenigen, die zahlten, nur 64 Prozent ihrer Daten zurück. Wisniewski sagt, das habe technische Gründe: »Es hat sich gezeigt, dass die Qualitätskontrolle der kriminellen Gruppen auf den Verschlüsselungsteil ihrer Schadsoftware fokussiert ist, nicht so sehr auf die anschließende Entschlüsselung. Viele Dateien werden beschädigt und können nicht wiederhergestellt werden«.

56 der 400 in Deutschland befragten IT-Experten verrieten Sophos, wie viel Lösegeld ihr Unternehmen zahlte. Im Schnitt waren es demnach knapp 255.000 Euro, wobei es starke Schwankungen gab. Manche zahlten weniger als 10.000 Dollar (rund 9300 Euro), fast jedes zehnte Unternehmen aber mehr als eine Million.

Die durchschnittlichen Kosten für die gesamte Wiederherstellung betrugen im Schnitt 1,6 Millionen Euro, das sind rund 50 Prozent mehr als im Vorjahr. Im Durchschnitt waren die Betroffenen einen Monat lang damit beschäftigt.

Vier von fünf deutschen Firmen sind mittlerweile gegen derartige Cyberattacken versichert. Fast alle von ihnen sagen, dass es im Jahr 2021 schwerer oder teurer geworden ist, die Bedingungen für die Versicherung zu erfüllen. Das hatte einen positiven Effekt – die allermeisten haben ihre Sicherheitsvorkehrungen verschärft, um ihre Versicherer zufriedenzustellen. Die Belohnung: In 98 Prozent aller Fälle zahlten die Versicherungen.