Beim europäischen IT-Symposium von Gartner war das Thema Security nicht von der Agenda zu kriegen. Vom 8. bis zum 11. November diskutierten CIOs und Analysten vor allem den "human-centric workplace" beziehungsweise die dafür nötigen Menschen und Technik. Aber Security blieb dann doch eines der Hauptthemen der virtuellen Veranstaltung.
Gartners Sicherheitsexperten geizten nicht mit Dramatik. In ihrem Eröffnungsvortrag erklärten sie, dass die Kriminellen sich mit ihren Erpressungsversuchen nicht länger auf IT beschränken werden, sondern bald auch OT angreifen - mit tödlichen Folgen. Darüber sprach Horst Ellermann, Herausgeber der CSO-Schwesterpublikation "CIO", mit Paul Proctor, Gartners Experte für Risk Management, Information Security und der damit verbundenen Compliance.
In Ihrem Vortrag sagten Sie, 90 Prozent aller Ransomware-Attacken ließen sich vermeiden. Wie kommen Sie zu dieser Aussage?
Proctor: Unsere Analysen zeigen, dass sogar mehr als 90 Prozent vermeidbar wären. Wenn Security Manager ganz einfache Sicherheitsmaßnamen beachten, können sie das Risiko schon minimieren.
Sie sagen, minimieren. Die Risiken lassen sich nicht vermeiden?
Proctor: Ich vergleiche einen Ransomware-Angriff gerne mit einem Hurricane. Wenn Sie in einer Hurricane-Region wohnen, bringt es nichts, jeden Tag auf den Wetterbericht zu starren. Irgendwann wird sie wahrscheinlich einer treffen. Und dann kommt es darauf an, wieviel Sie in die Vorbereitung investiert haben. Darin entscheidet sich, ob Sie in wenigen Stunden aufräumen können oder ob es Ihre Organisation zerlegt.
Die Aufräumarbeiten ließen sich beschleunigen, indem die Erpressten umstandslos zahlen …
Proctor: Zunächst mal: Sie verlieren viel Zeit, wenn Sie in einem Ernstfall erst noch darüber nachdenken müssen, ob Sie zahlen oder nicht. Das sollten sich Organisationen vorher überlegen. Und das sollte eine Geschäftsentscheidung sein, keine technische. Idealerweise beziehen Sie dafür alle Stakeholder ein.
Sie raten nicht wirklich zum Zahlen oder?
Proctor: Wir raten nicht zu zahlen, es sei denn, es ist eine absolute Notwendigkeit. In vielen Ländern ist es auch illegal, die Kriminellen zu bezahlen. Und es bringt auch nichts: Bis zu 80 Prozent der Unternehmen, die gehackt wurden und dann bezahlt haben wurden danach wieder gehackt.
Woher haben Sie diese Zahlen?
Proctor: Diese Zahl kommt aus der Studie Ransomware: The True Cost to Business von Cyberreason. Aber wir haben noch viele andere Quellen. Ich kann Ihnen zum Beispiel auch sagen, wie hoch die durchschnittliche Summe ist, die Firmen im zweiten Quartal 2021 bei Ransom-Attacks gezahlt haben - wenn sie gezahlt haben.
Wieviel?
Proctor: Im Mittel 139.739 Dollar.
Das erklärt, warum das Geschäft so lukrativ ist und immer mehr Kriminelle anzieht.
Proctor: Zum Glück zahlen aber nicht alle. 2020 waren es nur 34 Prozent der von uns Befragten. (Quelle: 2021 The State of the Phish, Proofpoint, Anm. der Red.) Zwei Drittel zahlen also nicht - und das ist auch unsere Empfehlung.
Die Hacker versuchen es meistens ein zweites Mal
Aus ethischen Erwägungen? Weil man keine Erpresser unterstützen sollte?
Proctor: Auch, aber vor allem: Es bringt Ihnen nichts! Wie gesagt: 80 Prozent derer, die gezahlt haben, wurden danach wieder gehackt - vorzugsweise über dieselben Kanäle. Die Kriminellen sind gar nicht besonders gut im Hacken. Die nutzen die Tools, die sie kriegen können. Und wenn sie ein Einfallstor gefunden haben - und ein zahlungswilliges Opfer - werden sie es wieder versuchen.
Wenn eine Firma nun aber vor dem Aus steht, weil der Zugriff auf existenziell wichtige Daten gesperrt ist, dann wäre es doch eine gute Idee zu zahlen oder?
Proctor: Zu zahlen gibt Ihnen keine Garantie. Nur acht Prozent derer, die gezahlt haben, haben danach ihre Daten komplett zurückerhalten. Sie haben es mit Kriminellen zu tun.
Für wie wahrscheinlich halten Sie es, dass diese Kriminellen nicht nur Daten verschlüsseln sondern auch auf Betriebstechnik zugreifen?
Proctor: Das wird kommen. Kriminelle werden auch auf Operational Technology (OT) zugreifen. Dann wird es noch gefährlicher, weil sie nun mechanischen Schaden anrichten können. Mein Kollege Sam Olyaei hat das drastisch ausgedrückt: Bis 2025 werden wir Todesopfer haben. De facto haben wir die jetzt schon, nämlich in Krankenhäusern. Krankenhäuser sind beliebte Ziele, weil sie fast immer eine schlechte IT-Security haben und operative Systeme, die schnell wieder laufen müssen, sonst sterben Patienten. Da ist die Bereitschaft groß, doch zu zahlen.
Versicherer empfehlen zu zahlen - aus Eigennutz
Ich bin mir nicht sicher, ob ein deutsches Krankenhaus überhaupt wüsste, wie es zahlen kann.
Proctor: Das wissen die anderen Krankenhäuser auch nicht. Aber wenn sie gegen Ransomware versichert sind, dann kommen die Sicherheitsexperten der Versicherungen ins Haus und regeln das. Deren liebste Option ist allerdings immer zu zahlen. Das macht für sie den Schaden leichter bezifferbar. Diese Experten sind dann aber wieder weg, wenn Sie das zweite Mal gehackt werden.
Dürfen wir eigentlich darauf hoffen, dass Regierungen uns besser gegen Ransomware schützen?
Proctor: Wir werden mehr Hilfe von staatlicher Seite sehen, die Täter zu finden und zu bestrafen. Ich würde mich aber nicht darauf verlassen.
Es gibt da noch zwei andere interessante Zahlen auf Ihren Folien: Von den Security-Experten glauben 80 Prozent, dass ihre Organisation gegen eine Ransomware-Attacke gewappnet ist. Von den Executives sind aber nur 13 Prozent dieser Meinung. Wie kann es sein, dass die Wahrnehmung so weit auseinander geht?
Proctor: Interessant, nicht? Ich arbeite seit zehn Jahren an der Frage, warum es da diesen Disconnect zwischen Executives und Technology-Leadern gibt. Für Non-IT-Menschen ist IT-Sicherheit irgendwie Magie. Die kaufen sich dann einen Zauberer, der ihnen sagt, dass er alles im Griff hat. Und wenn die Organisation dann trotzdem gehackt wird, feuern sie den Zauberer. Das hat schon zu ganz schlechten Security-Investitionen geführt.