Erpressungstrojaner, auch Ransomware genannt, bleiben die Cyberangriffsart mit dem größten Schadenspotential. Das geht aus dem „Bundeslagebild Cybercrime 2022“ hervor, das das Bundeskriminalamt (BKA) jüngst veröffentlicht hat. Die durchschnittlich an die Erpresser gezahlte Summe belief sich demnach auf gut 276.000 US-Dollar.
Finanzielle Schäden entstehen häufig vor allem durch die Folgekosten, etwa weil die Produktion wochenlang stillsteht. In der Folge eines Cyberangriffs musste etwa das Biotech Evotec unlängst seine Jahresprognose um 25 Millionen Euro kappen.
Lockbit in Deutschland am erfolgreichsten
Unternehmen müssen sich mit einer Reihe von unterschiedlichen Arten von Ransomware beschäftigen. Die erfolgreichste Gruppe ist laut BKA „Lockbit“, die Anfang des Jahres auch erfolgreich in die Systeme des Finanzsoftwarekonzerns Ion eingedrungen war. Weitere erfolgreiche Hackerbanden sind „Phobos“, „Deadbold“, „Blackcat/Alph V“ und „Hive“.
Laut BKA wurden 2022 insgesamt 137 Unternehmen mit Sitz in Deutschland auf Lösegeld erpresst. „Lockbit“ war für rund ein Viertel der Fälle verantwortlich, die Hacker-Gruppe „Black Basta“ für ein Fünftel.
Ransomware-Banden spielen weniger Geld ein
Das Geschäft war für die Gruppierungen 2022 indes nicht mehr so einträglich wie in den Vorjahren. Insgesamt konnten die Kriminellen schätzungsweise 457 Millionen US-Dollar einspielen. Das ist deutlich weniger als die 766 Millionen US-Dollar (2021) und 765 Millionen US-Dollar (2020) aus den Vorjahren.
Zwar könnten im Nachhinein noch weitere Zahlungen bekannt werden, trotzdem dürften die Niveaus der Vorjahre nicht mehr erreicht werden. Die geringeren Einnahmen der Erpresser dürften damit zusammenhängen, dass Unternehmen offenbar weniger bereit sind, auf die Forderungen einzugehen. Dem BKA-Bericht zufolge zahlten 2022 nur noch 41 Prozent der Unternehmen Lösegeld. 2019 waren es noch 76 Prozent. Die Zahl ist seit Jahren rückläufig.
Als finanziell lukrativstes Geschäft hat sich für die Hackergruppen „Ransomware-as-a-Service“, kurz RaaS, herauskristallisiert. Hierbei vermieten Ransomware-Entwickler den Einsatz ihrer Schadsoftware an sogenannte Affiliates, die Ransomware-Angriffe durchführen und Anteile des erpressten Lösegelds erhalten. Innerhalb eines RaaS-Modells agieren die Akteure arbeitsteilig und professionell, ihre Organisationsstruktur ist mit der eines Unternehmens vergleichbar: Es gibt etwa einen Head of HR, einen Head of IT – und oft auch einen CFO.
Jakob Eich ist Redakteur der Fachzeitungen FINANCE und DerTreasurer des Fachverlags F.A.Z Business Media, bei dem er auch sein Volontariat absolviert hat. Der gebürtige Schleswig-Holsteiner ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury.