Unter keinen Umständen würden sie Lösegelder bezahlen, um Cyberangriffe zu verhindern, sagen die meisten Vorstände von Unternehmen, die noch nicht Ziel einer Ransomware-Attacke geworden sind. Unter denen, die bereits angegriffen wurden, haben 43 Prozent gezahlt, so eine Untersuchung, die von Merrill Research im Auftrag von Radware durchgeführt wurde. Befragt wurden mehr als 200 Vorstandsmitgliedern amerikanischer und britischer Unternehmen mit einem Jahresumsatz von mindestens 50 Millionen Dollar.
Die Vielzahl erfolgreicher Attacken mit teilweise sehr hohen Schäden habe dafür gesorgt hat, dass die Cybersicherheit zum Vorstandsthema geworden ist. 80 Prozent aller Befragten gaben an, dass Vorstand und Aufsichtsrat sich mit Sicherheitsfragen beschäftigen und die IT-Sicherheit eine sehr hohe Priorität genießt.
„Es ist immer leicht zu sagen, dass man niemals Lösegeld zahlen würde, wenn man noch nicht vor der Wahl stand“, so Carl Herberger, Vice President of Security Solutions bei Radware. „Wenn dann aber das eigene Netzwerk und die Anwendungen nicht zugänglich sind, sieht die Sache plötzlich ganz anders aus. Deshalb ist es so wichtig, sich präventiv vor solchen Angriffen zu schützen, damit man diese schwierige Entscheidung gar nicht erst treffen muss.“
Lösegeld kommt billiger als Schadensbehebung
Die Neigung, im Falle eines Falles Lösegeld zu zahlen, ist nach der Umfrage unter den bisher nicht betroffenen Unternehmen in den USA deutlich ausgeprägter als in Großbritannien (23 % vs. 9 %). Das liege möglicherweise auch daran, dass die tatsächlich bezahlten Lösegelder im Vereinten Königreich im Durchschnitt deutlich höher waren als in den USA (22.000 Pfund bzw. 7.500 Dollar). Doch diese Zahlen nehmen sich gering aus im Vergleich zu den Schäden, die durch tatsächliche Angriffe entstanden sind: Nur in 15 Prozent aller Vorfälle lag der Schaden unter 100.000, in etwa 5 Prozent sogar über 10 Millionen Dollar.
„Zwar war die DACH-Region nicht Teil dieser Umfrage, doch aus unserer Erfahrung können wir sagen, dass die Unternehmen auch hier deutlich zurückhaltender sind als in den USA und eher dazu tendieren, kein Lösegeld zu zahlen“, kommentiert Georgeta Toth, Regional Director DACH bei Radware. „Sie investieren eher in vorbeugende Maßnahmen, wobei aber nicht jedes Unternehmen die umfassende Expertise besitzt, die man im Kampf gegen die immer ausgefeilteren Attacken benötigt.“
Auch dass Vorstände die IT-Sicherheit immer ernster nehmen, kann Toth bestätigen. „Die meisten Unternehmen befürchten gravierende Imageschäden durch einen erfolgreichen Angriff, und das Image bzw. die eigenen Marken sind für viele das wertvollste Gut und daher definitiv Vorstandsangelegenheit. Oft werden Imageschäden daher höher bewertet als die unmittelbaren finanziellen Verluste, die mit einem Angriff einhergehen.“
Eine Schutzmaßnahme: Anheuern ehemaliger Hacker
Nach der Umfrage sehen die Vorstände vor allem die Heimarbeit und das ‚Internet of Things‘ als große Risikofaktoren. Sowohl Sicherheitsrichtlinien als auch technische Schutzmaßnahmen müssten daher auch alle Geräte und Systeme umfassen, die stationär oder mobil Zugriff auf das Unternehmensnetz ermöglichen.
Als eine der besten Schutzmaßnahmen gegen Angriffe wird laut Umfrage das Anheuern ehemaliger Hacker gesehen – fast 60 Prozent gaben an, dass sie solche Mitarbeiter eingestellt haben oder dies planen. „Doch ein Allheilmittel ist das nicht“, so Toth. „Ehemalige Hacker sind großartig darin, bestehende Sicherheitslücken zu finden, aber man muss das Unternehmensnetz auch gegen neuartige und weiterentwickelte Angriffe schützen und dabei die kontinuierliche Veränderung der eigenen IT-Umgebung berücksichtigen.“