Blick hinter die Zahlen: Die versteckten Kosten von Ransomware
Wir haben bereits ausführlich anhand von Zahlen dargelegt, welche Schäden Ransomware in den USA und auch weltweit angerichtet hat. Allerdings lassen diese Berichte außer Acht, was das im einzelnen bedeutet: etwa, dass kleine Unternehmen den Betrieb einstellen mussten, Kriminelle entkommen konnten oder Patienten keinen Zugang mehr zu Arzneimitteln und medizinischer Versorgung hatten.
In dem heutigen Artikel möchten wir einen Blick hinter die Zahlen werfen und zehn weitere Bereiche beleuchten, in denen Ransomware unter anderem den Alltag von kleinen Unternehmen, Angestellten, Studenten und Krankenhauspatienten auf der ganzen Welt beeinträchtigt hat.
1. Polizei verliert Beweise – Verdächtige wieder auf freiem Fuß
Ransomware-Angriffe auf Polizeistationen führten in den USA zu schweren Beeinträchtigungen der Notrufdienste. Die Effizienz der Polizeireviere litt erheblich, da wieder mit Stift und Papier gearbeitet werden musste. Außerdem gingen Beweise verloren und Verdächtige wurden wieder auf freien Fuß gesetzt.
- Das Polizeirevier von Stuart im US-Bundesstaat Florida wurde im April 2019 Opfer von Ryuk. Der Angriff sorgte für den Verlust von digitalen Beweisen aus 18 Monaten, weshalb das Revier elf Fälle gegen sechs angeklagte Drogendealer fallen lassen musste. Zu den Vorwürfen gehörten unter anderem der Besitz von Meth, der Besitz von Kokain, der Verkauf von Betäubungsmitteln, die Herstellung von Betäubungsmitteln sowie die Verbringung von Betäubungsmitteln.
- Im Dezember 2016 hatten Angreifer den Server des Polizeireviers von Cockrell Hill gesperrt. Der mit der Ransomware Osiris durchgeführte Angriff ging vermutlich von Hackern in der Ukraine aus. Das Revier hatte sich geweigert, das Lösegeld in Höhe von 4 000 USD zu bezahlen, was dazu führte, dass es acht Jahre an Videobeweisen verlor.
- Auch das Polizeirevier von New Orleans wurde 2019 durch einen Ransomware-Angriff ins Offline-Zeitalter zurückversetzt, da es keinen Zugang mehr zu Informationen hatte und Meldungen nicht mehr koordinieren konnte. Die Ermittlungen zum Fassen eines mutmaßlichen Serienexhibitionisten verzögerten sich um Wochen, da die Polizei nicht auf die elektronischen Dateien zugreifen konnte, die bereits in den verschiedenen Bezirken verfügbar waren.
2. Schimmel in Schulen in Ohio aufgrund von Störungen bei digitaler Klimaanlage
Wie in unserem Bericht The State of Ransomware in the US: Report and Statistics 2019 (auf English) bereits erwähnt, waren 2019 in den USA über 1 200 Schulen von Ransomware betroffen. Absehbare Folgen hierbei waren unter anderem der Verlust von Benotungsdaten oder, dass die Mitarbeiter nicht mehr auf Informationen zu Arzneimitteln oder Allergien von Schülern zugreifen konnten, sodass Schulen zeitweise geschlossen werden mussten. Es gab jedoch auch unvorhersehbare Auswirkungen dieser Angriffe.
Im Mai 2019 wurde der lokale Schulbezirk von Coventry Opfer von Trickbot. Der Schädling setzte das Telefonsystem außer Kraft und die Schulen mussten für einen Tag schließen. Bei dem Angriff wurden jedoch auch die mit dem Internet verbundenen Klimaanlagen einiger Schulen beeinträchtigt, wodurch die Temperaturregelung ausfiel und es in den betroffenen Schulen zu einem Wachstum potenziell schädlicher Schimmel kam.
3. Unterbrechung der Immobilientransaktionen in Baltimore
Ebenfalls im Mai 2019 wurde die Stadt Baltimore mit RobbinHood infiziert. Dabei wurde nicht nur die Arbeit sämtlicher Behörden gestört, sondern auch der Immobilienmarkt beeinträchtigt.
Aufgrund des Ausfalls der für Immobiliengeschäfte erforderlichen Systeme konnten keine Transaktionen mehr durchgeführt werden – und das in dem für den Immobilienmarkt von Baltimore normalerweise aktivsten Monat. Es konnten keine Geschäfte mehr abgeschlossen werden, da Versicherungsunternehmen den Status von eventuellen Hypotheken nicht überprüfen konnten oder, ob noch Steuerzahlungen oder Rechnungen bei Versorgern offen sind. Folglich konnten sie auch keine Eigentumsversicherungen für die Käufer ausstellen. Die Stadtverwaltung und das Katasteramt benötigten zwei Wochen, um eine Zwischenlösung zu entwickeln.
4. Krankenhäuser gezwungen, neue Patienten abzuweisen und OPs zu verschieben
Auch wenn das Motiv für Ransomware häufig Geld ist, steht für die Opfer selbst jedoch oft viel mehr auf dem Spiel.
Das ist insbesondere im Gesundheitswesen der Fall. Ransomware-Gruppen zielen häufig auf das Gesundheitswesen ab, da die Gefahr eines lebensgefährdenden Systemausfalls die Opfer noch stärker unter Druck gesetzt, das Lösegeld zu bezahlen. Angriffe haben bereits dafür gesorgt, dass OPs verschoben oder neue Patienten abgewiesen werden mussten, Patientendaten vernichtet wurden und einige Gesundheitsdienstleister ihren Betrieb sogar ganz einstellen mussten.
- Im Oktober 2019 hatte ein Ransomware-Angriff den Betrieb dreier Krankenhäuser massiv gestört. Die zum Krankenhausverbund DCH Health Systems in Alabama gehörenden Einrichtungen konnten keine neuen Patienten in unkritischem Zustand mehr aufnehmen und Rettungswagen waren angewiesen, Patienten möglichst in andere Krankenhäuser zu bringen.
- Im selben Monat wurden sieben Krankenhäuser in Australien Opfer von Ransomware. Der Angriff störte ambulante Termine, verzögerte elektive Eingriffe und zwang die Einrichtungen, einige der Systeme zur Patientenverwaltung herunter zu fahren.
5. Starker Anstieg von Cyberversicherungsbeiträgen
Cyberversicherungen spielen eine zunehmend wichtige Rolle bei den Strategien zum Ransomware-Risikomanagement. Sie decken dabei in der Regel nicht nur das Lösegeld ab, sondern auch eine Reihe von weiteren Kosten, etwa zur Datenwiederherstellung oder Begleichung rechtlicher Verbindlichkeiten. Zahlreiche kostspielige Forderungen in den vergangenen Monaten haben etwa in den USA dafür gesorgt, dass die Anbieter ihre Beiträge für Cyberversicherungen um 25 % angehoben haben.
6. Verzögerung bei Wollauktionen in Australien beeinträchtigt Liquidität von KMU
Im Februar 2020 kam der Wollhandel in Australien zum Stillstand, nachdem Talman Opfer von Ransomware geworden war. Die Lösungen des Softwareanbieters werden für Dreiviertel des gesamten Wollhandels in Australien und Neuseeland eingesetzt. Die etwa 70 000 Ballen betreffenden Wollauktionen mussten für diese Woche ausgesetzt werden, was wiederum die Liquidität einiger Züchter beeinträchtigte, die ihre Kreditraten nicht bezahlen konnten und folglich Überziehungszinsen von bis zu 18 % zahlen mussten.
7. Medizinbestellungen in Pflegeheimen nicht möglich
Im November 2019 waren 110 Pflegeheime in den USA von Ryuk betroffen, nachdem ihr IT-Dienstanbieter Virtual Care Provider Inc. (VCPI) Opfer eines Angriffs geworden war. Nahezu alle Server von VCPI waren betroffen und folglich auch der Internet-, Telefon- und E-Maildienst, der Zugriff auf Patientendaten sowie das Abrechnungssystem. In einigen Einrichtungen konnte das Pflegepersonal keine neuen Arzneimittel bestellen, wodurch die Gesundheit und das Leben der Bewohner gefährdet wurde.
8. Rückgriff auf Papiersysteme erhöht Diebstahlrisiko
Ransomware setzt meistens Telefon-, E-Mail- und Abrechnungssysteme von Unternehmen außer Betrieb, sodass diese wieder auf Stift und Papier zurückgreifen müssen. Diese Arbeitsweise ist nicht nur wesentlich ineffizienter, sondern birgt auch das Risiko, dass die Zwangslage von skrupellosen Arbeitskräften zum eigenen Vorteil missbraucht wird.
Von November 2017 bis Januar 2018 akzeptierte die Finanzabteilung der Stadt Spring Hill aufgrund eines Ransomware-Angriffs Anfang November, der die Systeme zur Zahlungsabwicklung außer Kraft setzte, nur Bar- und Scheckzahlungen. Eine Debitorenbuchhalterin missbrauchte die Situation, um mindestens 1 543,96 USD von 19 Kunden zu stehlen, die ihre Zahlungen im Einwurfkasten der Stadt hinterlassen hatten. Die verantwortliche Angestellte wurde im Februar 2018 entlassen und im September 2019 angeklagt.
9. Unternehmen geben Geschäft auf und Angestellte werden entlassen
In einigen Fällen waren die Störungen durch Ransomware so massiv, dass es zu Stellenstreichungen kam oder Unternehmen insolvent gingen.
- Im April 2019 wurde das in Michigan ansässige Brookside ENT and Hearing Center Opfer eines Ransomware-Angriffs. Die Angreifer forderten 6 000 USD, um die Dateien der Praxis wieder zu entschlüsseln. Das Unternehmen weigerte sich, woraufhin die Kriminellen das gesamte System löschten, einschließlich aller Termine, Zahlungsdaten und Patientenaufzeichnungen. Die Eigentümer entschieden sich schließlich, vorzeitig in den Ruhestand zu gehen, anstatt ihr Unternehmen wieder neu aufzubauen.
- Im August 2019 wurde Wood Ranch Medical in Kalifornien mit Ransomware infiziert. Dabei wurden nicht nur die Gesundheitsdaten der Patienten verschlüsselt, sondern auch die Backup-Festplatten der Praxis, sodass die Aufzeichnungen auch nicht wiederhergestellt werden konnten. Die Praxis musste schließlich im Dezember 2019 schließen.
- Im Dezember 2019 wurden die Angestellten der in Arkansas ansässigen Telemarketingfirma The Heritage Company nach Hause geschickt, um sich eine neue Stelle zu suchen, nachdem das Unternehmen im Oktober Opfer von Ransomware geworden war. Die Firma hatte Hunderttausende USD verloren und die Wiederherstellung – anfangs auf eine Woche geschätzt – zog sich über zwei Monate hin. Die Unternehmensführung entschied sich letztendlich dafür, alle Dienste einzustellen und die über 300 Angestellten zu entlassen.
10. Verzögerung bei Frachtlieferungen
Auch im Logistiksektor, wo Sicherheit und Pünktlichkeit unerlässlich sind, hat Ransomware bereits für enorme Probleme gesorgt.
Im Juni 2017 erlitt Logistikriese Maersk einen der verheerendsten Ransomware-Angriffe überhaupt. 4 000 Server und 50[nbps]000 Endpunkte an 600 Standorten in 130 Ländern wurden dabei infiziert, was zu weitreichenden Störungen führte. Die Unternehmenswebsite fiel aus, es konnten keinen neuen Buchungen aufgenommen werden und sämtliche Daten zur Identifizierung des Inventars der 800 Schiffe von Maersk waren gelöscht worden. Das Unternehmen schätzt den entstandenen Gesamtschaden auf 300 Millionen USD.
Im Februar 2020 wurde die australische Transport- und Logistikfirma Toll Group Opfer einer Variante der Mailto-Ransomware. Durch den Vorfall fielen eine Reihe von IT-Systemen des Unternehmens aus, was zu erheblichen Lieferverzögerungen führte und die Frachtmengen beeinträchtigte.
Fazit
Für jene, die nie Opfer eines Ransomware-Angriffs wurden, mag sich das nur nach einer abstrakten digitalen Bedrohung anhören, doch die Auswirkungen sind mehr als real. Krankenhäuser müssen schließen, mutmaßliche Straftäter werden gehen gelassen und Menschen verlieren ihre Arbeit – und das sind nur einige der Möglichkeiten, wie Ransomware unserem Alltag schaden kann.
Übersetzung: Doreen Schäfer