Ransomware-Angriffe sind für Unternehmen auf der ganzen Welt zu einem grossen Problem geworden, das sich auf die Finanzen, den Betrieb und den Ruf auswirkt. Der Artikel "The Most Impactful Ransomware Attacks in 2023 and Their Business Implications" von Fabian M. Teichmann und Sonia R. Boticiu untersucht die schwerwiegenden Folgen von Ransomware-Angriffen im Jahr 2023, wie z. B. die Angriffe auf die Royal Mail, die Minneapolis Public Schools, Capita, die Stadt Dallas und den MOVEit File Transfer Service. Es wird hervorgehoben, wie wichtig es ist, die rechtlichen Auswirkungen solcher Angriffe, die direkten und indirekten Kosten dieser Angriffe, wie z. B. Ausfallzeiten von Unternehmen, Reputationsrisiken, Lösegeldzahlungen und rechtliche Folgen zu verstehen.
Ransomware ist eine Methode des Cyberangriffs, bei der die Daten des Opfers verschlüsselt werden, gefolgt von einer Lösegeldforderung für den Entschlüsselungsschlüssel. Diese Angriffe haben an Häufigkeit und Schwere zugenommen und haben erhebliche Auswirkungen auf die finanzielle Stabilität, den Betrieb und den Ruf von Unternehmen. Das Aufkommen von Ransomware as a Service (RaaS) hat die Situation weiter verschlimmert, da selbst ungeschulte Cyberkriminelle in der Lage sind, ausgeklügelte Angriffe durchzuführen. Einige Beispiele von Organisationen, die diesen Angriffen zum Opfer gefallen sind:
Royal Mail Ransomware-Angriff: Im Januar 2023 wurde die Royal Mail Opfer eines Ransomware-Angriffs durch die LockBit-Bande, der zu schweren Störungen der internationalen Dienste führte. Die Angreifer forderten ein Lösegeld in Höhe von 80 Millionen Dollar, das Royal Mail nicht zahlen wollte, was zur Freigabe sensibler Verhandlungsprotokolle durch die Angreifer führte. Dieser Vorfall verdeutlicht die rechtlichen Folgen des Umgangs mit Lösegeldforderungen und die Notwendigkeit robuster Cybersicherheitsmassnahmen zum Schutz sensibler Daten und zur Aufrechterhaltung der Geschäftskontinuität.
Angriff auf die öffentlichen Schulen von Minneapolis (MPS): Die MPS wurde im Februar 2023 Opfer eines Ransomware-Angriffs, der dazu führte, dass sensible Schülerdaten im Dark Web veröffentlicht wurden. Die Ransomware-Gruppe Medusa forderte ein Lösegeld in Höhe von 1 Million Dollar, dass der Schulbezirk nicht zahlen wollte, was zur Freigabe hochsensibler Daten führte. Dieser Fall unterstreicht die rechtlichen und ethischen Dilemmata bei Verhandlungen mit Cyberkriminellen und die dringende Notwendigkeit, die Empfehlungen der Strafverfolgungsbehörden einzuhalten.
Capita Cyber-Attacke: Die Black-Basta-Ransomware-Bande griff Capita, einen grossen IT-Dienstleister, im März 2023 an. Der Angriff kompromittierte sensible Daten und betraf rund 90 Unternehmen, was Capita zwischen 15 und 20 Millionen Pfund kostete. Dieser Vorfall gibt Anlass zur Besorgnis über die rechtliche Verantwortung von Dienstleistern beim Schutz von Kundendaten und das Potenzial für erhebliche finanzielle und rufschädigende Schäden.
Angriff auf die Stadt Dallas: Im Mai 2023 griff die Ransomware-Gruppe Royal die Stadt Dallas an und machte die persönlichen Daten von über 30.000 Personen zugänglich. Die Reaktion der Stadt bestand darin, die betroffenen Systeme zu isolieren und die Dienste über mehrere Wochen wiederherzustellen, wobei die Wiederherstellungskosten auf 8,5 Millionen Dollar geschätzt wurden. Dieser Angriff verdeutlicht, wie wichtig es ist, dass Kommunen auf Cyberangriffe vorbereitet sind, und welche rechtlichen Folgen Datenschutzverletzungen haben können, die öffentliche Dienste betreffen.
MOVEit Ransomware-Angriff: Die CLOP-Ransomware-Bande nutzte im Mai 2023 eine Schwachstelle im Dateiübertragungsdienst von MOVEit aus, von der über 1.150 Organisationen und fast 56 Millionen Einzelpersonen betroffen waren. Der Angriff hat gezeigt, wie wichtig robuste Cybersicherheitspraktiken sind und welche rechtlichen Folgen es hat, wenn sensible Daten nicht angemessen geschützt werden.
Kosten der Betriebsunterbrechung: Ransomware-Angriffe zwingen Unternehmen häufig dazu, den Betrieb einzustellen, was zu erheblichen Umsatzeinbussen und zusätzlichen Kosten für die Wiederherstellung und den Wiederaufbau der Systeme führt. Die durchschnittliche Ausfalldauer im Jahr 2022 betrug 24 Tage, was die weitreichenden betrieblichen Auswirkungen solcher Angriffe verdeutlicht.
Schädigung des Rufs: Der Schaden für den Ruf eines Unternehmens nach einem Ransomware-Angriff kann beträchtlich sein und erfordert oft umfangreiche Rebranding-Massnahmen, um das Vertrauen der Kunden wiederzugewinnen. Aufsehenerregende Fälle wie die von Uber und Target zeigen die langfristigen Auswirkungen auf die Wahrnehmung der Verbraucher und die Lebensfähigkeit des Unternehmens.
Lösegeldkosten: Die finanziellen Forderungen der Ransomware-Banden richten sich häufig nach dem Jahresumsatz des Opfers, wobei die durchschnittlichen Auszahlungen deutlich steigen. So lag die durchschnittliche Lösegeldzahlung im Jahr 2023 bei 1,54 Millionen US-Dollar, was die wachsende finanzielle Belastung für Unternehmen widerspiegelt.
Wiederherstellungskosten: Neben dem Lösegeld sind die Kosten für die Wiederherstellung nach einem Ransomware-Angriff, einschliesslich der Einstellung von Experten und der Implementierung neuer Sicherheitsmassnahmen, beträchtlich. Unternehmen, die Backups für die Wiederherstellung verwenden, hatten geringere Kosten als diejenigen, die Lösegeld zahlen.
Rechtliche Verfolgung: Datenschutzverletzungen infolge von Ransomware-Angriffen können zu erheblichen rechtlichen und regulatorischen Konsequenzen führen. Unternehmen müssen die Kosten für rechtliche Schritte, Vergleiche und potenzielle Bussgelder einkalkulieren, wie die Fälle von Target und Home Depot zeigen.
Cyber-Versicherung: Cyber-Versicherungen bieten einen gewissen Schutz gegen die finanziellen Auswirkungen von Ransomware-Angriffen. Die zunehmenden Schadensfälle haben jedoch zu höheren Prämien und strengeren Deckungsbedingungen geführt, sodass Unternehmen ihre Policen genau verstehen müssen.
Mehr zu diesem Thema finden Sie in International Cybersecurity Law Review, 10. April 2024 (Fabian M. Teichmann & Sonia R. Boticiu) verfügbar unter https://link.springer.com/article/10.1365/s43439-024-00115-3.