{"id":5552,"date":"2025-10-27T13:47:22","date_gmt":"2025-10-27T13:47:22","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5552"},"modified":"2025-10-27T13:47:22","modified_gmt":"2025-10-27T13:47:22","slug":"risiken-bei-der-wiederherstellung-nach-ransomware-angriffen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5552","title":{"rendered":"Risiken bei der Wiederherstellung nach Ransomware-Angriffen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Die Zahlung des L\u00f6segelds nach einer Ransomware-Attacke ist keine Garantie f\u00fcr eine reibungslose oder gar erfolgreiche Wiederherstellung der Daten.\n

AndryDj \u2013 shutterstock.com<\/p>\n<\/div>\n

Zwei von f\u00fcnf Unternehmen, die Cyberkriminellen f\u00fcr die Entschl\u00fcsselung von Ransomware bezahlen, k\u00f6nnen ihre Daten nicht wiederherstellen. Das hat eine weltweite Umfrage des Versicherungsanbieters Hiscox unter 1.000 mittelst\u00e4ndischen Unternehmen ergeben.<\/p>\n

Die Ergebnisse zeigen, dass Ransomware nach wie vor eine gro\u00dfe Bedrohung darstellt: 27 Prozent der befragten Organisationen gaben an, im vergangenen Jahr einen Angriff erlebt zu haben. Von den Betroffenen zahlten 80 Prozent L\u00f6segeld<\/a> \u2013 darunter sowohl versicherte als auch nicht versicherte Unternehmen.<\/p>\n

Allerdings gelang es nur 60 Prozent von ihnen, ihre Daten ganz oder teilweise wiederherzustellen, wie aus dem Hiscox-Report <\/a>hervorgeht.<\/p>\n

Andere Studien gehen sogar von einem deutlich niedrigeren Wert aus. So ergab der k\u00fcrzlich ver\u00f6ffentlichte \u201e2025 State of Ransomware Survey\u201d von CrowdStrike, dass 93 Prozent der Opfer Daten gestohlen wurden, obwohl sie L\u00f6segeld gezahlt hatten.<\/p>\n

Lesetipp: So viel L\u00f6segeld zahlen Unternehmen<\/a><\/p>\n

Fehlerhafte Ransomware-Verschl\u00fcsselung erschwert Wiederherstellung<\/h2>\n

Experten zufolge gibt es unz\u00e4hligen Schwierigkeiten, mit denen Unternehmen bei der Wiederherstellung nach Ransomware-Angriffen konfrontiert sind.<\/p>\n

\u201eDie Wiederherstellungsrate von 60 Prozent spiegelt mehrere technische und betriebliche Realit\u00e4ten wider, die bei der Reaktion auf Vorf\u00e4lle regelm\u00e4\u00dfig auftreten\u201c, erkl\u00e4rt James John, Incident Response Manager bei der Cybersicherheitsfirma Bridewell, gegen\u00fcber CSO. \u201eErstens unterscheiden sich Ransomware-Betreiber erheblich in ihrer Raffinesse. Etablierte Gruppen wie LockBit<\/a> oder ALPHV <\/a>stellen in der Regel funktionierende Entschl\u00fcsselungsprogramme bereit, da sie einen \u201aguten Ruf\u2018 zu wahren haben. Im Gegensatz dazu setzen kleinere Betreiber oft fehlerhafte Verschl\u00fcsselungsimplementierungen ein oder verschwinden nach der Zahlung einfach.\u201c<\/p>\n

Entschl\u00fcsselungsprogramme seien h\u00e4ufig langsam und unzuverl\u00e4ssig, f\u00fcgt John hinzu. Solche Tools k\u00f6nnten Fehler enthalten oder Dateien besch\u00e4digen oder unzug\u00e4nglich machen. \u201eEine gro\u00df angelegte Entschl\u00fcsselung in Unternehmensumgebungen kann Wochen dauern und schl\u00e4gt bei besch\u00e4digten Dateien oder komplexen Datenbanksystemen oft fehl\u201c, so der Security-Spezialist \u201eEs gibt F\u00e4lle, in denen der Entschl\u00fcsselungsprozess selbst zus\u00e4tzlich Daten besch\u00e4digt.\u201c<\/p>\n

Daryl Flack, Partner beim britischen Managed Security Provider Avella Security, sieht das \u00e4hnlich: \u201eKriminelle verwenden oft fehlerhafte oder inkompatible Verschl\u00fcsselungs-Tools. Vielen Unternehmen fehlt die Infrastruktur, um Daten sauber wiederherzustellen, insbesondere, wenn Backups l\u00fcckenhaft sind oder Systeme noch kompromittiert sind\u201c.<\/p>\n

Zudem w\u00fcrden sich viele Unternehmen auf ungetestete und anf\u00e4llige Backups verlassen, erg\u00e4nzt John. Nach seiner Erfahrung stellen viele Ransomware-Opfer fest, dass ihre Backups im Rahmen des Angriffs ebenfalls verschl\u00fcsselt wurden.<\/p>\n

Zus\u00e4tzlicher Druck zur Zahlung<\/h2>\n

Moderne Ransomware-Angriffe beinhalten mittlerweile regelm\u00e4\u00dfig doppelte oder dreifache Erpressung, bei der die Angreifer drohen, gestohlene Daten zu ver\u00f6ffentlichen oder Distributed-Denial-of-Service-Angriffe (DDoS) zu starten, selbst wenn die Zahlung erfolgt ist.<\/p>\n

Dies ver\u00e4ndert grundlegend die Kalkulation dessen, was Opfer erwarten k\u00f6nnen, wenn sie sich f\u00fcr eine L\u00f6segeldzahlung entscheiden. In den meisten F\u00e4llen werden viele der durch einen Ransomware-Angriff entstandenen Probleme nicht gel\u00f6st.<\/p>\n

\u201eDie Zahlung behebt nur das Verschl\u00fcsselungsproblem, nicht aber die umfassendere Gef\u00e4hrdung\u201c, betont John von Bridewell.<\/p>\n

Dar\u00fcber hinaus setzt ein Ransomware-Vorfall ein Unternehmen unter enormen Druck, da rechtliche, betriebliche und reputationsbezogene Probleme oft innerhalb weniger Stunden zusammenkommen.<\/p>\n

Diese Faktoren, kombiniert mit der inh\u00e4renten Unsicherheit im Umgang mit Kriminellen, erkl\u00e4ren, warum die Zahlung des L\u00f6segeldes so oft nicht zur vollst\u00e4ndigen Wiederherstellung der Daten f\u00fchrt.<\/p>\n

Finanzielle Widerstandsf\u00e4higkeit und rechtliche Fragen<\/h2>\n

\u201eSelbst wenn man einen Entschl\u00fcsselungscode erh\u00e4lt, k\u00f6nnen einige Daten bereits dauerhaft besch\u00e4digt, ver\u00e4ndert oder gestohlen sein\u201c, warnt Lillian Tsang, Senior Solicitor im Datenschutz- und Privatsph\u00e4re-Team von Harper James.<\/p>\n

\u201eDas schafft operative Herausforderungen, wirft aber auch Datenschutzbedenken auf, insbesondere wenn personenbezogene Daten betroffen sind\u201c, erkl\u00e4rt Tsang. \u201eWenn Datens\u00e4tze verloren gehen oder kompromittiert werden, kann dies gem\u00e4\u00df DSGVO einen Versto\u00df gegen den Schutz personenbezogener Daten darstellen, was Meldepflichten und m\u00f6glicherweise beh\u00f6rdliche Untersuchungen nach sich zieht.\u201c<\/p>\n

Hinzu kommt: Die Zahlung eines L\u00f6segelds gibt einem Unternehmen keine rechtlichen M\u00f6glichkeiten, wenn die Kriminellen ihre Versprechen nicht einhalten, eher im Gegenteil \u201eDie Zahlung kann ein weiteres Risiko darstellen, wenn Gelder unwissentlich an eine sanktionierte Gruppe \u00fcberwiesen werden\u201c, warnt Tsang.<\/p>\n

Dar\u00fcber hinaus treten bei einer St\u00f6rung der Systeme durch Ransomware-Angriffe fast sofort gesetzliche Verpflichtungen in Kraft, die eine Benachrichtigung der Aufsichtsbeh\u00f6rden und der betroffenen Personen vorschreiben, insbesondere wenn personenbezogene Daten von einer Verletzung betroffen sind.<\/p>\n

Vorsicht ist besser als Nachsicht<\/h2>\n

Einige Experten raten dazu, im Rahmen von Notfallpl\u00e4nen einen Vertrag mit einem Unternehmen f\u00fcr Incident Response<\/a> abzuschlie\u00dfen.<\/p>\n

\u201eEin Vertrag mit einem renommierten Unternehmen f\u00fcr Incident Response oder Verhandlungen, das f\u00fcr den Umgang mit Kryptow\u00e4hrungstransaktionen ausger\u00fcstet ist, ist von entscheidender Bedeutung\u201c, so Jeremy Samide, CEO von Blackwired, einem Cybersicherheitsunternehmen, das sich auf direkte Bedrohungsinformationen spezialisiert hat. \u201eSolche Unternehmen \u00fcbernehmen die Verhandlungen, haben Zugang zu verschiedenen Kryptow\u00e4hrungen und k\u00f6nnen \u00dcberweisungen sicher ausf\u00fchren, wenn die Zahlung der einzige Weg zur Wiederherstellung ist.\u201c<\/p>\n

Samide f\u00fcgt hinzu: \u201eVorbereitung bedeutet nicht Kapitulation \u2013 es bedeutet, auf jedes Szenario vorbereitet zu sein.\u201c<\/p>\n

Tsang von Harper James warnt davor, Mittel f\u00fcr die Zahlung an Kriminelle im Falle von Ransomware-Angriffen zur\u00fcckzulegen. \u201eDie Bereitstellung von Geldern f\u00fcr die Zahlung von L\u00f6segeld wird zunehmend als problematisch angesehen\u201c, f\u00fchrt die Expertin aus. \u201eDie Zahlung an sich ist zwar nicht illegal, kann jedoch gegen Sanktionen versto\u00dfen, weitere kriminelle Aktivit\u00e4ten beg\u00fcnstigen und es gibt keine Garantie f\u00fcr ein positives Ergebnis.\u201c<\/p>\n

Eine sicherere rechtliche und strategische Position ergibt sich laut Tsang aus Investitionen in Resilienz durch starke Sicherheitsma\u00dfnahmen, bew\u00e4hrte Wiederherstellungspl\u00e4ne, klare Berichtsprotokolle und Cyberversicherungen.<\/p>\n

\u201eEine Cyberversicherung ist bei Ransomware-Angriffen von entscheidender Bedeutung, da sie nicht nur finanziellen Schutz bietet, sondern Unternehmen auch Zugang zu spezialisierter Unterst\u00fctzung verschafft, die Sch\u00e4den und Ausfallzeiten erheblich reduzieren kann\u201c, fasst Tsang zusammen.<\/p>\n

Cyberversicherungen bieten oft ein aktives Krisenmanagement mit Bestimmungen, die Folgendes abdecken k\u00f6nnen:<\/p>\n

Sofortige Reaktion auf Vorf\u00e4lle und forensische Untersuchungen<\/p>\n

Eind\u00e4mmung und Wiederherstellung infizierter Systeme<\/p>\n

Verhandlungen und rechtliche Koordination mit Angreifern<\/p>\n

Datenwiederherstellung und Unterst\u00fctzung der Gesch\u00e4ftskontinuit\u00e4t<\/p>\n

\u201eEine Versicherung kann einen Angriff nicht verhindern. Sie kann aber die Auswirkungen abmildern, Ordnung in das Chaos bringen und sicherstellen, dass Unternehmen Ransomware-Krisen nicht alleine bew\u00e4ltigen m\u00fcssen\u201c, so Samide von Blackwired.<\/p>\n

Andere Experten warnen jedoch, dass Cyberversicherungen nach wie vor mit Vorbehalten verbunden sind.<\/p>\n

\u201eDie Versicherungspr\u00e4mien steigen, und die Versicherer erwarten nun strengere grundlegende Cybersicherheitsma\u00dfnahmen \u2013 Multi-Faktor-Authentifizierung, Patch-Management und getestete Backups \u2013, bevor sie Versicherungsschutz anbieten oder verl\u00e4ngern\u201c, erl\u00e4utert Flack von Avella Security. \u201eDieser Wandel ermutigt Unternehmen, im Rahmen ihres Risikomanagements bessere Sicherheitspraktiken einzuf\u00fchren.\u201c<\/p>\n

Lesetipp: So bereiten sich CISOs auf Cyberversicherungen vor<\/a><\/p>\n

Cyber-Recovery<\/h2>\n

Nach Meinung von Experten muss die Cyber-Wiederherstellung nach einem Ransomware-Angriff \u00e4hnlich wie die Notfallwiederherstellung behandelt werden.<\/p>\n

\u201eWenn Unternehmen von Ransomware betroffen sind, besteht eine der ersten und dringendsten Herausforderungen darin, das gesamte Ausma\u00df des Angriffs zu bewerten \u2013 zu ermitteln, welche Daten kompromittiert wurden, welche Systeme betroffen sind und ob die vorhandenen Backups vertrauensw\u00fcrdig sind\u201c, erkl\u00e4rt Jim McGann, CMO bei Index Engines. \u201eSelbst wenn Backups verf\u00fcgbar sind, ist die \u00dcberpr\u00fcfung ihrer Integrit\u00e4t eine gro\u00dfe H\u00fcrde, da sie besch\u00e4digte oder ver\u00e4nderte Dateien enthalten k\u00f6nnen, die w\u00e4hrend der Wiederherstellung erneut eine Bedrohung darstellen k\u00f6nnten.\u201c<\/p>\n

\u201eInterne Recovery-Pl\u00e4ne sollten nicht nur die Wiederherstellung enthalten, sondern auch eine forensische Datenvalidierung umfassen\u201c, r\u00e4t McGan. (jm)<\/p>\n

Lesetipp: Die besten Cyber-Recovery-L\u00f6sungen<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Die Zahlung des L\u00f6segelds nach einer Ransomware-Attacke ist keine Garantie f\u00fcr eine reibungslose oder gar erfolgreiche Wiederherstellung der Daten. AndryDj \u2013 shutterstock.com Zwei von f\u00fcnf Unternehmen, die Cyberkriminellen f\u00fcr die Entschl\u00fcsselung von Ransomware bezahlen, k\u00f6nnen ihre Daten nicht wiederherstellen. Das hat eine weltweite Umfrage des Versicherungsanbieters Hiscox unter 1.000 mittelst\u00e4ndischen Unternehmen ergeben. Die Ergebnisse zeigen, […]<\/p>\n","protected":false},"author":0,"featured_media":5553,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5552","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5552"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5552"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5552\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5553"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5552"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5552"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5552"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}