-Ransomware-Angriffe verstehen und abwehren

Was ist Ransomware und wie funktioniert sie?

Ransomware ist eine bösartige Software, die Dateien verschlüsselt oder Systeme sperrt und vom Opfer eine Geldzahlung erpresst, um den Zugriff auf die betroffenen Daten wiederherzustellen.

Ransomware infiziert Computersysteme auf verschiedene Weise, beispielsweise über bösartige E-Mail-Anhänge, gefälschte Software-Updates oder Drive-by-Downloads von kompromittierten Websites. Sobald die Malware auf einem Gerät ausgeführt wird, startet sie einen ressourcenintensiven Prozess, um Dateien zu verschlüsseln oder die Hardware zu sperren, wodurch das System vollständig unzugänglich wird, bis ein Lösegeld gezahlt wird.

Die besondere Bedrohung durch Ransomware für SAP-Umgebungen

SAP-Systeme sind für Ransomware-Betreiber besonders attraktive Ziele, da sie geschäftskritische Unternehmensdaten enthalten; eine erfolgreiche Verschlüsselung führt daher zu einer sofortigen Lähmung des Betriebs und bietet maximale finanzielle Hebelwirkung.

Da SAP-Anwendungen als zentrales Nervensystem moderner Unternehmen fungieren, rücken sie bei gezielten Ransomware-Kampagnen zunehmend in den Fokus der Angreifer. Um diese Umgebungen zu schützen, muss man ihr spezifisches Risikoprofil im Vergleich zur herkömmlichen IT-Infrastruktur verstehen:

Maximale finanzielle Hebelwirkung

In SAP-Umgebungen laufen zentrale Geschäftsabläufe. Werden diese lahmgelegt, führt dies zu katastrophalen Umsatzverlusten, was Angreifern enorme Druckmittel an die Hand gibt, um hohe Lösegeldforderungen durchzusetzen.

Risiken durch doppelte Erpressung:

Angreifer entwenden regelmäßig hochsensible SAP-Daten wie geistiges Eigentum und Finanzunterlagen, bevor sie diese verschlüsseln, und drohen mit einer Veröffentlichung, um ihre Lösegeldforderungen durchzusetzen.

Architektonische Komplexität:

Die enorme Komplexität von benutzerdefiniertem SAP-Code und proprietären Protokollen führt zu kritischen Lücken in der Transparenz. Herkömmliche IT-Sicherheitstools übersehen häufig Bedrohungen auf Anwendungsebene, sodass Angreifer ihre Schadcode unentdeckt einsetzen können.

Einschränkungen bei der Patching-Anwendung:

Die Aktualisierung geschäftskritischer SAP-Systeme erfordert geplante Betriebsunterbrechungen, was zu Verzögerungen bei den Patch-Zyklen führt. Ransomware-Betreiber nutzen diese bekannten Sicherheitslücken aktiv aus, um sich einen ersten Zugriff zu verschaffen, bevor die Korrekturen installiert werden.

Die verschiedenen Arten von Ransomware

Zu den wichtigsten Arten von Ransomware zählen verschlüsselnde Malware, Locker, Scareware, Doxware, mobile Ransomware sowie Ransomware-as-a-Service-Modelle (RaaS).
Es gibt verschiedene Arten von Ransomware, die jeweils spezifische Vorgehensweisen nutzen:

Verschlüsselt Dateien oder Daten, sodass ohne einen Entschlüsselungsschlüssel nicht darauf zugegriffen werden kann.

Sperrt den Computer oder das Gerät vollständig und verhindert so den Zugriff auf Hardware und Dateien.

Zeigt gefälschte Warnmeldungen an, in denen behauptet wird, das Gerät sei mit einem Virus infiziert, und fordert zur Zahlung für betrügerische Antivirensoftware auf, um die angebliche Bedrohung zu beseitigen.

Droht damit, sensible Informationen wie persönliche Dateien oder vertrauliche Daten zu veröffentlichen, sofern das Lösegeld nicht gezahlt wird.

Zielt auf Smartphones oder Tablets ab, um das Gerät zu sperren oder dessen Daten zu verschlüsseln.

Verbreitet über ein Netzwerk von Partnern, die vorgefertigte Ransomware-Kits nutzen, um Angriffe durchzuführen, und dafür einen Prozentsatz der Lösegeldzahlungen erhalten.

Onapsis-Ransomware-Angriffe – gängige Angriffswege

Häufige Angriffswege für Ransomware-Infektionen

Zu den häufigsten Ursachen, die oft zu einem Ransomware-Angriff führen können, gehören:

  • Sicherheitslücken und Fehlkonfigurationen im Internet
  • Phishing
  • Vorläufer einer Malware-Infektion
  • Drittanbieter und Managed-Service-Provider
Ch4tter-Bericht

400-prozentiger Anstieg bei Ransomware-Angriffen, bei denen SAP-Systeme und -Daten kompromittiert wurden*

*Zwischen 2021 und 2023

Den Bericht lesen

Bewährte Verfahren zum Schutz vor Ransomware-Angriffen

Um Unternehmensnetzwerke vor Ransomware zu schützen, müssen sichere Datensicherungen erstellt, Software regelmäßig aktualisiert, Zugriffskontrollen durchgesetzt und die Mitarbeiter geschult werden.

Erstellen Sie regelmäßig Datensicherungen auf separaten Geräten oder in sicheren cloud , um eine Datenwiederherstellung zu ermöglichen, ohne Lösegeld zahlen zu müssen.

Installieren Sie die neuesten Sicherheitspatches für Betriebssysteme, Software und Anwendungen, um bekannte Sicherheitslücken zu schließen.

Bieten Sie fortlaufende Schulungen zum Erkennen und Vermeiden von Phishing-E-Mails und anderen Angriffsmethoden des Social Engineering an.

Wenden Sie das Prinzip der geringsten Berechtigungen an, um den Zugriff auf sensible Daten zu beschränken, und setzen Sie die Multi-Faktor-Authentifizierung (MFA) ein, um eine zusätzliche Sicherheitsebene zu schaffen.

Schutz geschäftskritischer Anwendungen vor Ransomware

Der Schutz geschäftskritischer Anwendungen vor Ransomware erfordert ein kontinuierliches Schwachstellenmanagement, die Erkennung von Bedrohungen in Echtzeit sowie die Analyse des Codes vor der Produktionsfreigabe.

Der Schutz der Anwendungsschicht ist ein wesentlicher Bestandteil der Absicherung von SAP- und Oracle-Anwendungen gegen Ransomware-Angreifer:

  • Schwachstellenmanagement: Durch den Einsatz von Onapsis Assess erhalten Sie automatisch einen Überblick über kritische Schwachstellen, fehlende Sicherheitsupdates und Fehlkonfigurationen, um potenzielle Angriffspunkte zu identifizieren. Das systematische Schließen dieser Lücken verringert die gesamte Angriffsfläche, bevor Angreifer sie ausnutzen können.
  • Kontinuierliche Überwachung: Durch den Einsatz von Onapsis Defend werden Echtzeit-Warnmeldungen generiert, die unbefugte Zugriffsversuche auf kritische SAP- und Oracle-Systeme überwachen und melden. Diese kontinuierliche Erkennung von Bedrohungen stellt sicher, dass Sicherheitszentralen kompromittierte Konten isolieren können, bevor Ransomware-Payloads eingesetzt werden.
  • Code-Analyse: Durch die Integration von Onapsis Control zum Scannen von benutzerdefiniertem Code und Transporten vor der Produktionsfreigabe lassen sich eingebettete Malware oder strukturelle Schwachstellen identifizieren. Da Unternehmen oft Millionen von Zeilen benutzerdefinierten Codes verwalten, ist eine automatisierte Validierung erforderlich, um zu verhindern, dass Risiken aus der Lieferkette in geschäftskritische Systeme gelangen.
Schutz vor Onapsis-Ransomware-Angriffen
Die Onapsis-Ransomware-Angriffe nehmen zu

Entwicklung eines Plans zur Reaktion auf Ransomware-Vorfälle

Ein strukturierter Plan zur Reaktion auf Ransomware-Vorfälle umfasst sechs entscheidende Phasen: Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Erfahrungsauswertung.

Laut dem SANS Institute erfordert die ordnungsgemäße Bewältigung eines Sicherheitsvorfalls einen systematischen Ansatz:

  • Vorbereitung:Die Vorbereitung auf einen Sicherheitsvorfall oder einen Ransomware-Angriff beginnt mit der Analyse der bestehenden Prozesse, der Klärung, wer innerhalb der Organisation Zugriff auf Informationen haben sollte, und der Festlegung, wer im Falle eines Vorfalls einbezogen werden muss.
  • Ermittlung:Der nächste Schritt besteht darin, Ihre wertvollsten Daten zu ermitteln, festzustellen, wo sich diese befinden, und zu klären, wie Sie vorgehen werden, falls diese Daten nicht mehr zugänglich sind.
  • Eindämmung:Der nächste entscheidende Schritt besteht darin, einen Plan zu entwickeln, wie Sie einen bestimmten Sicherheitsvorfall oder einen Ransomware-Angriff eindämmen können.
  • Beseitigung:Die Planung, wie Ihr Team Ransomware beseitigen wird, ist ein weiterer wichtiger Schritt in Ihrem Plan zur Reaktion auf Sicherheitsvorfälle.
  • Wiederherstellung:Falls sensible oder geschützte Daten verloren gegangen sind oder verschlüsselt wurden, zielt dieser Schritt darauf ab, diese Daten wiederherzustellen und sicherzustellen, dass sie nicht mehr in die falschen Hände geraten.
  • Erfahrungen:Was hat bei diesem Krisenplan gut funktioniert? Was nicht? Jetzt ist der richtige Zeitpunkt, um die Wirksamkeit Ihres Krisenplans und Ihrer Kommunikation gründlich zu bewerten.

Jährliche Tabletop-Übungen

Onapsis-Ransomware greift die CISA an

Die CISA-Tabletop-Übungspakete (CTEPs) können beispielsweise als Ausgangspunkt oder Grundlage für die Notfallvorsorge Ihrer Organisation dienen. Durch simulierte Ransomware-Angriffe kann eine Organisation Lücken in ihren Plänen zur Reaktion auf Vorfälle aufdecken. Dies kann nicht nur dazu beitragen, dass sich die IT- und Sicherheitsteams gut vorbereitet fühlen, sondern auch die Geschäftsleitung und andere Interessengruppen. Übung und Vorsorge helfen den Teams, im Falle eines Vorfalls besonnen statt chaotisch zu reagieren.

Lesen Sie das Whitepaper

Webinar auf Abruf ansehen

Maßnahmen, die Unternehmen im Jahr 2026 ergreifen können, um besser auf Ransomware vorbereitet zu sein

Unternehmen können ihre Ransomware-Sicherheit im Jahr 2026 verbessern, indem sie ihre Notfallpläne regelmäßig testen, der Behebung von Sicherheitslücken Priorität einräumen und die gesamte Angriffsfläche erfassen.

  1. Überprüfen Sie die Pläne zur Reaktion auf Vorfälle und bewerten Sie kontinuierlich, ob diese angesichts moderner Bedrohungen ausreichend sind.
  2. Führen Sie mindestens einmal im Jahr Tabletop-Übungen mit den Interessengruppen der Organisation durch.
  3. Beheben Sie bekannte, bereits ausgenutzte Sicherheitslücken und beheben Sie systematisch unsichere Fehlkonfigurationen.
  4. Schaffen Sie einen umfassenden Überblick über die Angriffsfläche des Unternehmens, um vorauszusehen, wie Angreifer bestehende Schwachstellen ausnutzen könnten.
Vorbereitung auf Onapsis-Ransomware-Angriffe
Wiederherstellung nach Onapsis-Ransomware-Angriffen

Maßnahmen, die Unternehmen im Jahr 2026 ergreifen können, um sich von einem Ransomware-Angriff zu erholen

Die Bewältigung eines Ransomware-Angriffs erfordert die sofortige Isolierung infizierter Systeme, die Bewertung des strukturellen Schadens, die Wiederherstellung intakter Daten aus Backups sowie die Einführung zusätzlicher Sicherheitsmaßnahmen.

Falls eine Organisation Opfer eines Ransomware-Angriffs wird, empfiehlt die Cybersecurity and Infrastructure Security Agency (CISA) die folgenden allgemeinen Schritte zur Wiederherstellung:

  1. Infizierte Systeme isolieren: Trennen Sie infizierte Systeme unverzüglich vom Netzwerk, um zu verhindern, dass sich die Ransomware auf andere Geräte ausbreitet.
  2. Assess : Ermitteln Sie, welche Systeme und Datensätze betroffen sind. Führen Sie eine gründliche Untersuchung durch, um den ursprünglichen Angriffsvektor und das Ausmaß des Angriffs zu ermitteln.
  3. Daten aus Backups wiederherstellen: Stellen Sie Daten aus sicheren Backups wieder her. Vergewissern Sie sich, dass die Backups fehlerfrei sind und keine schlummernde Malware enthalten.
  4. Zusätzliche Sicherheitsmaßnahmen ergreifen: Führen Sie zusätzliche Sicherheitsmaßnahmen ein, wie z. B. die erzwungene Zurücksetzung von Passwörtern, die Aktualisierung von Software und die Verschärfung der Zugriffskontrollen, um eine sofortige erneute Infektion zu verhindern.
  5. Führen Sie eine Nachbetrachtung des Vorfalls durch: Bewerten Sie die Wirksamkeit der Reaktion, ermitteln Sie operative Engpässe und aktualisieren Sie den Vorfallreaktionsplan, um die allgemeine Sicherheitslage zu verbessern.

Aktuelle Ransomware-Angriffe in den Nachrichten

Nachrichten

Ein großer Wasserversorger im Vereinigten Königreich gab kürzlich bekannt, dass ihm der Ransomware-Angriff, dem er im Februar 2024 zum Opfer fiel, Kosten in Höhe von 5,7 Millionen Dollar verursacht hat.

Weitere Informationen

Blog

Die Stoli Group USA („Stoli“) hat im November 2024 Insolvenz nach Chapter 11 beantragt und dabei einen Ransomware-Angriff als einen der Gründe für den Antrag genannt.

Weitere Informationen

Pressemitteilung

Eine Umfrage unter 500 Cybersicherheitsexperten ergab, dass 46 % der Unternehmen innerhalb eines Jahres vier oder mehr Ransomware-Angriffe erleben.

Weitere Informationen

Threat Research

Daten von Flashpoint & Onapsis Research Labs in diesem Forschungsbericht einen Anstieg von Ransomware-Angriffen, die speziell auf SAP abzielten.

Weitere Informationen

Nachrichten

MOVEit-Hacker nutzen bei Ransomware-Angriffen nun eine Zero-Day-Schwachstelle in SysAid

Weitere Informationen

Nachrichten

Das US-Marshall-Department wurde Opfer eines Ransomware-Angriffs, der Berichten zufolge zum Verlust wichtiger Daten auf einem eigenständigen Computersystem führte.

Weitere Informationen

Nachrichten

Die Stadt Tulsa in Oklahoma wurde Opfer eines Ransomware-Angriffs, der dazu führte, dass das E-Mail-System der Stadt für mehrere Tage außer Betrieb war, was zu Beeinträchtigungen bei den städtischen Dienstleistungen führte.

Weitere Informationen

Nachrichten

Die Ransomware-Gruppe Conti bekannte sich zu einem Cyberangriff auf das irische Gesundheitswesen, der zu einer Beeinträchtigung der Gesundheitsversorgung im ganzen Land führte.

Weitere Informationen

Nachrichten

Der japanische Multikonzern Toshiba gab bekannt, dass er Opfer eines Ransomware-Angriffs geworden sei, bei dem sensible Unternehmensdaten gestohlen wurden.

Weitere Informationen

Nachrichten

Die Ransomware-Gruppe REvil forderte von dem US-amerikanischen Lebensmittelkonzern JBS ein Lösegeld in Höhe von 70 Millionen Dollar, nachdem das Unternehmen von einem Cyberangriff getroffen worden war, der den Betrieb lahmlegte.

Weitere Informationen

Weiterführende Literatur

Möchten Sie sich näher damit befassen? Beginnen Sie mit diesen verwandten Artikeln und besuchen Sie dann unsere Seite „Ressourcen“, um weitere Informationen zu erhalten.

Alle Ressourcen
Onapsis-Ransomware-Angriffe stehen bevor

Sind Sie bereit, Ihre Sicherheitslücke bei SAP zu schließen?

Wir zeigen Ihnen, wie einfach es sein kann, Ihre Geschäftsanwendungen zu schützen.

Demo vereinbaren

Häufig gestellte Fragen

Wie verbreitet sich Ransomware in Unternehmensnetzwerken?

Ransomware verbreitet sich in der Regel in Unternehmensnetzwerken, indem sie Sicherheitslücken in nicht gepatchter Software, kompromittierte Zugangsdaten und bösartige Phishing-E-Mail-Kampagnen ausnutzt. Sobald der erste Zugriff gelungen ist, bewegen sich die Angreifer lateral durch die Infrastruktur, erweitern ihre Administratorrechte, um an geschäftskritische Datenbanken zu gelangen, und setzen gleichzeitig Verschlüsselungs-Payloads auf mehreren Systemen ein.

Kann Ransomware SAP-Systeme infizieren?

Ja, Ransomware-Betreiber nehmen SAP-Systeme gezielt ins Visier, da in diesen Umgebungen hochsensible Unternehmensdaten verarbeitet und geschäftskritische Abläufe gesteuert werden, was Angreifern ein maximales finanzielles Druckmittel bietet. Angreifer nutzen bestimmte Fehlkonfigurationen in der Architektur sowie verzögerte Patch-Zyklen in der SAP-Infrastruktur aus, um spezielle Malware zu verbreiten. Die Absicherung dieser Systeme erfordert eine gezielte Transparenz auf Anwendungsebene, die über den Umfang herkömmlicher IT-Sicherheitstools hinausgeht.

Was ist Double-Extortion-Ransomware?

Bei „Double-Extortion“-Ransomware handelt es sich um eine Taktik von Cyberkriminellen, bei der Angreifer sensible Unternehmensdaten abziehen, bevor sie das Netzwerk verschlüsseln, und damit drohen, die gestohlenen Informationen zu veröffentlichen, falls das Lösegeld nicht gezahlt wird. Diese Strategie zwingt die betroffenen Unternehmen dazu, gleichzeitig mit katastrophalen Betriebsausfällen und schwerwiegenden rechtlichen Konsequenzen aufgrund von Datenschutzverletzungen fertig zu werden.

Sollten Unternehmen bei einem Cyberangriff das Lösegeld zahlen?

Internationale Cybersicherheitsbehörden raten einheitlich davon ab, Lösegeld zu zahlen, da eine Zahlung keine Garantie für die Wiederherstellung der Daten bietet und künftige kriminelle Aktivitäten direkt finanziert. Anstatt Erpressungsforderungen nachzukommen, müssen Unternehmen sich darauf konzentrieren, sichere, isolierte Datensicherungen zu pflegen und robuste Pläne zur Reaktion auf Vorfälle umzusetzen, um die Betriebskontinuität zu gewährleisten und eine eigenständige Systemwiederherstellung zu ermöglichen.

Wie schützt Onapsis ERP-Systeme vor Ransomware?

Onapsis schützt ERP-Systeme vor Ransomware, indem es das Schwachstellenmanagement automatisiert, Bedrohungen in Echtzeit erkennt und benutzerdefinierten Code in SAP- und Oracle-Umgebungen absichert. Die Platform die Anwendungsschicht, indem sie unsichere Konfigurationen identifiziert, Sicherheitspatches überprüft und Sicherheitszentralen vor unbefugten Zugriffsversuchen warnt, bevor Angreifer ihre Verschlüsselungsprogramme ausführen können.