Fertigungsindustrie Top-Ziel von Ransomware-Attacken

Ransomware-Taktiken entwickeln sich weiter und nehmen gezielt Industrien mit geringer Toleranz für Ausfallzeiten ins Visier

Arctic Wolf, ein weltweit führender Anbieter von Security Operations, veröffentlicht seinen jährlichen Arctic Wolf Threat Report. Die Ergebnisse der neuesten Auflage des Berichts zeigen, wie Cyberkriminelle ihre Methoden anpassen, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen: Sie setzen bei Ransomware-Attacken verstärkt auf Datendiebstahl, statt Daten nur zu verschlüsseln, verfeinern BEC-Betrügereien (Business E-Mail Compromise) und nutzen bekannte Schwachstellen aus, um Unternehmen weltweit zu infiltrieren. Der Industriesektor ist besonders anfällig für solche Angriffe und steht vor der Herausforderung, proaktive Maßnahmen zu ergreifen, um sensible Daten sowie die Produktion vor Ausfallzeiten und den damit verbundenen Kosten und Imageschäden zu schützen.

Ransomware-Angriffe: Fertigungsindustrie am stärksten betroffen

Trotz verstärkter Strafverfolgung machen Ransomware-Attacken mit 44 Prozent den größten Teil der erfassten IR-Fälle aus. Da Unternehmen immer bessere Backup-Strategien aufbauen und so eine schnellere Recovery möglich ist, haben Cyberkriminelle ihre Strategie angepasst und setzen bei ihren Angriffen nahezu immer auch auf Datenexfiltration. So stahlen die Angreifer in 96 Prozent der analysierten Ransomware-Fälle Daten. Die Täter können die erbeuteten Daten dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen.

Mit fast 19 Prozent macht die Fertigungsindustrie den größten Anteil der erfassten Ransomware-IR-Fälle aus. Die Fertigungsbranche ist traditionell ein besonders attraktives Angriffsziel für Cyberkriminelle: Zum einen gibt es vielfältige Supply-Chain-Verflechtungen und eine potenziell große Angriffsfläche, zum anderen stehen Fertiger unter dem Druck, Ausfallzeiten auf ein Minimum zu reduzieren. Weil die Kapazitäten von Fertigungsstrecken nicht beliebig skaliert werden können, drohen Produktionsausfälle, die nicht mehr aufgeholt werden können – von Vertragsstrafen, Lieferengpässen und Reputationsverlusten ganz abgesehen. Außerdem verfügen Hersteller oft über wertvolle Informationen über industrielle Prozesse und Kunden, was sie anfällig für Datenerpressung macht.

Die durchschnittlichen Lösegeldforderungen betragen ähnlich wie im Vorjahr 600.000 USD – ein lukratives Geschäft für Cyberkriminelle. Gleichzeitig haben die Auswertungen gezeigt, dass Opferunternehmen die geforderten Beträge mit Hilfe von professionellen Ransom-Verhandlern deutlich senken können. So mussten Unternehmen, die mit Arctic Wolf zusammenarbeiten, durchschnittlich nur 36 Prozent des ursprünglich geforderten Betrags zahlen.   

„Ransomware-Gruppen haben ihr Geschäftsmodell weiterentwickelt: Selbst, wenn es eine gute Backup-Strategie gibt, setzt die Drohung, gestohlene Kunden- und Geschäftsdaten zu veröffentlichen oder weiterzuverkaufen, Unternehmen massiv unter Druck – oft mit verheerenden finanziellen und reputativen Folgen“, erklärt Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Diese Taktik macht klassische Backups als alleiniges Schutzmittel wirkungslos. Unternehmen müssen daher verstärkt auf umfassende Bedrohungserkennung, Zero-Trust-Strategien und proaktive Security-Operations-Ansätze setzen, um Angriffe frühzeitig zu identifizieren und Datenabflüsse zu verhindern.“

BEC: Angreifer folgen dem Geld

Business E-Mail Compromise ist eine spezielle Form des E-Mail-Phishings, bei der Angreifer versuchen, Unternehmen zur Überweisung von Geld oder zur Herausgabe vertrau-licher Daten zu bewegen – etwa durch Account-Kompromittierung oder CEO-Fraud. BEC Incidents machen 27 Prozent der beobachteten IR-Fälle aus und sind damit weiterhin die zweithäufigste Betrugstaktik.

Im Fokus dieser Art des Cyberbetrugs stehen Organisa-tionen, die im großen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungs-branche entfielen 26,5 Prozent der BEC-IR-Fälle, etwa doppelt so viele wie auf die zweitplatzierte Branche Rechtswesen und Verwaltung. Auch die Fertigungsindustrie ist von dieser Art der Cyberkriminalität betroffen – sie folgt mit 12 Prozent auf Platz drei.

„Phishing und kompromittierte Zugangsdaten bleiben die Hauptursachen für BEC-Angriffe. KI ermöglicht Bedrohungs-akteuren immer raffiniertere, personalisierte Attacken, sodass Awareness-Trainings allein nicht ausreichen, allen Vorfällen vorzubeugen – sie helfen aber, die Vielzahl unsauber ausgeführter Angriffe schnell zu erkennen. Unternehmen sollten deshalb neben Schulungen auch auf starke Zugangskontrollen setzen. Eine Kombination aus Passwortmanagement und moderner Multi-Faktor-Authentifizierung, etwa biometrischen Verfahren oder physischen Sicherheitsschlüsseln, ist entscheidend, um den unbefugten Zugriff effektiv zu verhindern“, erklärt Dr. Schmerl.

Wenige Schwachstellen werden überproportional oft ausgenutzt

Intrusions waren mit 24 Prozent die dritthäufigste Ursache der aufgezeichneten IR-Fälle – ein deutlicher Anstieg gegenüber dem Vorjahr (14,8 Prozent). So wurden 2024 über 40.000 Sicherheitslücken verzeichnet. Auch bei den kritischen und schwerwiegenden Schwachstellen gab es einen Anstieg um 134,46 Prozent. Auch hier gehört die Fertigungsindustrie zu den Top-5-Angriffszielen.  

In 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwach-stellen aus, von denen alle bereits bekannte Sicherheitslücken waren, für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Die meisten dieser Vorfälle standen in Verbindung mit Remote-Access-Tools und von außen zugänglichen Systemen und Services. In einigen Fällen nutzten die Angreifer beispielsweise Fehlkonfigurationen wie offene Ports, von außen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten aus, um sich Zugang zu verschaffen. Dies zeigt deutlich, wie wichtig proaktives Patch-Management ist.

„Viele Unternehmen zögern mit der Implementierung von Patches, obwohl Schwachstellen längst bekannt und Updates verfügbar sind. Oft fehlen klare Prozesse, es gibt Bedenken wegen möglicher Betriebsunterbrechungen oder personelle Engpässe bestehen. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle“, so Dr. Schmerl. „Ein effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren. Fehlen die internen Ressourcen, um dies abzudecken, können Unternehmen mit Security-Partnern wie Arctic Wolf zusammenarbeiten, die sie langfristig dabei unterstützen, ihre Sicherheitslage zu verbessern.“

Über Arctic Wolf  

Arctic Wolf ist ein führender Anbieter von Security Operation Services und ermöglicht es Unternehmen jeder Größe und Branche mit seiner cloudnativen Security Operations Plattform das Cyberrisiko in Zeiten intelligenter Cyberangriffe zu managen. Die Arctic Wolf Aurora Platform erfasst und analysiert mehr als sieben Billionen Security Events pro Woche, um eine Cyberabwehr in noch nie dagewesenem Umfang zu ermöglichen. Kunden können so ihrer IT-Sicherheit, Verfügbarkeit und Resilienz vertrauen und diese kontinuierlich ausbauen. Durch die Bereitstellung automatisierter Funktionen für Threat Protection, Response und Remediation bietet Arctic Wolf auf Knopfdruck erstklassige Security Operations zum Schutz der wertvollsten Unternehmenswerte.

Quelle: Lucy Turpin Communications, München