Die Bedrohungslandschaft

Das Verständnis dafür, wer Organisationen angreift – und warum – ist die Grundlage für fundierte Risikoentscheidungen auf Vorstandsebene.

1.2 Nationalstaatliche Akteure

Staatlich geförderte Gruppen aus Russland, China, Nordkorea und dem Iran verüben Angriffe zur Gewinnung geopolitischer Informationen, zur Industriespionage und zur Störung kritischer Infrastrukturen. Diese Akteure operieren in ihren jeweiligen Ländern mit unbegrenzter Zeit und Ressourcen sowie Straffreiheit.

• → Chinas Volt-Taifun: Seit Jahren in kritischer Infrastruktur der USA und Europas positioniert, wartet er auf geopolitische Auslöser. Pharma-, Energie- und Halbleiterunternehmen sind vorrangige Ziele.
• → Russlands Sandwurm: verantwortlich für NotPetya (2017) – weltweiter Schaden von über 10 Milliarden US-Dollar, darunter 300 Millionen US-Dollar für Maersk und 870 Millionen US-Dollar für Merck. Von Versicherern als „Kriegshandlung“ eingestuft.
• → Die nordkoreanische Lazarus-Gruppe: Sie verübt Ransomware-Angriffe und Kryptowährungsdiebstähle, um staatliche Programme zu finanzieren. Verantwortlich für WannaCry (2017) – weltweiter Schaden von über 4 Milliarden US-Dollar, 80.000 Geräte des britischen Gesundheitsdienstes NHS verschlüsselt.

Organisierte kriminelle Ransomware-Gruppen (RaaS)

Ransomware-as-a-Service hat die Cyberkriminalität industrialisiert. Gruppen wie LockBit, BlackCat/ALPHV, Cl0p und Royal operieren mit Partnerprogrammen – sie rekrutieren technische Spezialisten, Verhandlungsführer und Geldwäschenetzwerke.

• → Durchschnittliche Lösegeldforderung von Unternehmen (2024): 5 Mio. $ – über 50 Mio. $ . Durchschnittliche Gesamtkosten eines Vorfalls: 4,5 Mio. $ für mittelständische Unternehmen, über 30 Mio. $ für Großunternehmen.
• → Doppelte Erpressung: Daten werden verschlüsselt UND exfiltriert. Die Opfer sehen sich sowohl mit der Stilllegung ihres Betriebs als auch mit der Drohung konfrontiert, sensible Daten öffentlich zu machen.
• → Dreifache Erpressung: Die Angreifer nehmen direkt Kontakt zu Kunden, Partnern, Aufsichtsbehörden und Medien auf – und erzeugen so Druck, der unabhängig von der Reaktion des Unternehmens ist.
• → Das RaaS-Modell bedeutet, dass Angriffe nun auch für Akteure mit geringen Fachkenntnissen zugänglich sind – jeder Kriminelle kann die Infrastruktur mieten.