Die meisten Ransomware-Infektionen europäischer Unternehmen und Institutionen werden den Behörden nicht gemeldet. Es ist auch nicht bekannt, wie viele Opfer sich anstecken und ob sie das Lösegeld zahlen. Das würde den Umgang mit Ransomware erschweren.
Enisa, die Agentur der Europäischen Union für Cybersicherheit, schreibt in einem Bericht, dass sie wenig Einblick in Ransomware-Opfer habe. Für ihre Untersuchung untersuchte die Agentur 623 Vorfälle sowohl in der EU als auch im Vereinigten Königreich und in den Vereinigten Staaten, die sich im vergangenen Jahr ereignet haben. Insgesamt wurden zehn Terabyte an Daten gestohlen. In 58 Prozent der Fälle wurden auch Daten von Mitarbeitern gestohlen. Enisa verwendete Berichte von Unternehmen und Regierungen, Medien- und Blogposts und in einigen Fällen Nachrichten im Dark Web.
Eine bemerkenswerte Schlussfolgerung des Berichts ist, dass die ENISA bei 94.2 Prozent aller Vorfälle nicht feststellen konnte, ob das Unternehmen das Lösegeld gezahlt hat. In 37.88 Prozent der Fälle wurden Daten, die während des Angriffs gestohlen wurden, später im Internet geteilt. „Daraus können wir schließen, dass sich 61.12 Prozent aller Unternehmen mit den Angreifern geeinigt oder eine andere Lösung gefunden haben“, schreiben die Forscher. Bei Ransomware-Infektionen ist es mittlerweile üblich, dass Angreifer auch damit drohen, gestohlene Daten öffentlich zu machen, als zusätzliches Druckmittel auf das Opfer. Dies geschieht in den allermeisten Fällen.
Die Forscher sagen auch, dass die Anzahl der untersuchten Fälle „nur die Spitze des Eisbergs“ ist. In Wirklichkeit wäre die Zahl der Ransomware-Infektionen viel höher. Dies ist den Forschern zufolge schwer zu ermitteln, da viele Opfer ihre Vorfälle nicht öffentlich machen oder nicht den Behörden melden.
Das mache auch die weitere Erforschung von Ransomware schwierig, sagt Enisa. In vielen Fällen können oder wollen die Opfer nicht sagen, wie die Angreifer zuerst eingedrungen sind. Kombiniert mit der Tatsache, dass Ransomware-Zahlungen oft im Geheimen erfolgen, „hilft dieser Ansatz nicht bei der Bekämpfung von Ransomware, ganz im Gegenteil“, schreiben die Forscher.
ENisa setzt sich für bessere Regeln ein, die die Meldung von Cybervorfällen erfordern. Dies wird unter der Netz- und Informationssicherheitsrichtlinie oder NIS2 möglicher. Dabei handelt es sich um eine derzeit in Ausarbeitung befindliche europäische Verordnung, die Unternehmen bestimmter Branchen dazu verpflichten wird, Cybervorfälle zu melden.