Erfolgreiche Angriffe haben Schadwirkungen zur Folge. Beispielsweise wurden wichtige Unternehmensdaten verschlüsselt oder exfiltriert, das Unternehmens-IT-Netz kompromittiert oder eine Web-Dienstleistung lahmgelegt. Darüber hinaus haben Cyberangriffe unter Umständen mehr Opfer, als angegriffene Ziele. So kann ein Ransomware-Angriff auf einen IT-Dienstleister beispielsweise zahlreiche weitere betroffene Opfer nach sich ziehen, die infolge von Service-Abschaltungen des IT-Dienstleisters mittelbar mit betroffen sind. Schadwirkungen eines einzelnen Angriffs können sich potenzieren und eine Vielzahl von Opfern nach sich ziehen

Im Rahmen der Dimension Schadwirkung wird hierbei ein Überblick zur aktuellen Gefährdungslage erstellt, auf Grundlage der Analyse folgender Cyberbedrohungen und deren spezifischen Messgrößen: Mutmaßliche Opfer auf Leak-Seiten aus Deutschland, Gemeldete Störungen von KRITIS-Betreibern.

Mutmaßlich Geschädigte auf Leak-Seiten aus Deutschland

• Im Gegensatz zu Vorjahren nahm der Index für Deutschland vom vierten Quartal des Vorjahres) zum ersten Quartal (2025) deutlich zu.
• Der Index für Deutschland für mutmaßliche Opfer auf Leak-Seiten ist von 169 Punkten im vierten Quartal 2024 (= 1,69-mal höher als der Jahresdurchschnitt in 2021) auf 264 Punkte im ersten Quartal 2025 angestiegen.
• Die Gesamtaktivität hat im ersten Quartal 2025 im Vergleich zu den Vorjahren erneut deutlich zugenommen.

Sachverhalt

Das BSI beobachtet sogenannte Leak-Seiten, auf denen Angreifer die Namen von mutmaßlich Geschädigten sowie von diesen erbeutete Daten veröffentlichen, wenn diese keine Löse- oder Schweigegelder zahlen. Über diese Leak-Seiten lassen sich mutmaßlich Geschädigte erfassen, denen mit einem Daten-Leak gedroht wurde. Es wird von mutmaßlich Geschädigten gesprochen, da die Nennung auf einer Leak-Seite unter Kontrolle eines Angreifers nicht zwingend bedeutet, dass es tatsächlich zu einem Angriff kam.

Seit 2021 gehen Ransomware-Angriffe in der Regel mit einem Daten-Leak einher, auch bekannt als Double Extortion. Auf diese Art wird nur ein Teil der mutmaßlich durch Ransomware Geschädigten erfasst. So werden in der Regel nur diejenigen Organisationen auf Leak-Seiten genannt und veröffentlicht, die die Zahlung eines Löse- oder Schweigegelds verweigern. Auch verwenden nicht alle Ransomware-Angreifer eine Leak-Seite. Ein großes Dunkelfeld an mutmaßlich durch Ransomware Geschädigten verbleibt. Zudem gibt der Zeitpunkt der Veröffentlichung keinen Aufschluss über den Zeitpunkt des Ransomware-Angriffs, der bereits lange zuvor stattgefunden haben kann. Die Zuordnung der so erfassten mutmaßliche Geschädigten nach Ländern ist eine Annäherung, da sie in der Regel nach dem Standort der Hauptniederlassung erfolgt.

Die Indizes aus der folgenden Abbildung messen Nennungen mutmaßliche Geschädigter auf Leak-Seiten:

Bewertung

Der Wert für das erste Quartal 2025 ist gegenüber dem vierten Quartal 2024 für den deutschen Leak-Index erneut deutlich angestiegen. Das Niveau liegt dabei tendenziell über dem der Vorjahre. Auch der Vergleichsindex weltweit ist im Vergleich zum vierten Quartal auf ein deutlich höheres Niveau angestiegen. In den vergangenen zwei Jahren war das zweite Quartal jeweils der Höhepunkt bei der Veröffentlichung auf Leak-Seiten. Dieser Trend hat sich in 2024 nicht fortgesetzt.

Maßnahmenempfehlungen

Wichtige Hinweise, Empfehlungen und Dokumente zum Thema Ransomware gibt es auf dem Ransomware-Informationsportal des BSI [1 – 3].

Gemeldete Störungen von KRITIS-Betreibern

• Gesamtzahl der gemeldeten Störungen bei KRITIS ist von 157 in Q4/2024 auf 146 in Q1/2025 gesunken (- 7%).
• Die größte Anzahl von Störungen trat im Sektor Transport & Verkehr (T&V) auf.

Sachverhalt

Mit dem IT-Sicherheitsgesetz wurde im Jahr 2015 in § 8b Absatz 4 BSIG eine Meldepflicht für Betreiber Kritischer Infrastrukturen eingeführt. Die Meldepflicht gilt für Störungen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben oder führen können. Ein hohes Meldeaufkommen ist nicht zwangsläufig ein Indikator für den Stand der Informationssicherheit des jeweiligen Sektors. Betreiber Kritischer Infrastrukturen melden zum Teil auch Vorkommen, die unterhalb der gesetzlichen Meldeschwelle liegen. In die Statistik fließen neben den Meldungen nach BSIG und EnWG auch solche nach TKG ein.

Das folgende Diagramm zeigt die zeitliche Entwicklung der dem BSI von KRITIS-Betreibern gemeldete Störungen seit Ende 2017.

Schadwirkung durch Ransomware

• Weltweit 1,1 Milliarden US-Dollar Lösegeld durch Ransomware-Angriffe erbeutet.
• Seit Q1/2024 wieder leicht ansteigender Trend für durchschnittliche Höhe gezahlter Lösegelder

Sachverhalt

Die Schadwirkungen im Berichtszeitraum des JLB 2024 waren beträchtlich: Hierzu zählen zum Beispiel die teils monatelangen Ausfallzeiten bei Kommunen durch Ransomware-Angriffe. Ebenfalls durch Ransomware-Angriffe wurden weltweit 1,1 Milliarden US-Dollar Lösegeld erbeutet, wobei die Dunkelziffer vermutlich sehr viel höher ist. Bemerkenswert ist, dass für erbeutete exfiltrierte Daten im Schnitt fast dreimal so viel gezahlt wurde wie für erbeutete verschlüsselte Daten.

Ransomware-Angriffe richteten sich massenhaft gegen leichte, weil häufig noch unzureichend geschützte Ziele wie kleine und mittlere Unternehmen und Kommunen. Allein vom Angriff auf einen kommunalen IT-Dienstleister Ende Oktober 2023 waren 72 kommunale Kunden mit rund 20.000 kommunalen Arbeitsplätzen betroffen. Auch Public-Cloud-Infrastrukturen wurden angegriffen.

Nachdem in Q1/2024 2024 die durchschnittliche Höhe gezahlter Lösegelder wieder auf das Niveau von Ende 2022 zurückgefallen war, ist zum Q4/2024 wieder ein ansteigender Trend zu verzeichnen.

Quellen

[1] Fortschrittliche Angriffe – dynamische Entwicklung
[2] Top 10 Ransomware-Maßnahmen
[3] Ransomare-Angriffe
[4] coveware.com