Ransomware: Unternehmen halten Bitcoins für den Erpressungsfall vor

Mehr als ein Drittel der deutschen Unternehmen bevorraten die digitale Währung Bitcoin, um im Falle eines Ransomware-Angriffs Lösegeld zahlen zu können. Nur weniger als ein Fünftel der Firmen will definitiv kein Lösegeld an Erpresser zahlen, 82,4 Prozent hingegen sind zahlungsbereit, wenn es um kritische Daten oder geistiges Eigentum geht, das von Angreifern entwendet oder verschlüsselt wurde.

Das geht aus einer repräsentativen Umfrage hervor, die der Softwareanbieter Citrix im Rahmen einer Studie zur Compliance mit der ab Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) durchführen ließ. Im August 2017 wurden dafür 500 IT-Entscheider in deutschen Unternehmen befragt, die mindestens 250 Mitarbeiter beschäftigen. Nach ihren Angaben halten 35,6 Prozent der Firmen einen Lösegeldvorrat in der Kryptowährung vor. Im Durchschnitt waren es demnach 24 Bitcoins, entsprechend einem Wert von 88.000 Euro zum Zeitpunkt der Umfrage.

Die hohe Zahlungsbereitschaft im Erpressungsfall steht nicht nur im Widerspruch zu den Empfehlungen von Sicherheitsexperten, sondern auch zur erklärten Einschätzung der Unternehmen ihrer eigenen Sicherheitslage. Ihre Infrastruktur hält zwei Drittel der Befragten für „gut“ bis „sehr gut“ und somit geeignet, das Unternehmen hinsichtlich der Einhaltung der DSGVO zu unterstützen.

„Viele Unternehmen rechnen eher nicht damit, dass sie gehackt werden“, kommentiert Dirk Pfefferle, Area Vice President Central Europe und Geschäftsführer von Citrix Systems. Dazu schätzten sie ihre Infrastrukturen und IT-Sicherheit als zu stark ein. „Beispielsweise halten sich bereits heute 87 Prozent für regelkonform, was den Umgang mit personenbezogenen Daten betrifft. Trotzdem halten viele Lösegeld bereit, als letzten Ausweg.“

90 Prozent der befragten Firmen speichern und verarbeiten personenbezogene Daten, wofür 51 Prozent zehn oder mehr Systeme oder Anwendungen einsetzen. 86 Prozent sind überzeugt, die Kontrolle über diese Daten zu haben und sie etwa im Bedarfsfall sofort löschen zu können. Allerdings gibt nur jeder dritte Befragte an, eine „sehr gute“ Übersicht zu haben, wo welche Daten überhaupt gespeichert werden.

Um den neuen EU-Regeln zu entsprechen, hält Citrix eine zentrale Kontrolle über Daten und Zugriffe einschließlich des Rolle- und Rechtemanagments für hilfreich. Mindestens ein Drittel der Befragten aber hielt die eigenen Fähigkeiten in diesbezüglichen Disziplinen für „sehr schlecht“, „schlecht“ oder „befriedigend“. „Hier muss die IT bis Mai nächsten Jahres nachlegen, um in Bezug auf die DSGVO-Compliance gut aufgestellt zu sein“, so Citrix-Geschäftsführer Pfefferle.

Die EU-Datenschutzgrundverordnung ist eigentlich schon in Kraft, nur die Übergangsfrist endet am 25. Mai 2018. Ab dann drohen Unternehmen, die die Vorgaben missachten, hohe Strafen. Eine von Bitkom Research durchgeführte Umfrage zeigte jedoch im Juni, dass das Bewusstsein für die Dringlichkeit noch lange nicht überall ausgeprägt ist. Jedes fünfte IT-Unternehmen ignorierte demnach bislang die Datenschutzgrundverordnung.