Umfrage zur Betroffenheit durch Ransomware – 04/2016 Ergebnisse, Stand 26.04.2016 Zur Umfrage Die Umfrage zur Betroffenheit der deutschen Wirtschaft durch Ransomware wurde durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit durchgeführt. • Umfragezeitraum: 13.04.2016 bis 21.04.2016 • Öffentliche Online-Umfrage: www.allianz-fuer-cybersicherheit.de/ACS/RansomwareUmfrage • Die Umfrage war anonym, die Identifizierung von Umfrageteilnehmern ist somit nicht möglich • Datenbasis der Umfrage • • • 604 Datensätze wurden insgesamt angelegt 012 Datensätze sind nach Plausibilitätsprüfung entfallen (< 2%) 592 Datensätze wurden ausgewertet Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 2 Betroffenheit der Institutionen durch Ransomware Fand in Ihrer Institution innerhalb der letzten sechs Monate eine Infektion mit Ransomware statt? • Ein Drittel (32%) aller befragten Institutionen war in den letzten 6 Monaten von Ransomware betroffen • 29% der Betroffenen waren das Ziel von mehr als einer Familie von Ransomware (Folie 7) • Aus dem Ergebnis (Folien 5, 6) wird deutlich, dass Unternehmen aller Größenordnungen von Ransomware betroffen sind 68% 32% Ja Nein Frage 1 | Basis: n = 592, Pflichtfrage Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 4 Fand in Ihrer Institution innerhalb der letzten sechs Monate eine Infektion mit Ransomware statt? Ergebnis aufgeschlüsselt nach Mitarbeiterzahl der Institutionen 200 Anzahl der Institutionen 180 160 140 120 100 149 80 84 60 74 62 44 54 250 bis 999 1.000 bis 10.000 40 20 0 28 32 1 bis 49 50 bis 249 Anzahl der Mitarbeiter*innen Ja, die Institution war betroffen 13 27 10.000+ Nein, die Institution war nicht betroffen Frage 1 | Basis: n = 592; keine Angabe zur Mitarbeiterzahl = 25, davon 5 betroffen / 20 nicht betroffen Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 5 Fand in Ihrer Institution innerhalb der letzten sechs Monate eine Infektion mit Ransomware statt? %-Anteil an der jeweiligen Größengruppe Ergebnis aufgeschlüsselt nach Mitarbeiterzahl der Institutionen, %-Anteil bezogen auf die jeweilige Größengruppe 100% 90% 13 80% 70% 60% 149 84 62 74 50% 40% 27 30% 20% 10% 28 32 54 44 0% 1 bis 49 Anzahl der Mitarbeiter*innen 50 bis 249 250 bis 999 1.000 bis 10.000 Ja, die Institution war betroffen 10.000+ Nein, die Institution war nicht betroffen Frage 1 | Basis: n = 592; keine Angabe zur Mitarbeiterzahl = 25, davon 5 betroffen / 20 nicht betroffen Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 6 Falls bekannt - von welcher bzw. welchen Ransomware-Variante(n) war Ihre Institution betroffen? Anzahl der Nennungen Von den betroffenen Institutionen nannten … folgende Variante(n): 100 90 80 70 60 50 40 30 20 10 0 24 11 93 22 1 72 27 CryptoWall CTB-Locker Locky Petya Reveton TeslaCrypt Sonstige • Diese Daten decken sich mit anderen, dem BSI vorliegenden Zahlen zur Bedrohungslage in Deutschland • Insgesamt 250 Nennungen: 22% waren von 2 Typen, 7% von 3 oder mehr Typen von Ransomware betroffen Frage 2 | Basis: n = 190 (betroffene Institutionen), keine Angabe = 2, Mehrfachauswahl war möglich Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 7 Falls bekannt - auf welchem Weg hat bzw. welchen Wegen haben die Infektion(en) stattgefunden? Von den betroffenen Institutionen nannten … folgende Vektore(n): 180 Anzahl der Nennungen 160 140 120 100 80 60 40 20 0 156 36 3 14 E-Mail Anhang Drive-by Angriff Hacking Sonstige Frage 2b | Basis: n = 190 (betroffene Institutionen), keine Angabe = 9, Mehrfachauswahl war möglich Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 8 Folgen der Ransomware-Infektionen Welche betrieblichen Auswirkungen hatte die Infektion mit Ransomware auf Ihre Institution? Von den betroffenen Institutionen nannten … folgende Auswirkung(en): Ausfall einzelner Arbeitsplätze ohne erhebliche Auswirkungen 133 Erheblicher Teile der IT-Infrastruktur ausgefallen 42 Erhebliche Teile der IT-Infrastruktur präventiv abgeschaltet 42 Erheblicher Ausfall von Produktion / Dienstleistungen 23 Verlust wichtiger Daten, nicht wiederherstellbar 21 Einschränkungen wurden kurzfristig behoben (< 48h) 111 Einschränkungen dauerten länger als 48 Stunden an 35 Vorfall gefährdet(e) die wirtschaftliche Existenz 4 0 25 50 75 100 125 150 Frage 3 | Basis: n = 190 (betroffene Institutionen), keine Angabe = 3, Mehrfachauswahl war möglich Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 10 Hat Ihre Institution ein Lösegeld gezahlt? Falls ja - wie hoch war das Lösegeld und wurden die verschlüsselten Daten anschließend durch die Erpresser entschlüsselt? 2% 3% • 95,3% (181) der betroffenen Institutionen sind nicht auf die Lösegeldforderung eingegangen • 2,1% (4) haben Lösegeld gezahlt, davon in 95% • Keine Angabe Ja, gezahlt • 2 Fällen zwischen 200€ bis 1.000€ mit anschließender Entschlüsselung der Daten • 2 Fällen ohne Angabe der Höhe mit anschließender Entschlüsselung der Daten 2,6% (5) machten keine Angaben zu dieser Frage Nein, nicht gezahlt Frage 4 | Basis: n = 190 (betroffene Institutionen) Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 11 Hat Ihre Institution Strafanzeige gestellt? • 18% Nur wenige der Betroffenen (18%) haben Strafanzeige gestellt 2% Keine Angabe 80% Ja, es wurde Strafanzeige gestellt Nein, von einer Strafanzeige wurde abgesehen Frage 5 | Basis: n = 190 (betroffene Institutionen) Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 12 Bewertung der Bedrohungslage und abgeleitete Maßnahmen Wie bewerten Sie die Bedrohungslage durch Ransomware für Ihre Institution? 60% 36% • Unabhängig von einer Betroffenheit schätzen 60% (358) der Befragten, dass sich die Bedrohungslage durch Ransomware für ihre Institution verschärft hat • Für 34% (199) hat sich die Bedrohungslage nicht verändert, der Umgang mit Malware gehörte bereits zum Tagesgeschäft • Knapp 2% (11) gaben an, dass sich ihre Bewertung nicht verändert habe, da die eigenen Geschäftsprozesse durch Malware-Infektionen nicht bedroht werden Frage 6 | Basis: n = 592, keine Angabe = 24 (4%) Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 14 Welche zusätzlichen Maßnahmen hat Ihre Institution auf Basis dieser Bewertung (Frage 6) ergriffen? Von allen befragten Institutionen nannten … folgende zusätzliche Maßnahmen: Sensibilisierung von Mitarbeiter*innen zu Ransomware 448 Anti-Spam und Filterung von Daten an Netzübergängen 244 AntiVirus auf Clients und Servern 233 Sicherstellung aktueller Backups wichtiger Daten 222 Absicherung von / sichere Internet-Browser 123 keine zusätzlichen Maßnahmen 59 0 50 100 150 200 250 300 350 400 450 Frage 6b | Basis: n = 592, keine Angabe = 27, Mehrfachauswahl war möglich Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 15 Angaben zum Teilnehmerfeld Wie viele Mitarbeiter/innen beschäftigt Ihre Institution? 200 180 29,9% Anzahl der Institutionen 160 140 19,6% 120 19,9% 19,6% 100 80 60 6,8% 40 4,2% 20 0 1 bis 49 50 bis 249 250 bis 999 1.000 bis 10.000 über 10.000 keine Angabe Mitarbeiter*innen Frage 7 | Basis: n = 592 Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 17