Salta al contenuto
News

Erpressung ohne Verschlüsselung: Das Risiko verlagert sich von der Verfügbarkeit zur Vertraulichkeit und verwirrt die Metriken

Erpressung ohne Verschlüsselung: Das Risiko verlagert sich von der Verfügbarkeit zur Vertraulichkeit und verwirrt die Metriken

Auf einen Blick

Die Cyber-Bedrohungslandschaft hat sich verändert: Erpressung basiert zunehmend auf Datendiebstahl ohne Verschlüsselung, wodurch sich die Art des Vorfalls von Verfügbarkeit zu Vertraulichkeit verschiebt. Diese Änderung qualifiziert Vorfälle anders, bringt Sicherheitsmetriken aus dem Gleichgewicht und erschwert Meldepflichten, insbesondere unter der NIS2-Richtlinie. Aktuelle Statistiken unterschätzen das wahre Ausmaß dieser Angriffe und erfordern eine Anpassung der Risikobewertung und -verwaltung.

Hintergrund

Fünfzehn Jahre lang war Ransomware gleichbedeutend mit Systemblockaden und Lösegeldforderungen, was eine klare Auswirkung auf die Verfügbarkeit hatte. Heute hat sich die Taktik hin zur Erpressung verlagert, die ausschließlich auf Datendiebstahl ohne Verschlüsselung basiert. Dies ist nicht nur eine neue kriminelle Taktik, sondern eine grundlegende Neuklassifizierung des Vorfalls, der von der Kategorie der Verfügbarkeit in die der Vertraulichkeit übergeht. Diese Verschiebung macht öffentliche Metriken ineffektiv, erschwert den Beginn der Meldepflichten und schafft eine doppelte Regulierung für viele Organisationen. Laut den Quartalsdaten von Coveware spielte im zweiten Quartal 2025 die Datenexfiltration in 74 Prozent der bearbeiteten Fälle eine Rolle, und Datendiebstahl übertraf die Verschlüsselung als primäres Erpressungsmittel. Andere Erhebungen zeigen 77 Prozent der Intrusionen mit Exfiltration, ein Anstieg gegenüber 57 Prozent im Jahr 2024. Die verschlüsselungslose Erpressung als eigenständiges Modell hat jedoch eine geringe Erfolgsquote: Im dritten Quartal 2025 lag die Zahlungsquote für reine Exfiltration bei 19 Prozent, stieg dann im vierten Quartal auf 25 Prozent, blieb aber historisch niedrig. Die gesamten Zahlungsquoten sanken im dritten Quartal auf 23 Prozent und im vierten Quartal auf 20 Prozent. Die fünfte Massenexfiltrationskampagne der CL0P-Gruppe, die eine Zero-Day-Schwachstelle in Oracle E-Business Suite ausnutzte, bestätigte diesen Verlust an wirtschaftlicher Effizienz, obwohl viele Daten entwendet wurden. Der jährliche Kaspersky-Bericht über Ransomware im Jahr 2026 zeigte einen Rückgang der betroffenen Organisationen im Jahr 2025, dies ist jedoch teilweise ein Klassifikationsartefakt, da reine Exfiltrationsangriffe oft nicht als Ransomware gezählt werden. Das Risiko nimmt nicht ab, sondern wechselt die Kategorie und wird mit anderen Werkzeugen gemessen oder überhaupt nicht gemessen. Die ACN verzeichnete in ihrem Operational Summary vom März 2026 436 Cyber-Ereignisse, aber 313 Vorfälle mit bestätigter Auswirkung (+81 Prozent gegenüber Februar), was den Anstieg der vollen Funktionsfähigkeit der NIS2-Meldepflichten zuschreibt und nicht einer Explosion von Angriffen. Zu den vorherrschenden Bedrohungen des Monats gehörten Datenexposition und die Verletzung erwarteter Service Levels.

Warum es wichtig ist

Diese Verschiebung ist entscheidend für diejenigen, die personenbezogene Daten verarbeiten und für die Compliance, da ein Datenexfiltrationsangriff ohne Verschlüsselung die Systemverfügbarkeit nicht beeinträchtigt, aber direkt die Vertraulichkeit der Daten verletzt. Dies aktiviert spezifische Pflichten zur Vorfallsverwaltung und -meldung. Die NIS2-Richtlinie, in Italien mit dem Gesetzesdekret vom 4. September 2024, Nr. 138, umgesetzt, definiert einen erheblichen Vorfall als ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit erheblich beeinträchtigt. Die ACN-Bestimmung Nr. 379907/2025 übersetzt diese Dreiteilung in meldepflichtige Vorfallsarten, wie den Verlust der externen Vertraulichkeit digitaler Daten (IS-1) für wichtige Einrichtungen. Das Nicht-Erkennen dieser Risikoverlagerung kann zu einer Unterschätzung der tatsächlichen Vorfälle und zur Nichteinhaltung der Meldepflichten führen, mit daraus resultierenden rechtlichen und reputationsbezogenen Implikationen für die Organisation. Darüber hinaus erfassen traditionelle Metriken das wahre Ausmaß des Phänomens nicht mehr, was eine korrekte Risikobewertung und Zuweisung von Sicherheitsressourcen erschwert.

Was zu tun ist

  • Überarbeitung der Incident-Response-Pläne, um Szenarien der Datenexfiltration ohne Verschlüsselung einzubeziehen, mit besonderem Fokus auf die Verletzung der Vertraulichkeit.
  • Verständnis und Anwendung der Meldepflichten der NIS2-Richtlinie für Vorfälle, die die Vertraulichkeit beeinträchtigen (wie IS-1).
  • Anpassung der Risikobewertungen, um Datenexfiltration als primäre Bedrohung zu berücksichtigen, auch ohne Verschlüsselung.
  • Implementierung von Tools und Prozessen zur Überwachung von Leak-Sites und kriminellen Portalen, um die Veröffentlichung exfiltrierter Daten zu erkennen.
  • Schulung des Personals in der korrekten Klassifizierung von Vorfällen, Unterscheidung zwischen Auswirkungen auf die Verfügbarkeit und die Vertraulichkeit.

Was zu vermeiden ist

  • Erpressung, die ausschließlich auf Datenexfiltration basiert, nicht als Vorfall von geringerer Schwere einzustufen.
  • Sich ausschließlich auf traditionelle Ransomware-Metriken zu verlassen, die Angriffe ohne Verschlüsselung nicht erfassen.
  • Das Risiko einer Verletzung der Datenvertraulichkeit zu unterschätzen.
  • Die Meldeprozesse nicht an die NIS2-Pflichten für verschiedene Arten von Vorfällen anzupassen.

Praktische Auswirkungen

Organisationen müssen ihr Verständnis von Cyber-Bedrohungen und Compliance-Verpflichtungen aktualisieren und den Fokus von der bloßen Verfügbarkeit auf die wachsende Bedeutung der Datenvertraulichkeit verlagern. Die Unterschätzung von Vorfällen, die nur Datenexfiltration umfassen, birgt erhebliche rechtliche, regulatorische und reputationsbezogene Risiken, was die Notwendigkeit anspruchsvollerer Erkennungs- und Meldeverfahren unterstreicht, die den neuen Vorschriften entsprechen.

Empfohlene Maßnahmen

  • Aktualisierung der Incident-Management-Verfahren, um die Erkennung, Analyse und Reaktion auf Datenexfiltration ohne Verschlüsselung einzubeziehen.
  • Schulung des Personals, das im Incident-Management und in der Compliance tätig ist, zu den spezifischen NIS2-Meldepflichten bei Verlust der Vertraulichkeit (IS-1).
  • Überprüfung und Kalibrierung der Risikoanalysemethoden, um die Risikoverlagerung hin zur Verletzung der Datenvertraulichkeit widerzuspiegeln.
  • Integration einer proaktiven Bedrohungsüberwachung (z.B. Leak-Sites, kriminelle Foren), um die potenzielle Veröffentlichung von Unternehmensdaten zu identifizieren.

Zu vermeidende Fehler

  • Einen Vorfall weiterhin nur dann als 'Ransomware' zu klassifizieren, wenn Systeme verschlüsselt wurden.
  • Die Meldung von Vorfällen, die nur Datenexfiltration umfassen, zu ignorieren, in der Annahme, dass sie nicht die gleiche regulatorische Auswirkung wie eine Betriebsblockade haben.
  • Sicherheitsinvestitionsentscheidungen und Verteidigungsstrategien auf veraltete Statistiken zu stützen, die die aktuelle Bedrohungslage nicht widerspiegeln.

Fragen zur Selbsteinschätzung

  • Sind unsere Incident-Response-Pläne ausreichend strukturiert, um einen Angriff, der ausschließlich aus Datenexfiltration ohne Verschlüsselung besteht, zu bewältigen?
  • Sind wir in der Lage, einen Verlust der Datenvertraulichkeit (IS-1 NIS2) zeitnah zu erkennen und zu klassifizieren sowie den Meldeprozess innerhalb der erforderlichen Fristen einzuleiten?
  • Spiegeln unsere internen Metriken und Risikobewertungen das wachsende Risiko im Zusammenhang mit der Verletzung der Vertraulichkeit, unabhängig von der Verschlüsselung, genau wider?
  • Ist unser Schlüsselpersonal sich der regulatorischen und operativen Auswirkungen der Veränderung der Art von Cyber-Vorfällen (von Verfügbarkeit zu Vertraulichkeit) bewusst?

Verweise

Nationales Recht: Direttiva NIS2 · Decreto Legislativo 4 settembre 2024, n. 138 · Determinazione ACN n. 379907/2025

Zum Originalartikel auf ICT Security Magazine ↗

Lesen Sie auch