"Ergebnisse der Umfrage zur Betroffenheit durch Ransomware 2016

Umfrage zur Betroffenheit durch
Ransomware – 04/2016
Ergebnisse, Stand 26.04.2016
Zur Umfrage
Die Umfrage zur Betroffenheit der deutschen Wirtschaft durch Ransomware wurde durch das Bundesamt
für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit durchgeführt.
•
Umfragezeitraum: 13.04.2016 bis 21.04.2016
•
Öffentliche Online-Umfrage: www.allianz-fuer-cybersicherheit.de/ACS/RansomwareUmfrage
•
Die Umfrage war anonym, die Identifizierung von Umfrageteilnehmern ist somit nicht möglich
•
Datenbasis der Umfrage
•
•
•
604 Datensätze wurden insgesamt angelegt
012 Datensätze sind nach Plausibilitätsprüfung entfallen (< 2%)
592 Datensätze wurden ausgewertet
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 2
Betroffenheit der Institutionen
durch Ransomware
Fand in Ihrer Institution innerhalb der letzten sechs
Monate eine Infektion mit Ransomware statt?
•
Ein Drittel (32%) aller befragten Institutionen war in
den letzten 6 Monaten von Ransomware betroffen
•
29% der Betroffenen waren das Ziel von mehr als
einer Familie von Ransomware (Folie 7)
•
Aus dem Ergebnis (Folien 5, 6) wird deutlich, dass
Unternehmen aller Größenordnungen von
Ransomware betroffen sind
68%
32%
Ja
Nein
Frage 1 | Basis: n = 592, Pflichtfrage
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 4
Fand in Ihrer Institution innerhalb der letzten sechs
Monate eine Infektion mit Ransomware statt?
Ergebnis aufgeschlüsselt nach Mitarbeiterzahl der Institutionen
200
Anzahl der Institutionen
180
160
140
120
100
149
80
84
60
74
62
44
54
250 bis 999
1.000 bis 10.000
40
20
0
28
32
1 bis 49
50 bis 249
Anzahl der Mitarbeiter*innen
Ja, die Institution war betroffen
13
27
10.000+
Nein, die Institution war nicht betroffen
Frage 1 | Basis: n = 592; keine Angabe zur Mitarbeiterzahl = 25, davon 5 betroffen / 20 nicht betroffen
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 5
Fand in Ihrer Institution innerhalb der letzten sechs
Monate eine Infektion mit Ransomware statt?
%-Anteil an der jeweiligen Größengruppe
Ergebnis aufgeschlüsselt nach Mitarbeiterzahl der Institutionen, %-Anteil bezogen auf die jeweilige Größengruppe
100%
90%
13
80%
70%
60%
149
84
62
74
50%
40%
27
30%
20%
10%
28
32
54
44
0%
1 bis 49
Anzahl der Mitarbeiter*innen
50 bis 249
250 bis 999
1.000 bis 10.000
Ja, die Institution war betroffen
10.000+
Nein, die Institution war nicht betroffen
Frage 1 | Basis: n = 592; keine Angabe zur Mitarbeiterzahl = 25, davon 5 betroffen / 20 nicht betroffen
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 6
Falls bekannt - von welcher bzw. welchen Ransomware-Variante(n)
war Ihre Institution betroffen?
Anzahl der Nennungen
Von den betroffenen Institutionen nannten … folgende Variante(n):
100
90
80
70
60
50
40
30
20
10
0
24
11
93
22
1
72
27
CryptoWall
CTB-Locker
Locky
Petya
Reveton
TeslaCrypt
Sonstige
• Diese Daten decken sich mit anderen, dem BSI vorliegenden Zahlen zur Bedrohungslage in Deutschland
• Insgesamt 250 Nennungen: 22% waren von 2 Typen, 7% von 3 oder mehr Typen von Ransomware betroffen
Frage 2 | Basis: n = 190 (betroffene Institutionen), keine Angabe = 2, Mehrfachauswahl war möglich
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 7
Falls bekannt - auf welchem Weg hat bzw. welchen Wegen
haben die Infektion(en) stattgefunden?
Von den betroffenen Institutionen nannten … folgende Vektore(n):
180
Anzahl der Nennungen
160
140
120
100
80
60
40
20
0
156
36
3
14
E-Mail Anhang
Drive-by Angriff
Hacking
Sonstige
Frage 2b | Basis: n = 190 (betroffene Institutionen), keine Angabe = 9, Mehrfachauswahl war möglich
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 8
Folgen der Ransomware-Infektionen
Welche betrieblichen Auswirkungen hatte die Infektion
mit Ransomware auf Ihre Institution?
Von den betroffenen Institutionen nannten … folgende Auswirkung(en):
Ausfall einzelner Arbeitsplätze ohne erhebliche Auswirkungen
133
Erheblicher Teile der IT-Infrastruktur ausgefallen
42
Erhebliche Teile der IT-Infrastruktur präventiv abgeschaltet
42
Erheblicher Ausfall von Produktion / Dienstleistungen
23
Verlust wichtiger Daten, nicht wiederherstellbar
21
Einschränkungen wurden kurzfristig behoben (< 48h)
111
Einschränkungen dauerten länger als 48 Stunden an
35
Vorfall gefährdet(e) die wirtschaftliche Existenz
4
0
25
50
75
100
125
150
Frage 3 | Basis: n = 190 (betroffene Institutionen), keine Angabe = 3, Mehrfachauswahl war möglich
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 10
Hat Ihre Institution ein Lösegeld gezahlt? Falls ja - wie hoch war das Lösegeld und
wurden die verschlüsselten Daten anschließend durch die Erpresser entschlüsselt?
2%
3%
•
95,3% (181) der betroffenen Institutionen sind nicht
auf die Lösegeldforderung eingegangen
•
2,1% (4) haben Lösegeld gezahlt, davon in
95%
•
Keine Angabe
Ja, gezahlt
•
2 Fällen zwischen 200€ bis 1.000€ mit anschließender
Entschlüsselung der Daten
•
2 Fällen ohne Angabe der Höhe mit anschließender
Entschlüsselung der Daten
2,6% (5) machten keine Angaben zu dieser Frage
Nein, nicht gezahlt
Frage 4 | Basis: n = 190 (betroffene Institutionen)
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 11
Hat Ihre Institution Strafanzeige gestellt?
•
18%
Nur wenige der Betroffenen (18%) haben
Strafanzeige gestellt
2%
Keine Angabe
80%
Ja, es wurde Strafanzeige gestellt
Nein, von einer Strafanzeige wurde abgesehen
Frage 5 | Basis: n = 190 (betroffene Institutionen)
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 12
Bewertung der Bedrohungslage und
abgeleitete Maßnahmen
Wie bewerten Sie die Bedrohungslage durch
Ransomware für Ihre Institution?
60%
36%
•
Unabhängig von einer Betroffenheit schätzen 60% (358) der
Befragten, dass sich die Bedrohungslage durch Ransomware
für ihre Institution verschärft hat
•
Für 34% (199) hat sich die Bedrohungslage nicht verändert,
der Umgang mit Malware gehörte bereits zum Tagesgeschäft
•
Knapp 2% (11) gaben an, dass sich ihre Bewertung nicht
verändert habe, da die eigenen Geschäftsprozesse durch
Malware-Infektionen nicht bedroht werden
Frage 6 | Basis: n = 592, keine Angabe = 24 (4%)
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 14
Welche zusätzlichen Maßnahmen hat Ihre Institution
auf Basis dieser Bewertung (Frage 6) ergriffen?
Von allen befragten Institutionen nannten … folgende zusätzliche Maßnahmen:
Sensibilisierung von Mitarbeiter*innen zu Ransomware
448
Anti-Spam und Filterung von Daten an Netzübergängen
244
AntiVirus auf Clients und Servern
233
Sicherstellung aktueller Backups wichtiger Daten
222
Absicherung von / sichere Internet-Browser
123
keine zusätzlichen Maßnahmen
59
0
50
100
150
200
250
300
350
400
450
Frage 6b | Basis: n = 592, keine Angabe = 27, Mehrfachauswahl war möglich
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 15
Angaben zum Teilnehmerfeld
Wie viele Mitarbeiter/innen beschäftigt Ihre Institution?
200
180
29,9%
Anzahl der Institutionen
160
140
19,6%
120
19,9%
19,6%
100
80
60
6,8%
40
4,2%
20
0
1 bis 49
50 bis 249
250 bis 999
1.000 bis 10.000
über 10.000
keine Angabe
Mitarbeiter*innen
Frage 7 | Basis: n = 592
Bundesamt für Sicherheit in der Informationstechnik | Ergebnisse der Umfrage zur Betroffenheit durch Ransomware – 04/2016 | 26.04.2016 | Seite 17