Lösegeldzahlungen nach Cyberangriffen: Wer zahlt, verliert doppelt

Donnerstag, 22. September 2022
Blog

Die Anzahl der Ransomware-Angriffe steigt täglich. Erfahren Sie, welche Maßnahmen Sie ergreifen können, um sich vor Cyberattacken zu schützen.

Beinahe täglich ist in den Medien über neue Cyberattacken zu lesen, bei denen die Angreifer auf den Computern oder im Netzwerk der Opfer sogenannte Ransomware installieren, wodurch Dateien, Laufwerke oder das gesamte Netzwerk verschlüsselt werden und der Benutzer damit keinen Zugang mehr auf Anwendungen, Daten oder seine E-Mails hat.

Über Fehler bzw. Versäumnisse beim Datenschutz, der Durchführung regelmäßiger Backups, dem Virenschutz oder einem nachlässigen Patch-Management im Nachhinein zu diskutieren, ist ziemlich müßig, wenn denn der Schaden bereits entstanden ist. Denn ein solcher Ransomware-Angriff kann schnell eine sehr teure Angelegenheit werden und geht weit über die in der Regel von den Erpressern geforderte Lösegeldsumme hinaus.

Warum Sie diese – trotz der Folgen eines solchen Hackerangriffs – auf keinen Fall zahlen sollten, welche Maßnahmen Sie bereits im Vorfeld ergreifen können und wie Sie sich im IT-Notfall verhalten, erfahren Sie in diesem Beitrag.

Was genau ist ein Ransomware-Angriff

Bei Ransomware handelt es sich um Schadsoftware, die von Cyberkriminellen in Ihr Netzwerk eingeschleust wird und sich anschließend illegal auf Computern oder Rechnern im Netzwerk installiert.

Bei der Schadsoftware kann unterschieden werden zwischen Verschlüsselungssoftware und Blockadesoftware. Im ersten Fall verschlüsselt das Schadprogramm ihre Daten oder Programme, so dass sie auf diese nicht mehr zugreifen können. Im zweiten Fall wird der Zugriff auf Computer oder andere Hardware komplett blockiert, d.h. sie haben darauf keinen Zugriff mehr.

In beiden Fällen fordern die Erpresser vom Angriffsopfer ein Lösegeld (meist in Form einer Kryptowährung) im Austausch mit einem Entschlüsselungs-Key.  Deshalb spricht man im Zusammenhang mit Ransomware oft auch von Erpressungssoftware, Erpressungstrojaner oder auch Kryptotrojaner.

Wie läuft ein solcher Angriff in der Regel ab?

Ransomware gelangt meist über den gleichen Weg auf den Rechner von Anwendern, wie andere Computerviren auch. Ein häufiger Weg der Verbreitung sind Anhänge an E-Mails (z.B. ZIP-, EXE- oder PDF-Dateien), zu deren Öffnen der Empfänger aufgefordert wird. Tut er das, installiert sich die Ransomware auf dem Rechner und das Gerät ist infiziert.

Andere Wege sind z.B. schlecht gesicherte Wordpress-Installationen, auf denen die Schadsoftware installiert wird und dann über Schwachstellen im Internetbrowser oder bei Apps in das System des Opfers eindringt. Aber auch Cloud-Anwendungen sind häufig sehr anfällig für derartige Angriffe.

Welche Kosten – neben der Lösegeldzahlung – drohen noch?

Neben der eigentlichen Lösegeldzahlung, die bei wenigen hundert Euro bis in den hohen sechsstelligen Eurobereich liegen kann und oft in Form einer Kryptowährung (z.B. Bitcoin, Ether) gefordert wird, drohen Betroffenen viele weitere hohe Kosten aus dem Ransomware-Angriff, die durchaus auch die Existenz eines Unternehmens bedrohen können.

Wie der Branchenverband Bitkom in einer Studie feststellt, haben die Schäden durch Ransomware von 2019 bis 2021 im Schnitt um 358 Prozent zugenommen und die Lösegeldzahlung ist oft nur ein kleiner Teil der gesamten Schadenssumme. Viel höher sind die Kosten für Ausfallzeiten, in denen Betroffene versuchen müssen, ihre Systeme wiederherzustellen und Betriebsprozesse wieder zum Laufen zu bringen. In dieser Zeit können häufig Angestellte nur eingeschränkt arbeiten und automatisch gesteuerte Produktionsprozesse und Anlagen stehen still.

Durch die Betriebsunterbrechung drohen nicht nur Produktionsausfälle, oft sind auch Online-Shops vom Angriff betroffen, so dass Produkte oder Dienstleistungen gar nicht erst verkauft werden können.

Langfristig große Schäden entstehen auch durch Reputationsverluste, wenn beispielsweise Kunden das Vertrauen in die angegriffene Firma verlieren und ihre bereitgestellten Daten – hier vor allem Konto- und Zahlungsinformationen – nicht als ausreichend geschützt betrachten (und deshalb zukünftig nicht mehr bestellen). Häufig erfordert das nachgelagert zusätzliche Marketingaufwendungen, um durch geeignete PR-Maßnahmen Vertrauen wieder aufzubauen, verloren gegangene Kunden wieder zurückzugewinnen oder neue zum Kauf von Produkten oder Dienstleistungen zu überzeugen.  

Warum Sie auf keinen Fall Lösegeld an die Erpresser zahlen sollten!

Trotz der im vorherigen Punkt beschriebenen Kosten und negativen Auswirkungen, die ein Ransomware-Angriff in der Regel verursacht, ist meist die schlechteste aller Optionen, Lösegeld an die Erpresser zu zahlen. Denn Sie verlieren sie in der Regel gleich mehrfach: Zum einen in Form des tatsächlich gezahlten Lösegeldes und zum anderen, indem sie sich als bereitwillig zahlendes Opfer zu erkennen geben und möglicherweise schon bald Opfer des nächsten Angriffes sind. Denn die Erpresser kennen jetzt ihre Schwachstellen und warum sollten sie es nicht nochmal versuchen?

Außerdem können Sie nicht sicher sein, dass die Erpresser Ihnen nach der Zahlung auch wie versprochen den Key zur Entschlüsselung ihrer Daten geben. Denn es handelt sich um Kriminelle, die irgendwo aus dem Ausland agieren und für die ethische Grundsätze kein Maßstab sind.

Und selbst wenn Sie nach dem Angriff alle erdenklichen Schutzmaßnahmen umsetzen, werden es die Angreifer trotzdem weiter probieren, denn schließlich belohnen die Opfer durch die Lösegeldzahlung die Aktivitäten der Cyberkriminellen und liefern diesen Argumente für die nächsten Angriffe.

Ein wichtiger Punkt sind auch hier Reputationsverluste, falls die Zahlung bekannt werden sollte. Das dürfte sowohl bei Kunden und Lieferanten negativ aufgenommen und auch entsprechend von der Konkurrenz registriert werden.

Nicht zu vernachlässigen sind auch die rechtlichen und vertraglichen Risiken, die Sie mit der Lösegeldzahlung eingehen. Zum einen können Sie gegen Vereinbarungen mit Zulieferern oder Kunden verstoßen, wenn z.B. Compliance-Vereinbarungen durch die Lösegeldzahlung nicht eingehalten werden.

Zum anderen besteht sogar die Gefahr, dass bei der Zahlung von Lösegeld aufgrund eines Ransomware-Angriffs gegen Sanktionen oder Embargos verstoßen wird, falls der Erpresser auf einer Sanktionsliste steht, wie das US-Finanzministerium explizit in seinem Schreiben aus dem Jahr 2020 feststellt.

Grundsätzlich bleibt also festzuhalten: Wer das Lösegeld zahlt, hat verloren! Egal, ob er wieder Zugriff auf seine Daten erhält oder nicht.

Welche Maßnahmen Sie bereits im Vorfeld ergreifen können

Eine der wichtigsten Maßnahmen (wenn nicht DIE wichtigste), die Sie im Vorfeld ergreifen müssen, sind regelmäßig durchgeführte Backups. Im Falle eines Angriffs mit der Verschlüsselung all Ihrer Unternehmensdaten sind Sie damit in der Lage, mit dem kleinstmöglichen Datenverlust Ihre Datenbasis wiederherzustellen und den Geschäftsbetrieb aufrecht zu erhalten bzw. wieder herzustellen.

Außerdem sollten Sie über einen regelmäßig aktualisierten Notfallplan verfügen, mit dem Sie in der Lage sind, auf Bedrohungen schnell zu reagieren und die Geschäftskontinuität zu gewährleisten (Business-Continuity- oder Business-Recovery-Plan). Einmal jährlich sollten Sie diesen Notfallplan auch auf Funktionsfähigkeit testen.

Ganz wichtig ist es auch, regelmäßig alle Mitarbeiter zu schulen, so dass z.B. auffällige Dateianhänge nicht leichtfertig geöffnet oder nicht sichere Websites nicht besucht werden. Zudem sollte es ein funktionierendes Regelwerk geben, dass alle Mitarbeiter hinsichtlich eines verantwortungsvollen Umgangs mit Dateien und Systemen sensibilisiert.

Ebenfalls elementar ist ein aktueller Virenschutz – vor allem für E-Mails – sowie eine funktionierende Anti-Phising-Software, so dass im optimalen Fall Phising-Mails gar nicht ankommen oder Websites mit potenzieller Schadsoftware nicht geöffnet werden können. Überwachen Sie zudem all Ihre Systeme hinsichtlich auffälliger Dateizugriffe.

Was Sie tun sollten, wenn Sie trotzdem betroffen sind?

Trotz aller getroffenen Vorsichtsmaßnahmen: eine 100-prozentige Sicherheit gibt es nicht. Wenn Sie also trotzdem Opfer eines Ransomware-Angriffs mit Lösegeldforderung sein sollten, dann gilt es Ruhe zu bewahren und die möglichen Auswirkungen auf IT-Infrastruktur, betroffene Daten und Systeme sowie den weiteren Betriebsablauf in Ihrem Unternehmen zu betrachten.

Dazu haben wir für Sie eine Übersicht über 12 Sofort-Maßnahmen erstellt. Sehen Sie diese als Anregung, um eine individuelle Vorgehensweise für Ihr Unternehmen zu finden. Die beigefügte Checkliste hilft Ihnen dabei, bei einem möglichen IT-Vorfall schnell und koordiniert zu reagieren.

Zum Download geht es HIER

Aktuelle Themen aus der Domainwelt