Wenn Kriminelle die IT-Systeme eines Unternehmens lahmlegen und für die Freigabe der Daten Lösegeld fordern, beginnt ein Wettlauf gegen die Zeit. Doch was passiert eigentlich hinter den Kulissen eines Ransomware-Angriffes? Wie läuft eine Hacker-Verhandlung und die Kommunikation ab? Und sollte man überhaupt das Lösegeld zahlen?
Wir haben mit einem erfahrenen Ransomware-Verhandler gesprochen, der regelmäßig mit Cyberkriminellen kommuniziert, um den Schaden für betroffene Unternehmen zu minimieren. Im Interview gibt er Einblicke in einen Beruf, der zwischen technischer Expertise und psychologischem Geschick angesiedelt ist. Er erklärt, nach welchen ungeschriebenen Regeln die Angreifer vorgehen, welche Risiken eine Zahlung birgt – und was Unternehmen tun können, um gar nicht erst in diese Situation zu geraten.
Sie verhandeln mit Ransomware-Gruppen – was passiert dabei konkret? Wie kann man sich eine Verhandlung vorstellen?
Verhandlungen mit Ransomware-Gruppen sind ein strukturierter, aber auch manchmal angespannter Prozess, der meist über verschlüsselte Kanäle wie E-Mail oder Darknet-Portale läuft. Als Verhandler nehme ich Kontakt mit den Kriminellen auf, kläre, welche Daten verschlüsselt oder gestohlen wurden und wie hoch die Forderung ist, und versuche, die Summe durch taktische Kommunikation zu senken, etwa indem ich finanzielle Grenzen betone. Die Verhandlungen können Tage oder Wochen dauern, da die Angreifer Druck durch Fristen oder Drohungen wie Datenveröffentlichung ausüben. Gleichzeitig arbeiten wir eng mit den Forensikern zusammen, die an der Wiederstellung der IT arbeiten. Letztlich ist es das Ziel, eine Zahlung zu vermeiden. Erst, wenn dieses Ziel nicht erreichbar ist, versucht man die Schadensminimierung. Wenn es zu einer Zahlung kommt, erfolgt die immer in Kryptowährungen.
Zur Person:
Axel Wochinger war Offizier beim Österreichischen Bundesheer. Nach seinem Wechsel in die private Sicherheitsbranche unterstützte er Kund:innen in Hochrisikogebieten und hat Projekte in Ländern wie Afghanistan, Pakistan, Nigeria, Syrien und Südsudan durchgeführt. Er ist seit 2017 bei Result Group und wurde im Mai 2021 zum Geschäftsführer bestellt.
Gibt es dabei so etwas wie „Regeln“ oder „Spielregeln“, nach denen die Kriminellen vorgehen?
Es gibt informelle „Spielregeln“, die je nach Ransomware Gruppe variieren. Hier zählt dann die Erfahrung der Verhandler. Viele der bekannten Gruppen halten sich unserer Erfahrung nach an Absprachen, etwa durch Lieferung funktionierender Schlüssel, um ihren „Ruf“ zu wahren und zukünftige Zahlungen zu sichern. Es wird aber natürlich auch mit Fristsetzungen und Drohungen gearbeitet, um Druck aufzubauen. Was die Höhe der Forderung betrifft, besteht meist eine Verhandlungsbereitschaft.
Wie gefährlich ist es, mit solchen Gruppen zu kommunizieren?
Die Kommunikation an sich ist nicht gefährlich – allerdings kann man viel falsch machen und sich dadurch zusätzlichen Folgen des Angriffs aussetzen bzw. den Schaden noch verschlimmern. Daher raten wir auch zu einer professionellen Verhandlungsführung und Täterkommunikation.
Welche Folgen hat es, wenn man das geforderte Lösegeld zahlt – und was passiert, wenn man es nicht tut?
Zahlt man das Lösegeld, so erhält man je nach Verhandlungsergebnis einen Schlüssel und/oder verhindert die Veröffentlichung bzw. den Verkauf abgeflossener Daten. Wie oben gesagt, die Vereinbarungen werden eigentlich fast immer eingehalten. Bei Nichtzahlung erhält das Unternehmen keine Entschlüsselung. Kann das Unternehmen also aus seinen Back-ups die Daten nicht mehr wiederherstellen, so fängt das Unternehmen bei 0 an und erleidet eine massive Betriebsunterbrechung. Dadurch sind Betriebe auch schon wirtschaftlich ruiniert worden. Außerdem kommt es dann in der Regel zur Veröffentlichung der abgeflossenen Daten auf einer sogenannten „Shame Page“, was wiederum, abhängig von der Art der Daten, problematisch sein kann. Die Überlegung zur Zahlung eines Lösegelds folgt somit der Abwägung von wirtschaftlichem Schaden der Nichtzahlung vs. den Kosten einer Zahlung. Wir beraten unsere Mandanten auch in dieser Frage und legen gemeinsam die Verhandlungsstrategie fest.
Prävention ist entscheidend, um das Risiko Opfer eines Ransomware-Angriffs zu minimieren.
Axel Wochinger
Was raten Sie Menschen oder Firmen, um sich vor Ransomware-Angriffen zu schützen?
Unternehmen sollten regelmäßige, offline gespeicherte und getestete Back-ups vorhalten, aktuelle Antiviren-Software, Patches und Firewalls einsetzen sowie Mitarbeitendenschulungen gegen Phishing durchführen. Netzwerksegmentierung, Multi-Faktor-Authentifizierung und starke Passwörter erhöhen die Sicherheit. Größere Unternehmen sollten auch einen Incident-Response-Plan erstellen und die Abläufe in einem solchen Fall üben. Eine Cyber-Versicherung kann sinnvoll sein, um den wirtschaftlichen Schaden eines solchen Angriffs zu reduzieren – allerdings sind die Prämien oft hoch und manche Unternehmen gar nicht versicherbar. Prävention ist entscheidend, um das Risiko Opfer eines Ransomware-Angriffs zu minimieren.
Das Gespräch zeigt deutlich: Ransomware-Angriffe sind längst keine abstrakte Bedrohung mehr, sondern eine reale Gefahr für Unternehmen jeder Größe. Doch so professionell die Verhandlungsführung auch sein mag: Die Entscheidung, ob man Lösegeld zahlt oder nicht, bleibt eine Abwägung zwischen wirtschaftlichem Ruin und ethischen Bedenken. Denn jede Zahlung finanziert kriminelle Strukturen weiter und macht Unternehmen potenziell zu wiederkehrenden Zielen.
Umso wichtiger ist die zentrale Botschaft unseres Experten: Prävention ist der beste Schutz. Regelmäßige Back-ups, geschulte Mitarbeitende, aktuelle Sicherheitssysteme und durchdachte Notfallpläne können im Ernstfall den Unterschied zwischen einer beherrschbaren Krise und der Existenzbedrohung ausmachen. Denn die beste Verhandlung ist die, die nie stattfinden muss.
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
