Wie man mit Ransomware-Banden verhandelt
Wenn ein Unternehmen von Ransomware betroffen ist, kann das Verhandeln mit Cyberkriminellen Zeit sparen oder das Lösegeld senken. Allerdings muss man dazu alle Karten in der Hand halten. Ein Bericht der Cybersicherheitsforschenden von Fox-IT zeigt, wie man dabei vorgehen sollte.
Immer mehr Unternehmen werden zum Ziel von Ransomware-Angriffen. Zwischen August 2020 und August 2021 wurden bei fast 2700 Schweizer Firmen Daten verschlüsselt, gestohlen und dann im Darknet offengelegt. Dabei sind die vermutlich zahlreichen Firmen, die Lösegeld für den Schlüssel zur Entschlüsselung ihrer Daten gezahlt haben, noch nicht berücksichtigt.
Cybersicherheitsexperten und -expertinnen, Regierungsbehörden und Versicherungen raten alle davon ab, sich auf Gespräche mit den Urhebern solcher Angriffe einzulassen. Davon abgesehen kann die Zahlung des Lösegelds je nach Höhe der geforderten Summe in manchen Fällen zu geringeren Verlusten führen. Die Cybersicherheitsforschenden von Fox-IT (Teil der NCC Group) haben in einem Bericht festgestellt, dass sich die Kriminellen dieser Tatsache sehr wohl bewusst sind. Um sich von der Sinnhaftigkeit von Verhandlungen zu überzeugen, werden viele betroffene Unternehmen die Kosten für die Wiederherstellung der Daten und den Neustart der Dienste sowie die Entschädigung der betroffenen Kunden gegeneinander abwägen. Nicht zu vergessen sind die möglichen Bussgelder, die von den Behörden wegen des mangelnden Schutzes personenbezogener Daten verhängt werden können.
Die Fox-IT-Studie basiert auf Daten von mehr als 700 Verhandlungen zwischen Hackern und Opfern und beleuchtet die Verhandlungsstrategien der Angreifer und gibt eine Reihe von Ratschlägen für Unternehmen, die sich zu einer Verhandlung entschliessen.
Vorbereitung auf Verhandlungen
Unternehmen sollten sich bereits vor der Aufnahme des Dialogs über ihre Ziele im Klaren sein, um möglichst viele Karten in der Hand zu haben. Soll der Dialog aufgenommen werden, um Zeit zu gewinnen und den Umfang der Massnahmen zur Wiederherstellung der Dienste zu bestimmen, oder soll das Lösegeld heruntergehandelt werden? Und wie viel kann sich das Unternehmen im letzteren Fall leisten? Ausserdem ist es ratsam, die Details einer möglichen Cyberversicherung zu kennen und sich über die Angreifer und die von ihnen verwendete Verschlüsselungssoftware zu informieren.
Ein respektvoller Ton
Einmal in den Verhandlungen angekommen, stellten die Forschenden von Fox-IT fest, dass ein respektvoller Tonfall manchmal helfen kann, die Höhe des Lösegelds herunterzuhandeln. "Betrachten Sie die durch Ransomware verursachte Krise als eine geschäftliche Transaktion", schlagen die Autoren und Autorinnen des Berichts vor. Ausserdem sollte man nicht zögern, die Cyberkriminellen um eine Fristverlängerung zu bitten, die sie in manchen Fällen auch akzeptieren. Zum Beispiel, indem man ihnen mitteilt, dass Verantwortliche innerhalb des Unternehmens eine Entscheidung hinauszögern. Oder dass der Kauf von Kryptowährung zur Zahlung des Lösegelds mehr Zeit in Anspruch nehmen wird.
Weniger anbieten, das dafür schneller geliefert ist
Es kann auch hilfreich sein, sich vor Augen zu halten, dass Cyber-Erpresser gerne schnell einen Deal abschliessen, um sich ihrem nächsten Ziel zuzuwenden. Eine nicht unerhebliche Senkung des Lösegelds würde oft dadurch erreicht, dass man anbietet, sofort nur einen Teil des geforderten Betrags zu zahlen. Dieses Angebot könnte für Cyberkriminelle noch verlockender sein, wenn sie glauben, dass das Unternehmen einfach nicht in der Lage ist, den geforderten Betrag zu zahlen. "Eine der wirksamsten Strategien besteht darin, den Gegner davon zu überzeugen, dass Ihre finanzielle Situation es Ihnen nicht erlaubt, das ursprünglich geforderte Lösegeld zu zahlen", betonen die Forschenden von Fox-IT.
Den Abschluss einer Cyberversicherung verheimlichen
Der Abschluss einer Cyberversicherung, die das Lösegeld abdeckt (eine kritisierte Praxis), kann Unternehmen dazu veranlassen, den Forderungen der Hacker schnell nachzugeben. Um jedoch einen Vorteil aus den Verhandlungen mit den Angreifern zu ziehen, dürfen diese auf keinen Fall von der Existenz einer solchen Deckung wissen. Daher sollte man auf keinen Fall die Unterlagen zu dieser Versicherung auf zugänglichen Servern speichern.
Der gesamte Bericht von Fox-IT kann hier nachgelesen werden.
Nicht jede Cyberversicherung in der Schweiz deckt Lösegeldzahlungen ab. Erfahren Sie hier mehr dazu, wie Schweizer Versicherer mit Ransomware-Opfern umgehen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.