Wie man nach einer Ransomware-Attacke die Lösegeldforderung ablehnt

Mit mehr als 236 Millionen Ransomware-Angriffen in der ersten Jahreshälfte 2022 nehmen Umfang und Intensität der Angriffe zu und betreffen inzwischen fast jeden Wirtschaftszweig. Dies wird durch einen Zustrom neuer Ransomware-Hacker angetrieben, während die alteingesessen Kriminellen daran arbeiten, die Lösegeldforderung stark zu erhöhen.

Obwohl viele Unternehmen nach einem Angriff das Lösegeld zahlen, muss gesagt werden, dass dies keine Garantie nach sich zieht, die Daten zurückzuerhalten. Im Jahr 2022 haben 52 Prozent der Unternehmen weltweit wegen verschlüsselter Daten ein Lösegeld gezahlt und ihre Daten erfolgreich wiederherstellen können, doch jedes vierte Unternehmen, das gezahlt hat, konnte dies dennoch nicht. Infolgedessen ist die Debatte, ob man zahlen soll oder nicht, nach wie vor sehr hitzig. Während die einen Firmen zahlen, um schnell wieder zum Alltagsbetrieb zurückkehren zu können, sind andere fähig, die sich auf das Unvermeidliche – nämlich eine erfolgreiche Attacke – vorbereitet haben, ihre Daten auch ohne Zahlung wiederherzustellen.

Eigentlich müssten alle Unternehmen einen Punkt erreichen, an dem sie keine Angst mehr vor diesem Ereignis haben, weil sie die Zahlung verweigern können, da sie wissen, dass ihre Datensicherung gut genug, die Wiederherstellungszeit gering und der Datenverlust gleich null ist.

Bevor Organisationen diesen Punkt der Furchtlosigkeit erreichen können, müssen sie jedoch viele Schritte gehen. Zuerst müssen die Führungskräfte der IT verstehen, warum die Kriminellen überhaupt Forderungen stellen und worin deshalb die Gefahr eines schnellen «Ja» zur Erpressung besteht.

Im Grunde genommen haben die Verantwortlichen eben Angst vor Fehlern und versuchen, verschiedene schädliche Folgen zu vermeiden. Der Rufschaden ist ein wichtiger Faktor, ebenso wie die Sorge der Sicherheitsabteilungen um die Auswirkung auf ihre Arbeitsplätze. Dies veranlasst die Unternehmen dazu, Zahlungen zu leisten, in der Hoffnung, dass sie nicht in die Schlagzeilen geraten und die Attacke glimpflich ausgeht.

Zudem geben die von Ransomware-Kriminellen angewandten Methoden den Unternehmern oft das Gefühl, dass sie wirklich keine andere Wahl haben als zu bezahlen. Ransomware-Banden haben es auf Backups abgesehen und bringen Unternehmen in eine schwierige Lage: Obwohl diese ihre Daten gesichert haben, war es ein Teil des Angriffs, die Sicherung zu beschädigen. Wenn man sich in die Gedankenwelt eines Ransomware-Kriminellen hineinversetzt, kann man verstehen, warum er es auf Backups abgesehen hat – schliesslich sind es die wertvollsten, sensibelsten und geschäftskritischsten Daten, die vorrangig gesichert werden. Sie sind für das Funktionieren des Unternehmens von entscheidender Bedeutung und somit unverzichtbar, was die Angreifer wissen.

Wie erwähnt, bedeutet die Zahlung des Lösegelds nicht, dass die Daten erfolgreich wiederhergestellt werden können und der Fall abgeschlossen ist. Häufig löst die Zahlung des Lösegelds sogar eine Kettenreaktion aus: Wenn eine Firma auf die Lösegeldforderung eingeht, gibt sie den Angreifern zu verstehen, dass sie alles tut, was von ihr verlangt wird. Das führt dazu, dass sie weiter ausgebeutet wird. Nur etwa eines von vier Unternehmen wurde bislang lediglich einmal mit Ransomware angegriffen – zu den anderen kehrten die Angreifer zurück, um weitere Attacke zu starten und weitere Forderungen zu stellen. Dies wird als doppelte oder dreifache Erpressung bezeichnet.

Die doppelte Erpressung wird manchmal auch auf Englisch als name and shame extortion bezeichnet – auf Deutsch bedeutet das so viel wie der Begriff «anprangern» – was sehr deutlich macht, warum diese Masche eine grosse Bedrohung für Unternehmen darstellt und warum diese zahlen, um die Folgen zu vermeiden. Diese Art von Ransomware-Angriff beinhaltet hier nicht nur den Diebstahl und die Verschlüsselung von Daten, sondern auch deren Weitergabe. Die Angreifer erpressen ihre Ziele stärker, weil sie damit drohen, die gestohlenen Daten herzugeben, zum Beispiel an Konkurrenten.

Die dreifache Erpressung erhöht den Druck nochmal, weil zusätzlich ein DDoS-Angriff (Distributed Denial-of-Service) droht, wenn die Zahlung nicht rechtzeitig erfolgt. Geschieht dieser, können Unternehmer verzweifeln: Nicht nur die Daten wurden gestohlen und verschlüsselt und deren Veröffentlichung droht, sondern sie müssen mit der vollständigen Schliessung ihres Unternehmens rechnen, sollte der DDoS-Angriff erfolgreich sein.

Leider enden viele Erpressungen so, wie oben beschrieben, obwohl das Lösegeld gezahlt wurde. Der beste Weg, um dies zu vermeiden, ist eine gute Backup-Strategie, die stark genug ist, um «Nein» sagen und somit ablehnen zu können.