„Ich spreche nicht mit Kriminellen!“ – Das ist wohl der erste Gedanke vieler Menschen, wenn es um die Kommunikation bei einem Cyberangriff durch eine ransomware geht. Doch warum könnte es in bestimmten Fällen dennoch sinnvoll sein, und welche wichtigen Erkenntnisse lassen sich aus solchen Verhandlungen ziehen?
Hier sind drei zentrale Erkenntnisse, warum Verhandlungen sinnvoll sind:
Identifizierung des Angreifertyps
Die Art und Weise, wie Angreifer auf deine Nachrichten reagieren, gibt wertvolle Hinweise auf ihre Professionalität:
- Schnelle und konkrete Antworten deuten auf eine erfahrene, organisierte Angreifergruppe hin.
Unklare oder unprofessionelle Reaktionen können darauf hindeuten, dass Du es mit unerfahrenen Nachahmern oder Drittbrettfahrern zu tun hast. Ein besseres Verständnis der Gegenseite hilft, die Risiken und das weitere Vorgehen besser einzuschätzen.
Einfluss auf die Höhe des Lösegelds
- Die Kommunikation mit den Angreifern hat auch einen praktischen Nutzen: Ohne Kontakt droht eine Erhöhung der Lösegeldsumme.
- Häufig verdoppelt sich die geforderte Summe, wenn innerhalb von 48 Stunden keine Reaktion erfolgt.
Das heißt, auch wenn keine Zahlung geplant ist, kann eine Reaktion schon aus taktischen Gründen sinnvoll sein.
Rückschlüsse auf die Herkunft der Angreifer
Anhand der Antwortzeiten kann grob abgeschätzt werden, in welcher Zeitzone die Gruppe aktiv ist.
- Diese Information kann Hinweise darauf geben, wo die Daten möglicherweise gespeichert oder weiterverarbeitet wurden.
Solche Erkenntnisse sind nicht nur für die Ermittlung, sondern auch für die Einschätzung des Bedrohungspotenzials wichtig.
Zahlen oder nicht zahlen?
Eine strategische Entscheidung
Die Zahlung von Lösegeld ist immer der letzte Ausweg – und doch nutzen viele Unternehmen diese Option. Laut dem Cybercrime Bundeslagebild 2023 des BKA wurden allein im Jahr 2023 weltweit über 1,1 Milliarden US-Dollar Lösegeld gezahlt (Quelle).
Bevor sich ein Unternehmen jedoch auf Verhandlungen einlässt, sollten folgende Fragen geklärt werden:
Wofür wird das Lösegeld gezahlt?
Geht es um die Entschlüsselung der Daten oder um die Verhinderung der Veröffentlichung im Dark Web?
Dies sollte im Rahmen der Notfallplanung mit der Geschäftsführung geklärt werden, ggf. übernimmt auch eine Cyberversicherung die Zahlungen.
Übernimmt eventuell eine Cyber-Versicherung die Kosten?
Wenn du ein funktionierendes Backup hast, brauchst du deine Daten nicht entschlüsseln zu lassen.
Was aber, wenn sensible Daten wie Kunden- oder Personaldaten im Dark Web veröffentlicht werden könnten?
In solchen Fällen stellt sich die Frage: „Zahlen oder nicht zahlen?
Die Antwort hängt von den konkreten Umständen ab – und von der Bereitschaft, ein gewisses Restrisiko einzugehen.
Wie sicher ist eine Lösegeldzahlung?
Wenn nicht, muss man zahlen! Aber wie sicher ist das? So sicher, wie man sich bei solchen Verhandlungen nur sein kann, nämlich unsicher.
Die Daten werden in der Regel von den Angreifern nachweislich durch ein Löschprotokoll vernichtet, sonst würden sie sich ja ihrer eigenen Geschäftsgrundlage berauben. Aber sind die Daten wirklich für immer weg oder tauchen sie in ein paar Jahren irgendwo wieder auf? We will see 🙂
Wichtige Schritte vor der Lösegeldzahlung
Sollte eine Lösegeldzahlung unumgänglich sein, gibt es einige wichtige Punkte zu beachten:
Überprüfung der Entschlüsselungsmöglichkeit
- Bitte die Angreifer, eine oder mehrere Dateien zu entschlüsseln, deren Inhalt dir bekannt ist.
Wenn das zuverlässig funktioniert, ist die Wahrscheinlichkeit hoch, dass auch die restlichen Daten wiederhergestellt werden können.
Verhandle das Lösegeld
- Wie in jedem Geschäft versuchen Angreifer zunächst, den Preis möglichst hoch anzusetzen.
Durch geschicktes Verhandeln lässt sich die Summe oft senken.
Echte Beispiele?
Wer sich selbst ein Bild vom Verlauf der Verhandlungen machen möchte, findet auf ransomware.live viele solcher Beispiele. Dort kann man sehen, welche Summen ursprünglich gefordert wurden und wie groß der Spielraum der Angreifer ist. Interessant ist auch, dass die Verhandlungen immer in einer festen Hierarchie ablaufen und es sich nicht nur um ein paar Leute handelt, sondern um echte profitorientierte Unternehmen.