Unternehmen zahlen mitunter Millionen Euro nach einem Cyberangriff, der Computer lahmlegt. Das Cybersicherheitsunternehmen Northwave verhandelt im Auftrag von gehackten Unternehmen die Lösegeldsumme. „Wir sehen es als allerletzte Option und tun es schweren Herzens“, sagt der kaufmännische Leiter Marc de Jong Luneau.
Von Rütger OttoDas Zahnarztunternehmen Colosseum Dental ist das jüngste Beispiel für ein gehacktes Unternehmen, das ein Lösegeld gezahlt hat. Letzte Woche überwies das Unternehmen mehr als 2 Millionen Euro in Kryptowährung an Cyberkriminelle. Dadurch wurden die Geiselcomputer freigelassen. Es musste auch verhindern, dass Kriminelle die gestohlenen Patientendaten veröffentlichen.
Das Mantra in der Welt der Cybersicherheit lautet, niemals nach einem Ransomware-Angriff zu bezahlen. Aber das sei nicht immer realistisch, sagt De Jong Luneau. „In manchen Situationen ist es die einzige Option, die ein Kunde hat.“
Dave Maasland, Direktor des Cybersicherheitsunternehmens ESET Niederlande, ist wie De Jong Luneau nicht dafür, nach einem Angriff zu zahlen. Aber er versteht, dass es als letztes Mittel verwendet wird.
„Unternehmen sehen in der Bezahlung manchmal einen Weg, um schnell mit ihrer Arbeit voranzukommen. Aber so funktioniert es einfach nicht. Es ist nicht so, dass wir die Radkralle vom Auto entfernen und wieder fahren können. Andererseits manchmal Sie haben wirklich keine andere Wahl: Dann müssen Sie zahlen oder die Firma bricht zusammen und es stehen zweitausend Mitarbeiter auf der Straße.“
Northwave ist eine der wenigen Organisationen, die gehackten Unternehmen hilft, mit Cyberkriminellen zu verhandeln. „Manchmal gibt es keine andere Möglichkeit als zu bezahlen“, sagt De Jong Luneau. „Zum Beispiel, wenn es kein Backup von verschlüsselten Dateien gibt und das Unternehmen monatelang stillgelegt ist. Dann ist es manchmal weniger schädlich, einfach zu bezahlen.“
Kontakt mit kriminellem Kundenservice
Kriminelle verschlüsseln nicht nur Computer, sondern stehlen auch Daten. Sie drohen damit, es zu veröffentlichen, wenn Organisationen nicht zahlen. „Wenn es um Kundendaten oder Patientenakten geht, gibt es oft keine andere Wahl. Unternehmen tragen die Verantwortung für diese Daten.“
Kriminelle hinterlassen eine Nachricht auf Computern, die als Geiseln gehalten werden. Es sagt Ihnen, wie Sie sie erreichen können. Verhandlungsführer landen dann bei einer Art kriminellem Kundenservice. Dann erfolgt der Kontakt über eine anonymisierte E-Mail-Adresse oder eine Chat-Umgebung.
„Wir sprechen immer im Namen des betroffenen Kunden mit einem Kriminellen“, sagt De Jong Luneau. Spezialisten für Verhandlungen und Psychologie arbeiten bei Northwave, um dabei zu helfen.
Während der Gespräche werden so viele Informationen wie möglich von den Hackern gesammelt. Haben die Kriminellen tatsächlich die Schlüssel? Welche Informationen haben sie gestohlen? Mit diesen Ergebnissen gehen die Experten zurück zum Kunden, um die Optionen zu besprechen.
Nachweis erforderlich, aber keine Garantie
Die Höhe des geforderten Lösegeldes ist keine Frage der Vermutung. Kriminelle suchen nach Finanzinformationen des Unternehmens und wollen dann einen Prozentsatz des Umsatzes. Das sind oft rund 2 Prozent, sagt De Jong Luneau.
„Wir versuchen, diesen Betrag so gering wie möglich zu halten“, sagt er. „Unternehmen können nicht einfach Millionen zahlen und das kann man manchmal nachweisen. Auch die Kriminellen haben etwas zu verlieren. Sie haben nicht nur die Malware von anderen Kriminellen gekauft und müssen diese Kosten wieder hereinholen. Die Leute vom ‚Kundendienst‘ auch einfach haben ein Ziel, das nach der Anzahl der Bitcoins abgerechnet wird, die sie einbringen.“
Die Hacker müssen erst Beweise erbringen, bevor Unternehmen bezahlen. Sie müssen nachweisen, dass sie tatsächlich Systeme öffnen können, indem sie beispielsweise einige Dateien entschlüsseln. Auch Cyberkriminelle müssen nachweisen, dass sie gestohlene Dateien vernichten. Aber ein bisschen Vertrauen gehört dann doch dazu. Denn es gibt keine Garantie, dass Kriminelle keine Kopien anfertigen oder heimlich weiterverkaufen.
„Jede Ransomware-Gruppe ist für uns erkennbar, sie arbeitet unter ihrem eigenen ‚Markennamen‘ und hat spezifische Arbeitsmethoden“, sagt De Jong Luneau. „Und Cybersecurity-Unternehmen stehen in engem Kontakt miteinander. Wenn sich herausstellt, dass eine Bande nicht zuverlässig ist, dann weiß jeder, dass sie schlechte Geschäfte macht. Das nützt auch Kriminellen nichts.“
Daten anders speichern
Maasland sagt, Unternehmen sollten Daten grundsätzlich anders speichern. „Es muss anders gespeichert werden. Vielleicht extra verschlüsselt, physisch in einem Tresor oder nur für bestimmte Personen zugänglich.“
De Jong Luneau stimmt zu. „Sicherheit ist eine Daueraufgabe. Cyberkriminelle finden immer neue Angriffsmöglichkeiten. Auch der Umgang von Organisationen mit Daten ändert sich von Zeit zu Zeit. Organisationen, die sich angemessen schützen wollen, sollten daher eine permanente Qualitätskontrolle zur Cybersicherheit einrichten.“