News
SPONSORED-POST Dossier in Kooperation mit G Data

Ransomware: Zahlen oder nicht zahlen?

Uhr
von Cornelia Lehle, Head of Sales DACH, G Data

Immer wieder machen Ransomware-Attacken Schlagzeilen und immer wieder erklären Fachleute, wie sich Unter­nehmen davor schützen können. Einer zentralen Frage wird dabei weniger Aufmerksamkeit geschenkt: Ist eine ­Lösegeldzahlung sinnvoll?

Cornelia Lehle, Head of Sales DACH, G Data. (Source: zVg)
Cornelia Lehle, Head of Sales DACH, G Data. (Source: zVg)

Seit mehr als 30 Jahren setzen Cyberkriminelle Ransomware ­(«Erpressersoftware») ein und nehmen Daten oder sogar ganze Systeme­ als Geiseln, bis Unternehmer auf die Lösegeldforderung eingehen. Eine häufig genutzte Taktik der Angreifer: Sie drohen, unternehmenskritische Daten zu veröffentlichen, wenn sie kein Lösegeld erhalten. Eine sogenannte «doppelte Erpressung». Leider ist nicht davon auszugehen, dass Ransomware-Angriffe verschwinden oder die Menschen aufhören, Zahlungen zu leisten.

Zu Risiken und Nebenwirkungen

Eine Lösegeldzahlung ist keine Garantie dafür, dass das angegriffene Unternehmen wieder Zugriff auf seine Daten erhält. Entweder gibt es kein Entschlüsselungstool oder die Kriminellen haben schlecht programmiert, sodass die Daten unrettbar verloren sind. Ein weiterer Grund, der gegen die Zahlung von Lösegeld spricht: Mit dem Geld finanzieren die attackierten Firmen kriminelle Gruppen. Aus Unternehmenssicht ist es verständlich, dass Führungskräfte eine Lösegeldzahlung in Betracht ziehen, damit das Unternehmen schnell wieder arbeitsfähig ist, um finanzielle Verluste minimal zu halten.

Die Entscheidung, auf eine Ransomware-Forderung einzugehen, sollte jedoch nicht leichtfertig fallen. Viele Faktoren sind dabei zu berücksichtigen, denn ein Ransomware-Angriff kann Wochen dauern. Möglicherweise sorgt die Attacke aus diesem Grund für einen erheblichen finanziellen Schaden, etwa durch den Produktionsausfall. Auch die Wiederherstellung der Systeme ist mit Kosten verbunden. Daher kann die Lösegeldzahlung die kostengünstigste Option sein, sodass sich viele Verantwortliche in Unternehmen dafür entscheiden. Firmen, die keine aktuellen oder funktionsfähigen Backups haben, müssen in der Regel zahlen oder den Betrieb einstellen.

Umfragen aus der Sicherheitsbranche belegen, dass zwischen 30 und 55 Prozent der betroffenen Unternehmen in solchen Fällen Lösegeld zahlen. Allerdings zeigen viele Unternehmen einen Ransomware-Angriff nicht bei der Polizei an. Der am häufigsten genannte Grund: Die Strafverfolgungsbehörden würden die Täter ohnehin nie erwischen. Genau hier liegt das Problem. Ransomware-­Attacken sind für Cyberkriminelle ein solides Geschäfts­modell und mit Kryptowährungen gibt es für die Erpresser den idealen Zahlungsweg, weil der Empfänger anonym bleiben kann.

Wie lässt sich das Ransomware-Problem lösen? Diese theoretischen Ansätze sind denkbar:

  • Kryptowährungen abschaffen oder deren Nutzung einschränken.

  • Ransomware-Zahlungen weltweit verbieten. Für Unternehmen ist das ein Dilemma: Sie riskieren ihre Existenz oder machen sich selbst strafbar.

  • Ransomware-Angriff nicht als Cyberattacke einstufen, sondern als Terroranschlag. Dies ist insbesondere dann denkbar, wenn kritische Infrastrukturen wie etwa ein Stromversorger oder ein Krankenhaus betroffen sind.

Vorbeugen statt zahlen

Die meisten Ransomware-Angriffe lassen sich abwehren und im Vorfeld verhindern. Dazu bedarf es einer Kombination aus guten Sicherheitsrichtlinien, Backups, Patches, mehrschichtigen Sicherheitslösungen und Awareness-Schulungen für Mitarbeitende.

----------

Wer richtig vorsorgt, muss kein ­Lösegeld zahlen

Cyberkriminelle haben den PC verschlüsselt und wollen ein Lösegeld. Security-Firmen sagen immer, man solle nicht ­zahlen. Aber kann man sich das in der Situation wirklich leisten? Ob sie selbst zahlen würde und was generell der beste Weg ist, um mit Ransomware umzugehen, verrät Cornelia Lehle, Head of Sales DACH bei G Data. Interview: Coen Kaat

Würden Sie ein Lösegeld zahlen, wenn es Ihr PC wäre?

Cornelia Lehle: Ich lasse mich grundsätzlich nicht erpressen, von daher ist meine Antwort aktuell ganz klar: Nein! Um aber ganz ehrlich zu sein und auch wenn ich davon überzeugt bin, dass meine eigenen IT-Systeme bestmöglich aufgestellt sind, hoffe ich, dass ich mir diese Frage auch niemals ernsthaft stellen muss.

Die PCs lassen sich nicht bedienen, die Maschinen stehen still, der Betrieb ist lahmgelegt. Wie kann ich da argumentieren, das Lösegeld nicht zu zahlen?

Die Zahlung eines Lösegeldes für verschlüsselte Daten darf nie der erste Gedanke sein, wenn plötzlich eine Lösegeldforderung auf dem Bildschirm erscheint. Zuerst gilt es, Ruhe zu bewahren und die nächsten Schritte schnell, fokussiert und durchdacht umzusetzen. Wer die richtigen Vorkehrungen getroffen hat, ist auf der sicheren Seite. Es kann in diesem Fall natürlich sein, dass der Betrieb für ein paar Stunden stillsteht, während etwa die Ersatzsysteme bereitgestellt und die letzte, saubere Datensicherung zurückgespielt wird. Dennoch ist dieser Systemstillstand der Zahlung von Lösegeld vorzuziehen, auch wenn es im ersten Moment schwerfällt. Daher kann ich mich nur immer wieder wiederholen. Ein funktionstüchtiges, aktuelles und dezentrales Backup der IT-Infrastruktur und der Daten sind heute das A und O. Ein weiterer Grund, der gegen eine Lösegeldzahlung spricht: Wenn Opfer von Ransomware-Angriffen die geforderten Lösegelder zahlen, bekommt das Geschäftsmodell weiter Auftrieb und die Kriminellen setzen ihr erpresserisches Treiben fort.

Ist eine Lösegeldzahlung in keinem Fall zu empfehlen?

Es gibt leider Situationen, in denen eine Lösegeldzahlung der letzte Ausweg ist: Entweder existieren keine Backups, sie sind veraltet oder lassen sich nicht wiederherstellen. Oder es ist der «Worst Case» eingetreten: Die Backups sind ebenfalls verschlüsselt. Aber auch rein wirtschaftliche Überlegungen können bei der Beantwortung der Frage «Zahlen oder nicht?» eine Rolle spielen. Verlangt ein Erpresser vom Unternehmen nur wenige hundert Euro, dem aber Ausgaben in Höhe von mehreren zehntausend Euro gegenüberstehen, ist der Gedanke an eine Lösegeldzahlung leider oft auch eine Überlegung wert.

Es ist möglich, zu zahlen und die Daten dennoch nicht zurückzuerhalten. Aber was kann schiefgehen, wenn man nicht zahlt?

Es gibt – wie im Falle von Notpetya – auch Schadprogramme, die zwar aussehen wie Ransomware, aber rein auf die Zerstörung von Daten ausgelegt sind. In anderen Fällen haben die Malware-Autoren schlecht programmiert, sodass eine Wiederherstellung von Daten überhaupt nicht möglich ist. Grundsätzlich gilt: Unternehmen erhalten nach einer Lösegeldzahlung nicht zwangsläufig ihre Daten zurück.

Inwiefern hilft die Abschaffung von Kryptowährungen beim Ransomware-Problem? Würden die Erpresser nicht einfach auf andere Zahlungsmittel umsteigen?

Kryptowährungen sind der Katalysator der gesamten Ransomware-­Industrie. Sie ermöglichen eine anonyme Zahlung. Wenn also Kryptowährungen und die Möglichkeit, damit zu bezahlen, verboten werden, entziehen wir den Cyberkriminellen ein wesentliches Element ihres Geschäftsmodells. Geldtransfers auf andere Konten sind so deutlich einfacher zu verfolgen. Und auch Lösegeldzahlungen mit Bargeld stellen die Täter aufgrund von immer härter werdenden Regelungen im Kampf gegen Geldwäsche vor Probleme.

Was sollten Ransomware-Opfer tun, was heute noch viel zu ­wenig geschieht?

Ganz klare Antwort: Den Fall den Behörden melden und mit ihnen kooperieren. Leider zeigen immer noch viele Firmen eine Cyberattacke bei den zuständigen Behörden nicht an. Der Hauptgrund dafür: Die fehlende Aussicht auf einen Ermittlungserfolg. Ein weiterer Grund ist, dass die Verantwortlichen Angst vor einem Imageschaden haben. In meinen Augen ist eine Verschleierung aber keine gute Idee, um das Image des eigenen Unternehmens nachhaltig sicherstellen zu wollen. Meine Empfehlung daher: Offen und transparent kommunizieren und kooperieren.

Zum Thema
Webcode
DPF8_236684
Back to top