Zahlen oder nicht? Wie Sie im Falle eines Ransomware-Angriffs richtig verhandeln

Ransomware

Wenn Firmen Opfer eines Ransomware-Angriffs geworden sind, ist die Situation einer realen Geiselnahme nicht unähnlich. In beiden Fällen soll ein Lösegeld erpresst werden. Im Gegensatz zur physischen Geiselnahme verschlüsseln Cyber-Kriminelle die Daten ihrer Opfer und fordern für deren Freigabe eine bestimmte Summe.

In der realen Welt hat man immerhin die Möglichkeit, mit einem SWAT-Team den betreffenden Aufenthaltsort zu stürmen. Diese Option fehlt in der digitalen Welt. Angreifer jeglicher Couleur sitzen irgendwo auf dem Globus vor ihrem Computer, meistens ziemlich weit entfernt von Strafverfolgungsbehörden und territorialer Einflussnahme.

Anzeige

Die Zahl der Ransomware-Angriffe klettert weiter nach oben. Angesichts dessen neigen die meisten Unternehmen dazu, auf zwei unterschiedliche Arten zu reagieren: Entweder sie bezahlen das Lösegeld, das sich leicht auf mehrere Millionen Dollar belaufen kann, oder sie zahlen nicht und konzentrieren sich darauf, ihre Systeme wiederherzustellen.

Was Firmen und Organisationen aber vielfach außer Acht lassen, ist, dass es in solchen Situationen noch eine dritte Möglichkeit gibt. Nämlich die, mit dem Gegner zu verhandeln. Das ist alles andere als einfach, wenn man den bestmöglichen Deal und ein zufriedenstellendes Ergebnis erzielen will. Und das in Verhandlungen mit einem Partner, dem man nie völlig vertrauen kann. So formuliert das Unterhändler Moty Cristal, der über 25 Jahre lang Verhandlungen bei militärischen Geiselnahmen geführt hat. Seine Erfahrungen hat er auf den Bereich Cyberkriminalität übertragen und dazu fünf bewährte Verhandlungstaktiken als besonders geeignet identifiziert:

1. Eine Struktur für das Krisenmanagement schaffen

Im ersten Schritt gilt es, den Hauptentscheidungsträger zu identifizieren. Das kann der CEO, CISO, der Firmeneigentümer oder der Vorstand sein. Danach sollte man festlegen, wer für das Krisenmanagement verantwortlich zeichnet. Wenn der CEO der wichtigste Entscheidungsträger ist, sollte er nicht gleichzeitig die Rolle des Krisenmanagers übernehmen, denn der ist für die Koordinierung sämtlicher Beteiligten verantwortlich. Im Rahmen dieser Position kommen Maßnahmen in drei Bereichen zum Tragen:

Anzeige
  • Da ist zum einen die technische Schiene, bei der es im Wesentlichen darum geht, Maßnahmen zur Schadensbegrenzung zu ergreifen.
  • Gleichzeitig muss man dafür sorgen, die betriebliche Kontinuität zu wahren und die geschäftlichen Prozesse so weit wie möglich aufrechtzuerhalten.
  • Und nicht zuletzt sollte man alle juristischen Implikationen im Auge behalten.

Die technische Schiene fällt in der Regel in den Zuständigkeitsbereich erfahrener Incident Response Teams. Hier geht es um den forensischen Aspekt, darum, den Angriff einzudämmen sowie die Systeme zu bereinigen und wiederherzustellen. Um die geschäftlichen Aspekte kümmern sich die betreffenden Abteilungen des Unternehmens sowie das Kommunikationsteam. Beide gewährleisten, dass ein Unternehmen handlungsfähig bleibt und die geschäftlichen Prozesse weiterlaufen. Gleichzeitig sorgt die Kommunikationsabteilung für einen reibungslosen Diskurs mit der Öffentlichkeit und allen betroffenen Interessengruppen. Juristische Experten bewerten schließlich den Vorfall aus ihrer Sicht und schaffen den rechtlichen Rahmen für die gesamte Krisenbewältigung.

2. Wie weitreichend ist der Vorfall tatsächlich?

Wichtig ist es, sich ein Verständnis zu Art und Umfang des Vorfalls zu verschaffen. Dazu zählen eine Reihe von Fragestellungen. Wie konnte die Ransomware eindringen, und welche Systeme sind in Mitleidenschaft gezogen? Betrifft der Angriff außerdem wichtige Lieferanten und Kunden? Wie lange sind die Angreifer bereits im System? Ist es ihnen gelungen, sensible Daten und Informationen zu erbeuten? Welches sind die dahinter liegenden Motive? Die Motive eines Angreifers sind zumeist entweder finanzieller oder politischer Natur. Obwohl die Mehrheit der Ransomware-Angriffe (80 bis 90 %) finanziell motiviert ist, lässt sich ein politisch motivierter Hintergrund nicht ausschließen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Ein Profil der Angreifer erstellen

Beim Erstellen eines Angreiferprofils geht es zunächst darum, herauszufinden, ob es sich um einen bereits bekannten oder bis dato unbekannten Gegner handelt. Dabei sind verschiedene Indizien hilfreich. Etwa der Modus Operandi des Angriffs, der verwendete Kommunikationsstil sowie bestimmte Kommunikationsmuster. Das betrifft auch die Leak-Site selbst, auf der die Kommunikation gehostet wird. In einigen Fällen gibt die Zeitzone, innerhalb derer ein Angreifer während der Verhandlungen antwortet, Aufschluss über seine Demografie. Manchmal liefern sprachliche Nuancen zusätzliche Anhaltspunkte. Kennt man hingegen die Identität einer kriminellen Gruppierung und weiß mehr über ihre Reputation, geben zurückliegende Hacks und die dabei verwendeten Praktiken nützliche Hinweise. Ein umfassender, investigativer Ansatz ist das Mittel der Wahl, denn jede Information ist wertvoll. Wenn man weiß, mit wem man es zu tun hat, mit wem und wie stark die Gruppe verflochten ist und ob sie vielleicht ein kartellähnliches Verhalten an den Tag legt, erleichtert das unter Umständen die Verhandlungsführung.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.