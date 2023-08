Ransomware-Angriffe finden täglich statt, auch auf kleine und mittelgroße Unternehmen. Cyberversicherungen decken nicht nur den finanziellen Schaden ab sondern stellen über ihr Assistenz-Netzwerk IT-Forensiker, Verhandlungsspezialisten, IT-Rechtsbeistand und Kommunikationsprofis für eine schnelle und professionelle Hilfe zur Verfügung.

Es war bereits spät am Freitagabend als es sich Markus D., Geschäftsführer eines Architekturbüros mit 14 Angestellten, endlich mit einem Glas Rotwein auf dem Sofa gemütlich machte. Die Kinder waren im Bett. Als er und seine Ehefrau, die ebenfalls im Büro angestellt war und das Back Office führte, einen Anruf bekamen. Claudia F., eine Kollegin, die mal wieder Überstunden machte, war völlig aufgelöst am anderen Ende. »Hier geht gar nichts mehr. Ich kann weder auf Dateien noch auf unsere Zeichenprogramme zugreifen. Die gesamten Unterlagen….Ich verliere hier gleich die Nerven.« Außer einer Nachricht, die bei ihr am PC aufpoppte war alles schwarz auf dem Bildschirm. Und das gerade jetzt. Wo doch die Ausschreibung für ein Großprojekt kurz vor dem Ende stand und am Montag eingereicht werden sollte. Alle Softwareanwendungen, E-Mail-Programme, Dateien, Windows, das gesamte bürointerne LAN, alles stand. Was sie denn auf dem PC noch sähe, fragte Markus D. »Eine ellenlange Nachricht, weiß auf schwarzem Hintergrund. Irgendwas von 1 Million US-Dollar Lösegeld steht hier. Und obendrüber steht irgendwas mit Lockbit.«

So oder sehr ähnlich spielen sich mittlerweile fast täglich Szenarien ab, wenn Unternehmen von sogenannten Ransomware-Gruppen wie Lockbit angegriffen werden. Die Opferunternehmen sind nicht immer groß, nicht immer bekannt. Oft sind es kleine, oder mittelständische Unternehmen, auch Architekturbüros waren schon unter den Opfern. Was allerdings alle betroffenen Unternehmen vereint war die Tatsache, dass die Schwachstelle Mensch in 95 % der Grund für den Angriff war. Wie im analogen Leben auch, suchen die Täter metaphorisch gesprochen nach offenen Haustüren, Fenstern oder Kellern. Irgendjemand hat eben nicht abgesperrt, oder den Keil in die Türe gelegt. Wo sie diese Lücken erspähen, schlagen sie zu. Erst danach wird analysiert, wen sie denn da an der Angel haben und wieviel Geld man erpressen kann.

Die Erpressungsgegenstände variieren. Entweder werden nur Daten und Programme verschlüsselt, sodass diese nicht mehr genutzt werden können. Oder es werden zudem noch Daten abgezogen, sodass das Unternehmen nicht mehr alleiniger Besitzer ist. Die Täter drohen dann noch zusätzlich mit einer Veröffentlichung der Daten, was ebenfalls sehr schmerzhaft sein kann, wenn es sich um personenbezogene Informationen handelt. Einige Tätergruppen gehen sogar so weit, dass sie Mitarbeiter des Unternehmens kontaktieren und ihnen oder deren Familienmitgliedern Leid androhen. Frei nach dem Motto: Ich weiß, wo deine Tochter in die Schule geht.

Wenn dann auch noch eine Lageanalyse durch die eigene IT, oder den IT-Dienstleister, auf den man sich verlassen hat, ergibt, dass auch die Backups betroffen sind, wird es schnell ungemütlich.

Zahlen oder nicht? Die Opferunternehmen stehen nun vor einem Dilemma. Denn alle Optionen, die auf dem Tisch liegen haben Vor- und Nachteile. Der erste Reflex lautet meist, weil auch unter moralisch- ethischen Gesichtspunkten angebracht: In keinem Fall geben wir der Erpressung nach. Ich lasse weder mich noch meine Familie, noch mein Unternehmen von irgendwelchen Kriminellen erpressen. So weit kommt es noch. Ich rufe jetzt erstmal die Polizei. Und auch die rät genau zu diesem Vorgehen. Was heißt das aber für den Fortbestand des Unternehmens? Wie hoch ist der Schaden pro Tag, solange ich die IT nicht nutzen kann? Welcher Umsatz entgeht mir eventuell, weil ich wie im Beispiel oben Aufträge auch nicht mehr an Land ziehen kann? Wie lange dauert es, bis alles wieder läuft? Was kostet mich das? Und komme ich überhaupt wieder auf einen Stand wie vor dem Angriff? Diese Fragen müssen beantwortet werden. Am besten hat man sich bereits im Vorfeld Gedanken gemacht und hat die Antworten schnell parat.

Es kann nämlich auch passieren, dass die Lagebewertung zu dem Ergebnis kommt, dass ich in 3-4 Wochen nicht mehr zahlungsfähig bin. Die Kosten für Wiederanlauf und Betriebsunterbrechung sind die Treiber im Bereich der Schadensumme. Eventuell ist der Schaden so groß, dass eine angemessene Lösegeldzahlung im wahrsten Sinne des Wortes das kleinere Übel darstellt. Denn Forderung der Täter ist ja nicht das, was ich bezahlen muss. Oder doch? Und wie läuft so eine Zahlung ab? Wer kann mir dabei helfen eine adäquate Lösung in dieser Krisensituation zu finden?

Zum Glück gibt es Cyberversicherungen. Die Antworten auf die oben aufgeführten Fragen hatte Markus D. schnell parat. Er hatte vor 3 Jahren eine Cyberversicherung abgeschlossen. Und er konnte sich noch dunkel daran erinnern, dass da auch was von Lösegeld in der Police stand. Und eine 24/7-Hotline gab es da auch noch. Also ran an den Ordner. Völlig »old school«, auf Papier im eigenen Arbeitszimmer stand dieser etwas verstaubt im Regal. Und siehe da, alles richtig. Und bei der Hotline nahm sogar noch jemand ab. Läuft bei mir, dachte er sich…

Relativ schnell hatte Markus D. die Spezialisten aus dem Netzwerk der Versicherung am Telefon. IT-Forensiker, Verhandlungsspezialisten, IT-Rechtsbeistand, Kommunikationsprofis, alle wurden noch am Freitagabend durch das Notfallcenter alarmiert. Ein erstes Teams-Meeting und der Austausch von Informationen sind ebenfalls angelaufen. Genutzt wurde dazu die Gmail-Adresse der Ehefrau. In der Not geht alles.

Die Forensik machte sich sofort daran den Schaden einzugrenzen, die Lücken im System zu schließen und eine erste Schadenhöhe zusammen mit dem Inhaber zu eruieren. Bezogen auf den Faktor Zeit und die zu erwartende Schadenhöhe in einem mittleren sechsstelligen Betrag war klar, dass es eventuell doch eine Option wäre mit den Tätern zu sprechen. Hierzu hat die Versicherung Verhandlungsspezialisten zur Verfügung gestellt, die die entsprechende Erfahrung im Umgang mit diesen Kriminellen mitbringen. Der Polizei ist es untersagt über Lösegeld zu verhandeln. Auch wenn dem Publikum jeden Sonntagabend im Tatort etwas anderes vorgegaukelt wird.

Nach 5 harten Tagen des Verhandelns war ein Deal erreicht. Der Betrag war fünfstellig und der Entschlüsselungscode wurde zur Verfügung gestellt. Die IT-Forensik konnte danach sämtliche Systeme und Dateien entschlüsseln und man war am Tag 6 wieder voll einsatzfähig. Dem Kunden wurden die Ausschreibungsunterlagen mit 3 Tagen Verspätung zur Verfügung gestellt, da man um eine Fristverlängerung bat und diese eingeräumt bekam. Ende gut, alles gut?

Fazit. Nicht immer gehen Ransomware-Angriffe so glimpflich aus, wie gerade eben geschildert. Chaos im Management, keine Erfahrung im Umgang und der Bewertung einer solchen Situation sind die Regel. Deshalb ist es wichtig sich im Vorfeld bereits Gedanken zu machen. Wie ist mein Unternehmen aufgestellt? Ist die Versicherungslösung adäquat und wird im Worstcase auch Lösegeld gecovert? Im Falle von Cyberversicherungen ist es viel wichtiger, als bei jeder anderen Versicherungslösung, dass nicht nur finanzielle Schäden gedeckt werden, sondern dass durch ein breites Assistance Netzwerk schnelle und professionelle Hilfe bereitsteht. Es müssen Spezialisten in das Krisenmanagement integriert werden, die bei der Lagebeurteilung und der Problemlösung unvoreingenommen und mit kühlem Kopf reagieren. Denn in diesem Fall wollen alle, Versicherer, Unternehmen und Krisenprofis das Gleiche – die Schäden für das betroffene Unternehmen so gering halten wie möglich. Und in dieser Situation stimmt ein Grundsatz mehr denn je: Zeit ist Geld.

Oliver Schneider ist Geschäftsführender Gesellschafter der RiskWorkers GmbH. Seit über 20 Jahren ist er als sogenannter Kidnap Response Consultant tätig und hat mit Entführern, Erpressern und Piraten auf der ganzen Welt verhandelt. Seit einigen Jahren berät er Unter­nehmen auch bei Cybererpressungen, sowohl präventiv als auch reaktiv. In seinem Buch »Der Wille entscheidet« gibt er einen spannenden Einblick in seinen Tätigkeitsbereich.