Ransomware-Infektion: Warum Unternehmen manchmal Erpresser bezahlen müssen

Seit dem Aufkommen von Ransomware empfehlen Experten aus aller Welt, kein Lösegeld für seine Daten zu zahlen, um Nachahmer abzuschrecken. Doch wie bei so vielen Fragestellungen in der IT-Sicherheit gibt es auch hier eine unbequeme Grauzone, in die wir uns einmal vorwagen wollen.

Wenn es um das Thema »Ransomware« und die Frage geht »Zahlen oder nicht?«, galt bisher immer der Grundsatz »Niemals zahlen!«. Der Grund dafür: Wenn Opfer von Ransomware-Angriffen die geforderten Lösegelder zahlen, bekommt das Geschäftsmodell weiter Auftrieb. Für viele ist es auch eine Grundsatzfrage, die in letzter Zeit aber immer wieder zur Diskussion gestellt wurde.

Der Grundsatz kann heute durchaus angezweifelt werden, denn die Erpresserbranche hat sich in vielen Bereichen weiterentwickelt. Die Software wird mittlerweile häufig in einem Software-As-A-Service-Modell vertrieben, die verwendeten Verschlüsselungsverfahren weisen dabei mittlerweile weniger Fehler auf, als noch vor ein paar Jahren – und lassen sich nicht mehr so leicht umgehen. Für Unternehmen stellt sich also manchmal die Frage: Zahlen – oder in die Insolvenz gehen? Gleichzeitig sind aber auch die durchschnittlichen Erpressersummen über das Jahr gestiegen, seitdem Firmen vermehrt im Fokus der Angreifer stehen.

Vorbeugung ist immer besser als Heilung. Natürlich darf die Zahlung eines Lösegeldes für verschlüsselte Daten nie der erste Gedanke sein, wenn erst einmal die Forderung auf dem Bildschirm erscheint. Wer die richtigen Vorkehrungen getroffen hat, ist auf der sicheren Seite. Einfach das Backup zurückspielen und im schlimmsten Fall vielleicht ein paar Stunden Arbeit zu verlieren, ist grundsätzlich das Mittel der Wahl. Doch die Erfahrung hat auch gezeigt, dass nicht jedes Unternehmen oder jede Privatperson für den Ernstfall vorgesorgt hat. Entweder existieren Backups nicht, sind veraltet oder lassen sich nicht wiederherstellen. Oder es ist der »Worst Case« eingetreten: Die Backups sind ebenfalls verschlüsselt.

Die gute Nachricht ist: Für viele Ransomware-Arten gibt es mittlerweile zuverlässige Entschlüsselungswerkzeuge, die zumindest einen Teil der Daten retten können. Auf das Vorhandensein eines Gratiswerkzeugs zu hoffen, ist jedoch ebenfalls keine Lösung. Sieht ein Unternehmen sich mit dem Szenario »Daten verschlüsselt, aber kein Backup und kein kostenfreier Decrypter vorhanden« konfrontiert, geht es letztlich um nichts Geringeres als den Fortbestand des Unternehmens. Sind wirklich alle Daten verschlüsselt, dann bleibt nur noch die Hoffnung, dass man es mit einem »ehrlichen« Erpresser zu tun hat, der einem bei Zahlung auch tatsächlich die Daten wieder entschlüsselt. Betroffene sind also dem Täter (oder der Tätergruppe) auf Gedeih und Verderb ausgeliefert. Um es weiter zuzuspitzen: Es geht darum, ob die Unternehmensleitung in den sauren Apfel beißt und das Lösegeld zahlt – oder ob die Firma untergeht. In diesem Falle hieße es »Zahlen ist zwar noch immer die schlechteste aller Lösungen – aber die beste, die wir haben.«

Vor dieser Wahl möchte niemand wirklich stehen. Wenn es allerdings so weit kommt, muss das Unternehmen eine Entscheidung treffen – auch mit Unterstützung von Polizei und Sachverständigen. Steht fest, um welche Ransomware es sich handelt, und dass die Zahlung auch wirklich zu einer Entschlüsselung führt, dann ist die Zahlung des Lösegeldes hier vielleicht das kleinere Übel – und womöglich die letzte Hoffnung für das betroffene Unternehmen.

Nüchterne Zahlen. Auch rein wirtschaftliche Überlegungen können bei der Beantwortung der Frage »Zahlen oder nicht?« eine Rolle spielen. Verlangt ein Erpresser vom Unternehmen nur wenige hundert Euro, dem aber Ausgaben in Höhe von mehreren zehntausend Euro gegenüberstehen, ist der Gedanke an eine Lösegeldzahlung durchaus eine Überlegung wert. Fakt ist: So oder so müssen Betroffene Geld investieren, um Absicherungsmaßnahmen gegen ähnlich gelagerte künftige Fälle zu treffen. Kommen zu diesen Aufwendungen auch noch Kosten für eine aufwendige forensische Untersuchung, bei deren Abschluss nicht klar ist, ob die Daten wiederherstellbar sind und ob die Täter überhaupt ergriffen werden können, ist die Abwägung letztendlich eine rein wirtschaftliche.

Hier müssen die Entscheidungsträger unter Umständen auch einem Aufsichtsrat gegenüber Rechenschaft ablegen, warum sie die eine oder die andere Lösung gewählt haben. Wenn jede Stunde Stillstand tausende Euro kostet und eine forensische Aufarbeitung Tage dauert, dann kommen schnell schwindelerregende Kosten zusammen. Die Reederei Möller-Maersk hat das am eigenen Leib erlebt: Als NotPetya 2017 das Netzwerk des Logistikunternehmens traf, standen innerhalb weniger Stunden weltweit hunderte Lkw, Züge und Containerschiffe still. Die Menge an beförderten Gütern nahm auf einen Schlag um 20 Prozent ab. Insgesamt belief sich der Schaden nach Schätzungen auf etwa 300 Millionen Dollar. Andere Unternehmen wie etwa der Pharmakonzern Merck hatten bei dieser Angriffswelle ähnlich hohe Einbußen zu verzeichnen.

Eine Frage der Abwägung. Bevor ein betroffenes Unternehmen allerdings die Zahlung eines Lösegeldes erwägt, sollten die Verantwortlichen dies sorgfältig überlegen. Denn die Zahlung hat mitunter Signalwirkung für andere Unternehmen.

  • Haben Sachverständige versichert, dass die von den Tätern in der Vergangenheit zur Verfügung gestellten Decrypter tatsächlich leisten, was sie versprochen haben?
  • Entfernt der Einsatz des Decypters mit Sicherheit alle Spuren der Ransomware (sofern diese noch vorhanden sind)?
  • In welchem Verhältnis stehen die Lösegeldsumme und die Ausfallkosten im Falle einer Nichtzahlung?
  • Innerhalb welches Zeitraumes kann nach einer Zahlung wieder mit der regulären Arbeit begonnen werden?

Grundsätzlich gilt aber auch weiterhin die Annahme, dass Unternehmen nach einer Lösegeldzahlung nicht zwangsläufig ihre Daten wieder nutzen können. Eine generelle Regel existiert leider nicht – jeder Fall ist anders gelagert und muss auch so bewertet werden. Denn es gibt – wie im Falle von NotPetya – auch Schadprogramme, die zwar aussehen wie Ransomware, aber rein auf die Zerstörung von Daten ausgelegt sind. Eine Wiederherstellung von Daten ist hier überhaupt nicht möglich.

Fakt ist aber auch, dass Erpressungsszenarien sowie die Möglichkeit des »digitalen Vandalismus« mittlerweile zu einem Alltagsrisiko gehören. Jedes Unternehmen, das diese Fälle als Risiko für sich selbst eingestuft hat, sollte angemessene Vorbereitungen auf den Ernstfall treffen und auch für den »Worst Case« die richtigen Pläne in der Schublade haben. Es ist dabei vor allem wichtig, so viele Unwägbarkeiten wie möglich im Vorfeld auszuräumen und das naturgemäß unvermeidbare Restrisiko in einem Bereich zu verlagern, den das Unternehmen zu tragen bereit ist.


Tim Berghoff,
Security Evangelist,
G Data CyberDefense AG

 

 

 

Illustration: © BlackDorianstock /shutterstock.com

 

229 Artikel zu „Ransomware Lösegeld“

Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…

Doppelte (Ver)Sicherung gegen Ransomware

Ransomware-Attacken bedrohen unter anderem durch Verschlüsselung den Zugriff von Informationen, Systemen und Unternehmensabläufen. Gerade bei einem solchen Angriff auf deren Verfügbarkeit schützen Backup und IT-Sicherheit nur in der Kombination. Ransomware scheint die Bedrohung »der Stunde« zu sein. Nicht nur die Schlagzeilen deuten darauf hin. Auch Entscheider sehen die Gefahr: Laut einer Arcserve-Umfrage rechnen 80 %…

Der unaufhaltsame Aufstieg der Ransomware

Angriffe mit Ransomware haben in den letzten Jahren massiv zugenommen. Jüngste Opfer sind die Verlagsgruppe Heise und die Stadtverwaltung Baltimore. Die Methode hat sich aus Sicht der Cyberkriminellen bewährt, genügend Firmen geben der Erpressung nach und zahlen das geforderte Lösegeld. Ein Ende ist noch lange nicht in Sicht. Unternehmen können allerdings mit Hilfe von Applikations-Isolation…

BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige…

Gefahr durch Ransomware

Medienberichten zufolge wurde der norwegische Aluminiumhersteller Norsk Hydro Opfer einer Cyberattacke mit Ransomware, die gravierende Auswirkungen auf die Produktion des Unternehmens hat. Wie akut die Bedrohung für Unternehmen durch Ransomware ist, belegt auch eine Befragung des Technologieunternehmens Datto unter 300 IT-Dienstleistern aus ganz Europa.   Einige der wichtigsten Ergebnisse der Untersuchung:   92 % der…

Jeder dritte Onliner hat Angst vor Ransomware

Bekanntheit von Verschlüsselungsattacken steigt. Nur wenige machen Sicherheitskopien ihrer Daten. Geld her oder Daten weg – das ist das Prinzip von sogenannter Ransomware. So werden Schadprogramme bezeichnet, die Kriminelle über das Internet verbreiten und damit Daten auf den Endgeräten von Verbrauchern verschlüsseln. Anschließend fordern die Angreifer ihre Opfer zur Zahlung eines Lösegeldes auf, ohne die…

Ransomware as a Service: Cybererpressung auf Bestellung

Geschäftsmodell Satan & Co.     CryptoLocker, GoldenEye, Locky, WannaCry – Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware as a Service (RaaS) rasch ein lukratives Geschäftsmodell…

Ransomware: Zahlungsbereitschaft hat sich mehr als versechsfacht

Angriffe durch Ransomware sind im Vergleich zum Vorjahr gesunken, zugleich ist die Zahlungsbereitschaft der Unternehmen jedoch deutlich gestiegen, so das Ergebnis einer neuen Barracuda-Umfrage bei rund 630 Organisationen weltweit, davon 145 Unternehmen aus EMEA. In der neuen Ransomware-Umfrage gaben rund ein Drittel (30 Prozent) der Unternehmen an, Opfer eines Ransomware-Angriffs geworden zu sein. Damit verzeichnet…

Ransomware der Dinge: Das IoT-Gerät als Geisel

Die weltweite Vernetzung schreitet kontinuierlich voran, allerdings schaffen die wechselseitigen Abhängigkeiten des digitalen Zeitalters auch eine neue Angriffsfläche für Cyberkriminelle. Leider verzeichneten die letzten Jahre unrühmliche Meilensteile in der Entwicklungsgeschichte des Internet of Things: So war Ende 2016 das erste Mal ein groß angelegter Cyberangriff in Form der Mirai-Malware erfolgreich, der hunderttausende IoT-Geräte wie Router,…

Unternehmen investieren immer weniger IT-Budget in Sicherheit und bezahlen eher Lösegeldforderungen

Nicht einmal jedes zweite deutsche und österreichische Unternehmen stuft seine eigenen kritischen Daten als »vollständig sicher« ein. So lautet ein beunruhigendes Ergebnis des aktuellen Risk:Value-Reports [1]. Die Investitionen in die IT-Sicherheit bleiben aber ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die Unternehmen sind eher bereit, auf Lösegeldforderungen im Falle einer Ransomware-Attacke einzugehen. Den Risk:Value-Report erstellt…

Ransomware: 70 Prozent der großen Unternehmen in Deutschland von Erpresser-Malware betroffen

Ransomware-Angriffe kosten große Unternehmen durchschnittlich 750.000 Euro. Angriffe mit Erpresser-Malware haben sich zu einem kostspieligen Massenphänomen entwickelt, wie eine Studie nun offenbart [1]. 70 Prozent und damit fast drei Viertel der Unternehmen mit mehr als 1000 Mitarbeitern in Deutschland wurden in den vergangenen zwölf Monaten demnach Opfer eines Ransomware-Angriffs. Der Großteil der Unternehmen wurde dabei…

IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise

Cyberkriminalität ist längst zu einem äußerst lukrativen Geschäftsmodell geworden. In seinen Vorhersagen für IT-Sicherheit 2018 hat der IT-Sicherheitsanbieter Trend Micro die Vorgehensweise künftiger Angriffe untersucht, damit Unternehmen sich besser vor diesen schützen können.

Sicherheit vor Ransomware: Prävention statt Reaktion

Aufgrund der fortschreitenden Digitalisierung ändert sich auch die Arbeitsweise in Unternehmen. Mobile Geräte wie Smartphones und Tablets gehören längst zum beruflichen Alltag. Hacker passen ihre Vorgehensweise an diese moderne Arbeitsweise an. Mit gezielten Cyberattacken sind sie zunehmend in der Lage, herkömmliche Schutzsysteme zu umgehen. Der französische Cybersecurity-Experte Stormshield informiert auf seinem Unternehmensblog über die perfiden…

Tipps zur Ransomware-Prävention – Online-Erpressern in 2018 nicht auf den Leim gehen

Datenschutz und Cybersicherheit sind beileibe kein neues Thema. Mit »Security and Privacy in Computer Systems« erschien bereits 1967 die erste Abhandlung zum Thema. Cybersicherheit und Privatsphäre wurden also seit Beginn der vernetzten Computer diskutiert. Seither hat sich das Thema dramatisch verschärft, und entwickelt sich weiter rasant – aus verschiedenen Gründen. So wurde beispielsweise im Jahr…

Mehrheit hat noch nie etwas von Ransomware gehört

■  Nur 4 von 10 Internetnutzern wissen von Erpressung durch Schadprogramme. ■  Bitkom: Bei digitaler Erpressung sollte man nicht zahlen.   Der Computer startet, doch statt der gewohnten Oberfläche erscheint ein roter Bildschirm mit dem Hinweis, die Daten auf dem Gerät seien verschlüsselt worden und würden nur gegen Zahlung von 300 US-Dollar wieder freigegeben. Im…