Illustration: Absmeier Kellepics
Wenn Firmen Opfer eines Ransomware-Angriffs geworden sind, ist die Situation einer realen Geiselnahme nicht unähnlich. In beiden Fällen soll ein Lösegeld erpresst werden. Im Gegensatz zur physischen Geiselnahme verschlüsseln Cyberkriminelle die Daten ihrer Opfer und fordern für deren Freigabe eine bestimmte Summe. In der realen Welt hat man immerhin die Möglichkeit, mit einem SWAT-Team den betreffenden Aufenthaltsort zu stürmen. Diese Option fehlt in der digitalen Welt. Angreifer jeglicher Couleur sitzen irgendwo auf dem Globus vor ihrem Computer, meistens ziemlich weit entfernt von Strafverfolgungsbehörden und territorialer Einflussnahme.
Die Zahl der Ransomware-Angriffe klettert weiter nach oben. Angesichts dessen neigen die meisten Unternehmen dazu, auf zwei unterschiedliche Arten zu reagieren: Entweder sie bezahlen das Lösegeld, das sich leicht auf mehrere Millionen Dollar belaufen kann, oder sie zahlen nicht und konzentrieren sich darauf, ihre Systeme wiederherzustellen.
Was Firmen und Organisationen aber vielfach außer Acht lassen, ist, dass es in solchen Situationen noch eine dritte Möglichkeit gibt. Nämlich die, mit dem Gegner zu verhandeln. Das ist alles andere als einfach, wenn man den bestmöglichen Deal und ein zufriedenstellendes Ergebnis erzielen will. Und das in Verhandlungen mit einem Partner, dem man nie völlig vertrauen kann. So formuliert das Unterhändler Moty Cristal, der über 25 Jahre lang Verhandlungen bei militärischen Geiselnahmen geführt hat. Seine Erfahrungen hat er auf den Bereich Cyberkriminalität übertragen und dazu fünf bewährte Verhandlungstaktiken als besonders geeignet identifiziert:
- Eine Struktur für das Krisenmanagement schaffen
Im ersten Schritt gilt es, den Hauptentscheidungsträger zu identifizieren. Das kann der CEO, CISO, der Firmeneigentümer oder der Vorstand sein. Danach sollte man festlegen, wer für das Krisenmanagement verantwortlich zeichnet. Wenn der CEO der wichtigste Entscheidungsträger ist, sollte er nicht gleichzeitig die Rolle des Krisenmanagers übernehmen, denn der ist für die Koordinierung sämtlicher Beteiligten verantwortlich. Im Rahmen dieser Position kommen Maßnahmen in drei Bereichen zum Tragen:
- Da ist zum einen die technische Schiene, bei der es im Wesentlichen darum geht, Maßnahmen zur Schadensbegrenzung zu ergreifen.
- Gleichzeitig muss man dafür sorgen, die betriebliche Kontinuität zu wahren und die geschäftlichen Prozesse so weit wie möglich aufrechtzuerhalten.
- Und nicht zuletzt sollte man alle juristischen Implikationen im Auge behalten.
Die technische Schiene fällt in der Regel in den Zuständigkeitsbereich erfahrener Incident Response Teams. Hier geht es um den forensischen Aspekt, darum, den Angriff einzudämmen sowie die Systeme zu bereinigen und wiederherzustellen. Um die geschäftlichen Aspekte kümmern sich die betreffenden Abteilungen des Unternehmens sowie das Kommunikationsteam. Beide gewährleisten, dass ein Unternehmen handlungsfähig bleibt und die geschäftlichen Prozesse weiterlaufen. Gleichzeitig sorgt die Kommunikationsabteilung für einen reibungslosen Diskurs mit der Öffentlichkeit und allen betroffenen Interessengruppen. Juristische Experten bewerten schließlich den Vorfall aus ihrer Sicht und schaffen den rechtlichen Rahmen für die gesamte Krisenbewältigung.
- Wie weitreichend ist der Vorfall tatsächlich?
Wichtig ist es, sich ein Verständnis zu Art und Umfang des Vorfalls zu verschaffen. Dazu zählen eine Reihe von Fragestellungen. Wie konnte die Ransomware eindringen, und welche Systeme sind in Mitleidenschaft gezogen? Betrifft der Angriff außerdem wichtige Lieferanten und Kunden? Wie lange sind die Angreifer bereits im System? Ist es ihnen gelungen, sensible Daten und Informationen zu erbeuten? Welches sind die dahinter liegenden Motive? Die Motive eines Angreifers sind zumeist entweder finanzieller oder politischer Natur. Obwohl die Mehrheit der Ransomware-Angriffe (80 bis 90 %) finanziell motiviert ist, lässt sich ein politisch motivierter Hintergrund nicht ausschließen.
- Ein Profil der Angreifer erstellen
Beim Erstellen eines Angreiferprofils geht es zunächst darum, herauszufinden, ob es sich um einen bereits bekannten oder bis dato unbekannten Gegner handelt. Dabei sind verschiedene Indizien hilfreich. Etwa der Modus Operandi des Angriffs, der verwendete Kommunikationsstil sowie bestimmte Kommunikationsmuster. Das betrifft auch die Leak-Site selbst, auf der die Kommunikation gehostet wird. In einigen Fällen gibt die Zeitzone, innerhalb derer ein Angreifer während der Verhandlungen antwortet, Aufschluss über seine Demografie. Manchmal liefern sprachliche Nuancen zusätzliche Anhaltspunkte. Kennt man hingegen die Identität einer kriminellen Gruppierung und weiß mehr über ihre Reputation, geben zurückliegende Hacks und die dabei verwendeten Praktiken nützliche Hinweise. Ein umfassender, investigativer Ansatz ist das Mittel der Wahl, denn jede Information ist wertvoll. Wenn man weiß, mit wem man es zu tun hat, mit wem und wie stark die Gruppe verflochten ist und ob sie vielleicht ein kartellähnliches Verhalten an den Tag legt, erleichtert das unter Umständen die Verhandlungsführung.
- Eine Kostenabschätzung im Falle des »No Deal«
Für Entscheidungsträger ist es eine, wenn nicht die zentrale Frage, wie hoch die potenziellen Kosten im Falle eines »No Deal« ausfallen. Dazu sollte man erfahrene Sicherheitsexperten oder/und professionelle Verhandlungsführer/Unterhändler zu Rate ziehen. Auch um die Frage zu beantworten, wie wahrscheinlich oder unwahrscheinlich eine Einigung ist.
Dies hilft dabei, die Verhandlungsziele festzulegen: Sollte man überhaupt in einen Dialog eintreten oder nicht, sollte man eher über die Art der Informationen oder über mehr Zeit verhandeln und schließlich, sollte man zahlen oder nicht. Ransomware-Zahlungen zu leisten hat auch juristische Implikationen. Es besteht beispielsweise das Risiko von Sanktionen etwa durch Regierungsbehörden wie dem US-Finanzministerium, sollte ein Unternehmen Ransomware-Zahlungen erleichtert haben. Ist ein Angriff politisch motiviert oder lässt sich einem sanktionierten Staat zuschreiben, verhindern geltende Gesetze unter Umständen eine Lösegeldzahlung gänzlich.
- Auf Grundlage der verfügbaren Informationen professionell verhandeln
Sobald ein Unternehmen in der Lage ist, die unterschiedlichen Puzzleteile zu einem Ganzen zusammenzusetzen, kann es den Verhandlungsprozess auf Grundlage der festgelegten Ziele einleiten. Wenn die interne IT-Abteilung beispielsweise über die technischen Möglichkeiten verfügt, die betroffenen Systeme auch ohne Lösegeldzahlung wiederherzustellen, wird der Verhandlungsführer in der Regel versuchen, auf Zeit zu spielen. Die Kunst der Verhandlung ist ein Gedankenspiel zwischen dem Verhandlungsführer, den involvierten Teams und der Persönlichkeit des Angreifers. Ein professioneller Unterhändler ist in der Lage, diese hoch komplexe Gemengelage zu managen. Lässt sich ein Nationalstaat als Urheber des Angriffs identifizieren, ist das ein für die Verhandlungsführung wesentlicher Umstand. Auch, ob es sich dabei um ein antiwestlich eingestelltes oder autoritär geführtes Land handelt. Ein Unterhändler wird immer versuchen, Vertrauen aufzubauen, um möglichst gute Bedingungen auszuhandeln und die Lösegeldforderung zu senken. Das endgültige Ziel ist, eine Einigung zu erzielen. Die schlussendliche Entscheidung, ob ein Lösegeld gezahlt wird oder nicht, sollte man dem zuständigen Entscheidungsträger überlassen – auf Grundlage der geschäftlichen Voraussetzungen und der verfügbaren Optionen.
Ransomware-Angriffe sind jederzeit möglich. Es ist deshalb empfehlenswert, die nötigen Strukturen und Prozesse möglichst frühzeitig zu schaffen. Parallel dazu sollten Firmen eine Liste von Experten in der Schublade haben, auf die sie im Notfall zurückgreifen können. Das betrifft die Bereiche Recht, Cybersicherheit, Personalwesen, Wiederherstellung, Versicherung und Verhandlung. Letztendlich sind Cyberangriffe nie eine nur technische Herausforderung. Sie sind immer auch eine Herausforderung für das Management.
Etay Maor, Senior Director Security Strategy bei Cato Networks