Foto: ViDI Studio - shutterstock.com
Ransomware bleibt die schlimmste Malware-Bedrohung für Unternehmen, ein Ende ist nicht abzusehen. Im Gegenteil, das Geschäft mit Erpressungstrojanern ist für die Cyberkriminellen viel zu einträglich. Die geforderten Lösegelder lagen anfangs noch bei einigen tausend Dollar, inzwischen werden Millionenbeträge gefordert - weil die Angreifer genau wissen, dass viele Unternehmen bereit sind, solche Lösegelder zu bezahlen. Dabei spielen viele Faktoren und Parteien eine Rolle - vom CIO und anderen Mitgliedern des Managements über externe Berater, bis hin zu involvierten Cyberversicherern.
Der steigende Druck, Ransomware-Lösegelder zu bezahlen, hat einen Markt für selbständige Berater und Unternehmen geschaffen, die sich auf die Verhandlungsführung bei Angriffen mit Erpressungstrojanern und die Zahlung von Lösegeldern spezialisiert haben. Wir haben mit einigen Experten gesprochen, die wissen, wie man Verhandlungen mit Cyberkriminellen führen sollte und was dabei zu beachten ist.
Wenn Ransomware einschlägt
Im Idealfall setzt ein Angriff mit Ransomware einen wohl durchdachten Disaster-Recovery-Plan in Gang. Unglücklicherweise führen Angriffe mit Erpressungstrojanern dennoch regelmäßig in vielen Unternehmen zum Erfolg. Selbst in Großunternehmen mit eigenem Incident-Response-Team fielen regelmäßig wichtige Aspekte bei der Reaktion auf Ransomware-Angriffe unter den Tisch, weiß Kurtis Minder, CEO beim Ransomware-Spezialisten GroupSense. "Einige Details wie etwa die Kommunikation mit Kunden und Regulatoren gehören selbst im Enterprise-Umfeld nicht immer zum Incident-Response-Plan. Geht es dann um die Verhandlung über die Entschlüsselung der Daten, wird in vielen Fällen nichts dokumentiert. Oft gibt es auch keinen Kommunikationsplan für die PR-Abteilung. Das ist - unglücklicherweise - die Realität unserer Kunden."
Auch Unternehmen mit gut ausgestalteten IR-Plänen und entsprechenden Prozessen seien nicht gefeit vor der Panik, die im Ernstfall um sich greift, meint Ian Schenkel, Vice President EMEA beim Security-Anbieter Flashpoint. "Wir haben es regelmäßig nicht nur mit Ransomware zu tun, die Dateien oder ganze Netzwerke verschlüsselt. Der neueste Trend besteht darin, die Unternehmen zur Zahlung zu bewegen, indem gedroht wird, sensible Daten im Internet zu veröffentlichen."
Weil mehr und mehr Hackergruppen auf diese "Double Extortion"-Taktik setzen, werden Ransomware-Angriffe immer mehr auch zu "Data Breaches", die wiederum diverse regulatorische Folgen nach sich ziehen können - je nach Unternehmensstandort und Klassifizierung der entwendeten Daten.
Wenn ein Ransomware-Angriff eintritt, sollten Sie zwei Maßnahmen möglichst sofort in Angriff nehmen:
Finden Sie heraus, wie die Angreifer eingedrungen sind, stopfen Sie das Loch und verbannen Sie die Cyberkriminellen aus dem Netzwerk.
Ermitteln Sie, mit welcher Ransomware-Variante Sie es zu tun haben, und überprüfen Sie die "Glaubwürdigkeit" der Cyberkriminellen, die hinter der Malware stehen - insbesondere dann, wenn mit "Double Extortion" gedroht wird.
Während Ersteres in den Aufgabenbereich des Incident-Response-Team fällt, könnte für Punkt zwei auch ein externer Partner zum Einsatz kommen. Wer dafür in Frage kommt, sollten Sie am besten im Vorfeld abklären - viele Unternehmen verlieren gerade in der Frühphase eines Ransomware-Angriffs zu viel Zeit durch Untätigkeit.
Nach Auskunft der international tätigen Anwaltskanzlei Orrick wird in 75 Prozent aller Fälle zunächst ein externer Anwalt hinzugezogen, der den Reaktionsprozess einleitet und dabei folgende Maßnahmen veranlasst:
Strafverfolgungsbehörden unterrichten;
IT-Forensik engagieren;
internes Briefing mit dem Führungsstab des Unternehmens einberufen;
Mitteilungen für die externe Kommunikation aufsetzen;
mit der Cyberversicherung des geschädigten Unternehmens in Kontakt treten und eine entsprechende Kostenübernahme für alle Maßnahmen (inklusive der Lösegeldzahlung, falls das gewünscht wird) abklären.
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Problembehaftete Lösegeldzahlungen
Gerade die Kommunikation mit der Cyberversicherung sollte so früh wie möglich aufgenommen werden. Je nach gewählter Police hat die Versicherung eventuell ein Mitspracherecht, wenn es um die Einbeziehung externer Parteien, etwa Security-Anbietern, geht. Die Entscheidung über eine Zahlung von Lösegeld werde hingegen im Regelfall von den Unternehmen alleine getroffen und im Nachgang bei der Cyberversicherung eingereicht, in der Hoffnung, diese springt ein. An der Entscheidung darüber, ob gezahlt werde oder nicht, seien im Regelfall das Anwaltsteam des Unternehmens, der CEO, der CIO und der COO beteiligt.
Bevor eine Ransomware-Lösegeldzahlung vom Versicherer durchgewunken wird, kommen eine Fragen auf das Unternehmen zu - beispielsweise zum Status von (Offsite-) Backups, wie viele Systeme betroffen waren und wie lang es gedauert hat, diese zurückzusetzen. Eine Cyberversicherung kann auch versuchen, die Täter hinter dem Angriff zu identifizieren - und eine Zahlung verweigern. In den USA etwa schließen manche Cyberversicherer die Kostenübernahme für Angriffe durch Hackergruppierungen, die auf der schwarzen Liste der Homeland Security stehen, in ihren Geschäftsbedingungen aus.
Das Lösegeld selbst wird in Kryptowährung bezahlt - was nicht unbedingt zum Standard im Unternehmensumfeld gehört. Auch für diese Aufgabe stehen Dienstleister zur Verfügung - in der Regel dieselben, die auch die Verhandlungsführung für ihre Kunden übernehmen.
Verhandeln mit Cybererpressern
Bevor Sie mit den Kriminellen hinter der Ransomware in Kontakt treten (für gewöhnlich über einen verschlüsselten E-Mail-Dienst), sollte das Incident-Response-Team sicherstellen, dass der Angriff isoliert ist und sich die Angreifer nicht mehr im Netzwerk befinden, empfiehlt GroupSense-CEO Minder: "Haben die Angreifer immer noch Zugriff auf das Netzwerk, ist das ein hervorragendes Druckmittel. Wir arbeiten deshalb bei unseren Kunden von Anfang an eng mit dem Incident-Response-Team zusammen."
Im zweiten Schritt komme es dann darauf an, mit dem IR-Team so viele Informationen über die Attacke wie nur möglich zusammenzutragen, zum Beispiel dazu, welche Daten kompromittiert wurden, wer hinter dem Angriff steht und wie deren Attacken in der Vergangenheit abgelaufen sind. Diese Informationen bestimmten laut Minder darüber, welche Herangehensweise er und seine Kollegen bei der Verhandlungsführung mit den Cyberkriminellen wählen: "Wenn die Hacker 30 oder 40 Unternehmen angegriffen haben, sind sie unter Umständen weit weniger geduldig, weil es für sie viele andere Optionen gibt", so der Ransomware-Spezialist.
Viele Hackergruppen passen ihre Lösegeldforderungen inzwischen an die Profile ihrer Opfer an - bei Unternehmen häufig ein Prozentsatz der jährlichen Einnahmen. Dabei recherchieren die Kriminellen allerdings nicht immer sauber. Konkreter Teil der Verhandlungen könne deshalb auch sein, die Angreifer über die finanzielle Situation des Unternehmens aufzuklären - falls diese zuvor falsch eingeschätzt wurde, erklärt Minder. "Dabei sollten Emotionen stets außen vorbleiben - der Vorfall muss objektiv, wie eine reine Business-Transaktion, behandelt werden. Viele Betroffene, die auf eigene Faust verhandeln, bekommen das nicht auf die Reihe."
In einigen Fällen gelingt es Betroffenen, ihre Daten mithilfe von Backups wiederherzustellen. Das könne in der Verhandlung als Druckmittel genutzt werden, meint Minder. Trotz vorhandenem Backup kann es bei der Wiederherstellung von Systemen zu Problemen kommen, weil Applikationen und Software-Stacks nicht mehr auf dem aktuellen Stand sind. Eine regelmäßig Überprüfung des Wiederherstellungsprozesses sowie die Anfertigung von System-Images ist deshalb genauso zu empfehlen wie Detection-Möglichkeiten und entsprechende Endpoint-Lösungen zu empfehlen.
Sowohl Minder als auch Flashpoint-Mann Schenkel zufolge sind Ransomware-Gruppierungen generell offen für Verhandlungen. Im Regelfall bleibe vom ursprünglichen geforderten Betrag nur ein kleiner Prozentsatz übrig, der bezahlt werde. Das liegt auch daran, dass die Angreifer selbst unter Zeitdruck stehen: Je länger sich die Verhandlungen hinziehen, desto mehr Zeit haben Betroffene, um ihre Systeme zurückzusetzen. "Statistiken zufolge werden nur zwischen 25 und 30 Prozent der Lösegelder bezahlt. Das wissen auch die Cyberkriminellen", so Schenkel.
Bevor eine Zahlung erfolgt, müssen Angreifer jedoch beweisen, dass sie tatsächlich in der Lage sind, Dateien zu entschlüsseln. Das erfolgt im Regelfall anhand eines Testdatensatzes, schließt jedoch nicht alle Risiken aus. Das Entschlüsselungs-Tool kann fehlerbehaftet oder Daten beschädigt worden sein. Den Experten sind auch Situationen bekannt, in denen verschiedene Schlüssel für verschiedene Systeme verwendet wurden. Deshalb ist es auch so wichtig, das gesamte Ausmaß eines Ransomware-Angriffs mit den Mitteln der IT-Forensik zu verstehen - und das bereits bevor die Verhandlungen beginnen.
Sind die Verhandlungen abgeschlossen und die Zahlung erfolgt, wird die gesamte Dokumentation inklusive aller Informationen zu den Cyberkriminellen und zur Transaktion des Lösegelds dem Kunden übergeben.
Anschlussgefahren und Recovery
Wenn Sie zum Opfer der "Double Extortion"-Methode werden, gestaltet sich die Sache ein wenig komplexer. Schließlich gibt es keinen Weg herauszufinden, ob die Kriminellen die Daten tatsächlich vernichtet haben. Der Security-Anbieter Coveware - ebenfalls Spezialist für Ransomware - berichtete im vergangenen Jahr von zahlreichen Fällen, in denen Opfer mehrmals mit den gleichen Daten erpresst wurden - die anschließend dennoch online veröffentlicht wurden.
Da diese Vorgehensweise sich unter Cyberkriminellen steigender Beliebtheit erfreut, müssen sich Unternehmen darauf einstellen. Maßnahmen wie das Monitoring von Darkweb und Untergrund-Marktplätzen können wirksame Präventivmaßnahmen darstellen, um großangelegten Cyberangriffen zuvorzukommen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.