Ransomware-Angriffe stellen Unternehmen vor grosse Herausforderungen und führen oft zu erheblichen finanziellen Verlusten und Betriebsunterbrechungen. Die Publikation "How Does One Negotiate with Ransomware Attackers?" von Sonia Boticiu und Fabian Teichmann, die in der International Cybersecurity Law Review veröffentlicht wurde, befasst sich mit dem kritischen Thema der Ransomware-Angriffe und den Feinheiten der Verhandlungen mit Angreifern. Die Studie bietet einen umfassenden Überblick über den Ransomware-Verhandlungsprozess, wobei der Schwerpunkt auf dem Zeitraum zwischen dem Auftreten eines Angriffs und der Entscheidung zur Zahlung des Lösegelds liegt, und enthält eine eingehende Analyse der Verhandlungstaktik der Conti-Ransomware-Gruppe. Es werden die ersten Schritte zur Bewertung der Situation und zur Verhandlung bis hin zu Empfehlungen für Massnahmen zur Schadens- und Risikominimierung untersucht.
Der erste Schritt besteht darin, die Art des Ransomware-Angriffs zu erkennen. Ransomware-Angriffe haben sich zu einer erheblichen Bedrohung entwickelt, da sie die mangelnde Sicherheit in vielen Unternehmen ausnutzen. Diese Angriffe beinhalten Malware, die den Opfern den Zugriff auf ihre Daten oder Systeme verweigert und ein Lösegeld für deren Rückgabe fordert. Das Aufkommen von Ransomware-as-a-Service (RaaS) hat das Problem weiter verschärft, da die Angreifer nun problemlos massgeschneiderte Malware über das Dark Web verbreiten können. Aufsehenerregende Angriffe wie die auf Colonial Pipeline und die University of California San Francisco haben die schwerwiegenden Auswirkungen von Ransomware deutlich gemacht und viele Unternehmen dazu veranlasst, das Lösegeld zu zahlen, um die Unterbrechungen zu minimieren. Dieser Ansatz ist jedoch mit Risiken behaftet, einschliesslich potenzieller künftiger Angriffe.
Unternehmen sollten im Vorfeld eines Angriffs Massnahmen ergreifen und robuste Reaktionspläne erstellen, die auf den Rahmenwerken von CISA, NIST und dem SANS Institute basieren. Diese Pläne umfassen in der Regel fünf Schritte: Vorbereitung, Identifizierung, Eindämmung, Ausrottung und Wiederherstellung. Sofortige Massnahmen wie das Trennen der betroffenen Geräte und die Identifizierung des Ransomware-Typs sind entscheidend, um die Ausbreitung und den Schaden einzudämmen.
Ransomware-Vorfälle können je nach Rechtsprechung eine Meldepflicht an Aufsichtsbehörden erfordern. Die EU-Richtlinie über Netz- und Informationssicherheit 2.0 schreibt beispielsweise eine solche Meldung vor. Ausserdem müssen Unternehmen sicherstellen, dass die Zahlung des Lösegelds nicht gegen internationale Sanktionen verstösst, da viele cyberkriminelle Gruppen mit Geldstrafen belegt sind. Darüber hinaus kann die Zahlung von Lösegeld auch als Finanzierung terroristischer Organisationen angesehen werden.
Bei der Entscheidung, ob das Lösegeld gezahlt werden soll, sind verschiedene Interessengruppen beteiligt, darunter der Chefsyndikus, der Betriebsleiter und schliesslich der Geschäftsführer. Oft hängt es auch davon ab, ob die Cyberversicherung des Unternehmens die Lösegeldzahlung abdeckt. Zur Vorbereitung gehört es, die gesamte Kommunikation mit den Angreifern aufzuzeichnen und ihr bisheriges Verhalten und ihre Zuverlässigkeit zu verstehen. Unternehmen sollten einen Nachweis des Entschlüsselungsschlüssels verlangen. Die Analyse der Historie des Angreifers kann dabei helfen, seine Glaubwürdigkeit und die Wahrscheinlichkeit, das Lösegeld zu senken, zu bestimmen.
Achten Sie während der Verhandlungen darauf, dass alle Beweise und die Kommunikation dokumentiert und aufbewahrt werden. Diese Spezialisten sind versiert im Verhandeln mit Angreifern und können das Lösegeld oft erheblich reduzieren. Die Kommunikation mit Angreifern erfolgt in der Regel über verschlüsselte Kanäle, und der Verhandlungsprozess kann mehrere Stufen der Erpressung umfassen. Die Verhandlungen sollten, wie geschäftliche Transaktionen angegangen werden, wobei Ruhe bewahrt und jeder Anflug von Verzweiflung vermieden werden sollte. Unternehmen sollten keine Details über ihre Cyber-Versicherung preisgeben und um mehr Zeit bitten, um Wiederherstellungsoptionen zu prüfen. Das Aufzeigen finanzieller Engpässe kann ebenfalls dazu beitragen, ein niedrigeres Lösegeld auszuhandeln.
Ein Beispiel für einen vom Autor erwähnten Fall ist Conti, das für seine aggressive Taktik bekannt ist und ein RaaS-Modell zur Verbreitung von Ransomware verwendet. Ihre doppelte Erpressungsmethode besteht nicht nur darin, die Dateien der Opfer zu verschlüsseln, sondern auch damit zu drohen, die Daten zu veröffentlichen oder zu verkaufen. Der Verhandlungsprozess mit Conti umfasst anfängliche Forderungen, den Nachweis von Entschlüsselungsfähigkeiten und potenzielle Drohungen, den Angriff zu eskalieren, wenn die Forderungen nicht erfüllt werden.
Obwohl es sich um einen schwierigen Prozess handelt, gibt es Präventivmassnahmen wie die Aufklärung der Mitarbeiter über Cybersicherheitsrisiken, die Umsetzung strenger Sicherheitsrichtlinien, die Investition in eine Cybersicherheitsversicherung und die regelmässige Aktualisierung von Software.
Mehr zu diesem Thema finden Sie in International Cybersecurity Law Review, 06. Dezember 2023 (Fabian M. Teichmann & Sonia R. Boticiu) verfügbar unter https://link.springer.com/article/10.1365/s43439-023-00106-w.