Opfer digitaler Erpressung: So handeln Sie richtig

Haben Sie schon einmal darüber nachgedacht, wie Sie mit einem Schadsoftware-Angriff umgehen, falls Ihr Unternehmen als Zielscheibe von Cyberkriminalität erpresst wird? Leider ist diese Art von digitaler Kriminalität in allen Regionen der Welt immer häufiger anzutreffen, unabhängig von der Unternehmensgröße oder dem Industriesektor.

Ein Großteil der Analysen von Ransomware-Aktivitäten konzentriert sich in erster Linie auf die technische Perspektive: Besonders darauf, wie man sich angesichts digitaler Erpressung technologisch schützen kann, ohne unbedingt auf Verhandlungsstrategien einzugehen. In einem Artikel der NCC Group wurden drei weitere Perspektiven untersucht: Wie werden die wirtschaftlichen Modelle von Angreifern zur Gewinnmaximierung eingesetzt? Wie positionieren sich die Opfer in der Verhandlungsphase? Und welche Strategien können zur Angleichung der Wettbewerbsbedingungen eingesetzt werden?

Die Untersuchung ergab, dass Cyberkriminelle einen erheblichen Verhandlungsvorteil haben – sie wissen in der Regel, wie viel das Opfer am Ende des Prozesses zahlen kann. Mehr als 700 Verhandlungen unter Angreifern und Opfern wurden zwischen 2019 und 2020 mit quantitativen und qualitativen Methoden untersucht. Basierend auf diesen Beispielen, realen Gesprächen zwischen Ransomware-Banden und ihren Opfern sowie vor allem auf Basis empirischer Ansätze der NCC Group werden in dem Artikel Empfehlungen vorgeschlagen, die den Opfern helfen können, ein günstigeres Ergebnis zu erzielen – oder zumindest eines mit weniger Schaden. Wenn die Entscheidung, das Lösegeld zu zahlen, gefallen ist, gibt es immer noch Möglichkeiten, den Schaden zu verringern. Es ist jedoch anzumerken, dass die Anwendung nur einer dieser Verhandlungsstrategien nicht viel bringen wird; es sollten die meisten davon befolgt werden.

1. Seien Sie respektvoll – Betrachten Sie die Ransomware-Krise als eine geschäftliche Transaktion. Engagieren Sie bei Bedarf externe Hilfe, aber verhalten Sie sich taktvoll, wie es sich für einen professionellen Umgang gehört. Die Studie ergab, dass es einen Zusammenhang zwischen der gezeigten Freundlichkeit und der Höhe des letztlich gezahlten Lösegelds gibt.

2. Haben Sie keine Angst davor, um mehr Zeit zu bitten – Selbst wenn der Cyberkriminelle versucht, das Opfer zu schnellen Entscheidungen zu drängen, wird er in der Regel zustimmen, den Verhandlungszeitraum zu verlängern. Dies kann für das Opfer nützlich sein, um die Situation besser einschätzen zu können. Möglicherweise kommt der Geschädigte schließlich zu dem Schluss, dass er die Daten selbst wiederherstellen kann. Ebenso kann dadurch zusätzliche Zeit gewonnen werden, um Verteidigungsstrategien zu entwickeln oder aber das Lösegeld zu zahlen.

3. Versprechen Sie, einen kleinen Betrag sofort zu zahlen – Es gibt eine gute Strategie, um Datenverluste während der Systemwiederherstellung zu vermeiden: Versuchen Sie, einen kleineren Betrag auszuhandeln, um das Geschäft abzuschließen. In mehreren Fällen wurden in der Studie große Verringerungen des Lösegelds festgestellt, wenn diese Option angeboten wurde.

4. Überzeugen Sie die Kriminellen davon, dass Sie kein hohes Lösegeld zahlen können – Eine der wirksamsten Strategien ist es, den Gegner davon zu überzeugen, dass die derzeitige finanzielle Lage es nicht erlaubt, den geforderten Betrag zu zahlen.

5. Wenn möglich, legen Sie die Existenz einer Cyberversicherung nicht offen – Um diese Informationen zu verbergen, darf das Opfer keine Versicherungsunterlagen auf einem zugänglichen Server gespeichert haben.

6. Richten Sie einen anderen Kommunikationskanal mit dem Angreifer ein – In mehreren Fällen, die im Rahmen der Studie untersucht wurden, infiltrierten Dritte den für den Nachrichtenaustausch verwendeten Chat. Diese begannen sich einzumischen und die Verhandlungen zu behindern. Hier ist Vorsicht geboten.

7. Bitten Sie darum, dass einige Dateien testweise entschlüsselt werden – Dies ist eine Maßnahme, um sicherzustellen, dass die Dateien nach der Zahlung des Lösegelds tatsächlich wiederhergestellt werden. Verlangen Sie außerdem einen Nachweis über die Löschung der Dateien.

 8. Bereiten Sie sich auf Situationen vor, in denen Dateien durchsickern oder auf irgendeine Weise verkauft werden – Trotz der eventuellen Zusicherung von Cyberkriminellen können Daten öffentlich einsehbar oder veräußert werden und durch viele Hände gegangen sein.

Maximierung der Gewinne

In den Anfangsjahren der Ransomware verfolgten die Gruppen eine einheitliche Preisstrategie, es gab sozusagen einen Festpreis nach dem Eindringen. Dies war bei CryptoLocker der Fall, wo das Lösegeld auf der Zahlung von 400 Dollar oder Euro pro Opfer basierte. Dieses System hat sich jedoch weiterentwickelt und heute gibt es im Wesentlichen drei Preiskategorien: personalisierte Preise, bei denen das Lösegeld auf der Grundlage der Zahlungsbereitschaft und -fähigkeit berechnet wird, Mengenrabatte und Preise, die persönliche oder geschäftliche Merkmale der Opfer berücksichtigen.

Der Artikel veranschaulicht die zweite Art der Preisgestaltung anhand des Falls einer chinesischen Cyberkriminellengruppe, die eine relativ hohe Anfangsgebühr für die Entschlüsselung der Daten von weniger als 10 Computern verlangte. Nachdem zahlreiche Entschlüsselungssysteme verkauft worden waren, sank der Betrag drastisch.

In der Studie der NCC-Gruppe wird eingeräumt, dass die Bewertung mit Einschränkungen verbunden ist. Es kann nicht mit Sicherheit gesagt werden, dass der Pool der identifizierten Opfer repräsentativ für die gesamte Bevölkerung ist. Darüber hinaus verwenden Ransomware-Gruppen andere Faktoren, um den Wert des Lösegelds zu bestimmen, zum Beispiel die Anzahl der verschlüsselten Computer und Server, die Anzahl der Mitarbeiter oder die erwartete Medienpräsenz. Faktoren wie diese sind schwieriger zu vergleichen.

Trotz dieser Einschränkungen legen Untersuchungen nahe, dass Cyberkriminelle ihre Gewinne durch Ausprobieren optimieren. Sie haben den Vorteil, dass das Opfer in der Regel unerfahren in dieser Art von Verhandlungen ist, während sie bereits Profis sind und leichter die beste Strategie wählen können. Außerdem können sie die gestohlenen Daten der Opfer ausspähen, so als ob sie bei einem Kartenspiel die Karten des Gegners sehen könnten. Mit anderen Worten: Wenn der Angreifer gut spielt, wird er immer gewinnen. Aus diesem Grund nimmt die Ransomware-Kriminalität rasant zu.