Lösegeldforderungen nach einem erfolgreichen Ransomware-Angriff sind ein heikles Thema. Die geforderte Summe kann sehr hoch sein. Ebenso wie der Druck, sie zu zahlen. Aber es gibt keine Garantie, dass Sie Ihre Daten zurückerhalten. Vielleicht machen Sie sich durch die Zahlung sogar strafbar. Zusätzlich lässt jede Zahlung das Geschäftsmodell Ransomware noch profitabler werden und verschlimmert so die Gesamtsituation. Aber ohne Daten und nutzbare IT steht in Ihrem Unternehmen bereits seit Tagen alles still und die Kosten …!
Die individuelle Entscheidung für oder gegen eine Lösegeldzahlung können wir niemandem abnehmen. In akuten Fällen beraten wir unsere Mitglieder dazu persönlich und individuell. Das geht in einem Blogartikel natürlich nicht.
Aber wir möchten, dass Sie zumindest Ihre grundlegenden Optionen kennen. Daher geben wir hier eine kursorische Übersicht über aktuelle Empfehlungen, Bedingungen, Studien und Zahlen rund um das Thema Lösegeldzahlungen. Und im Akutfall sind wir immer persönlich für Sie da.
Gut zu wissen: Im Lösegeld ist Verhandeln eingepreist
Im Rahmen des kürzlich erfolgten Ransomware-Angriffs auf Mediamarktsaturn forderten Cyberkriminelle insgesamt 240 Millionen US-Dollar Lösegeld. Die Forderung klingt astronomisch – und ist es auch. Denn die Summen werden von den Cyberkriminellen häufig extra hoch angesetzt, um Verhandlungsspielraum zu haben.
Was raten die Behörden?
Das BSI, das BKA und die Polizei raten von Lösegeldzahlungen ab. Unter anderem, weil nicht sicher ist, ob die Daten nach der Zahlung entschlüsselt werden und weil weitere Lösegelder eingefordert werden könnten.
Studie von Sophos: Lösegeld bringt im Durchschnitt nur 2/3 der Daten zurück
Das britische Sicherheitssoftware-Unternehmen Sophos gibt jährlich eine Studie zum Thema Ransomware heraus. 2021 wurden 5.400 IT-Entscheidende in 30 Ländern befragt. In Bezug auf
Lösegeldzahlungen gab es aufschlussreiche Antworten:
- Unternehmen, die ein Lösegeld zahlten, erhielten im Durchschnitt nur 65 % ihrer verschlüsselten Daten zurück.
- Nur bei 8 % wurden alle Daten wieder entschlüsselt.
- Bei fast einem Drittel – bei 29 % – wurde maximal die Hälfte der Daten entschlüsselt.
- Bei einer Kosten-Nutzen-Abwägung zu einer Lösegeldzahlung sollten Unternehmen daher davon ausgehen, dass sie etwa 2/3 ihrer Daten zurückerhalten.
- Ein fast banales, aber dennoch wichtiges Ergebnis der Studie: Die Branchen, die ihre Daten am häufigsten aus Backups wiederherstellen konnten, zahlten am seltensten Lösegelder.
Die Sicht der Cyberversicherungen: Lösegelder zahlen verschärft langfristig das Problem
Unter bestimmten Umständen konnten Unternehmen bislang Lösegelder, die sie im Rahmen eines Ransomware-Angriffs gezahlt hatten, von ihrer Cyberversicherung zurückfordern. Nun weichen die ersten Versicherungs-Unternehmen entschieden von dieser Praxis ab.
Hintergrund ist, dass Ransomware-Angriffe immer häufiger und komplexer werden – und die Schäden dadurch immer höher. Damit die Cyberversicherungen dennoch wirtschaftlich bleiben, müssen sie Maßnahmen ergreifen. Zum Beispiel: ihre Prämien erhöhen, ihre Versicherungsbedingungen strenger gestalten und bzw. oder die Schadensabdeckung begrenzen.
Ein zusätzlicher Faktor für Versicherungen ist, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware für Cyberkriminelle fördert. Das führt langfristig zu noch mehr Angriffen und Lösegeldforderungen und damit zu immer höheren Risiken für die Versicherungen.
Diese Risiken einer Lösegeldzahlung sollten Sie kennen:
Möglicherweise werden die verschlüsselten Daten nicht oder nur zum Teil wieder entschlüsselt. Denn für manche Ransomware haben die Cyberkriminellen gar kein Entschlüsselungsprogramm. Und einige der tatsächlich existierenden Entschlüsselungsprogramme enthalten Codefehler, sodass sie nicht funktionieren.
Cyberkriminelle sind gut vernetzt. Sie teilen auch Informationen dazu, welche Unternehmen bereit waren, Lösegelder zu zahlen. Diese Unternehmen sind dann attraktive Ziele für erneute Angriffe.
Lösegeldzahlungen können rechtlich problematisch sein. Daher empfiehlt sich das Hinzuziehen einer Anwältin oder eines Anwalts.
Wir von Perseus raten: Nur im äußersten Notfall zahlen
Generell empfehlen wir, kein Lösegeld zu zahlen. Von dieser Empfehlung weichen wir in Einzelfällen ab. Unser Senior Security Analyst Valentin Savulescu erklärt: “Wenn eine Lösegeldzahlung die einzige oder immer noch beste Option ist, dann raten wir dazu. Zum Beispiel, wenn es in einem Unternehmen gar keine Backups gibt oder alle Backups ebenfalls verschlüsselt wurden und die kritischen Daten nicht aus anderen Quellen rekonstruiert werden können. Also zum Beispiel aus Akten, Unterlagen, Online-Archiven oder Kommunikation. Wenn außerdem keine Alternative zu einer Lösegeldzahlung greift und es bereits eine große Hilfe wäre, wenn die Daten wenigstens zum Teil entschlüsselt werden.”
Er ergänzt: “Aber auch eine Lösegeldzahlung ist keine einfache Lösung. So müssen wir z. B. jedes von den Cyberkriminellen bereitgestellte Entschlüsselungsprogramm zunächst überprüfen. Denn es kann sich einfach um ein weiteres Schadprogramm handeln. Eine Garantie, dass das gelieferte Entschlüsselungsprogramm funktioniert, gibt es ebenfalls nicht. Und nach der Zahlung muss das Unternehmen sich extrem gut absichern, um weitere Vorfälle zu verhindern.” Zusätzlich empfiehlt Savulescu, ein Kopie der verschlüsselten Daten aufzubewahren – für den Fall, dass sie bald doch ohne Lösegeldzahlung entschlüsselt werden können.
Alternativen zu einer Lösegeldzahlung
Testen Sie mit dem CryptoSherriff von Nomoreransom.org, ob Ihre verschlüsselten Daten auch ohne Lösegeldzahlung entschlüsselt werden können. Nomoreransom.org ist eine Initiative u. a. der National High Tech Crime Unit der niederländischen Polizei und des Cybercrime Centers von Europol.
Nutzen Sie Backups, um die Daten wiederherzustellen. Selbst mit älteren Backups erhalten Sie vermutlich mehr Daten zurück, als wenn Sie das Lösegeld bezahlen.
Wenden Sie sich an Perseus, um alle technischen Möglichkeiten einer Entschlüsselung und Datenwiederherstellung auszuschöpfen.
Wichtig:
Egal ob Sie ein Lösegeld bezahlen oder nicht, nach einem erfolgreichen Ransomware-Angriff müssen Sie Ihr System unbedingt umfassend gegen erneute Angriffe absichern. Perseus steht Ihnen dabei gerne zur Seite.
Wir helfen Ihnen im Akutfall
Sie haben gerade eine Lösegeldforderung vor sich? Dann kontaktieren Sie uns umgehend, damit wir besprechen, wie Sie nun am besten reagieren.
Perseus-Mitglieder können jeden Tag rund um die Uhr auf unsere Incident Response zählen
Ebenfalls rund um die Uhr besetzt ist diese Notfall-Nummer für Nicht-Mitglieder: +49 30 233 2730 95