Ist es sinnvoll, ein Ransomware-Lösegeld zu zahlen? Was passiert, wenn Unternehmen ein Lösegeld zahlen, um Daten wiederherzustellen?

Ransomware-Lösegeld

Was passiert, wenn ein Ransomware-Angriff eine Lösegeldzahlung von einem Unternehmen verlangt? Sollten Sie sich entscheiden, zu zahlen oder nicht zu zahlen? Wenn ein Unternehmen von Ransomware angegriffen wird, die seinen Betrieb gefährdet oder mit der Veröffentlichung sensibler Daten droht, denken Sie vielleicht, dass es besser wäre, das Lösegeld zu zahlen und dem Albtraum, in den Sie geraten sind, ein Ende zu setzen. Ist es sinnvoll, ein Lösegeld zu zahlen? Was passiert, wenn Unternehmen ein Lösegeld zahlen, um Daten wiederherzustellen?

Ransomware-Angriffe werden von Tag zu Tag mächtiger. Cybersicherheitsexperten sagen, dass Cyberkriminelle gut darin sind, Schwachstellen in Computersystemen von Unternehmen zu finden.

Typischerweise verhindern Ransomware-Angriffe, dass das Opfer erneut auf seine Daten zugreifen kann, und fordern die Zahlung eines Lösegelds.

Experten sind sich nicht einig, welche Vorgehensweise bei der Entscheidung, ob ein Lösegeld gezahlt werden soll oder nicht, am besten ist. Das FBI und die Heimatschutzbehörde raten von der Zahlung des Lösegelds ab, da dies weiteres kriminelles Verhalten fördert.

Was passiert nach der Zahlung?

Theoretisch sollte das Opfer nach Zahlung des Lösegelds die Entschlüsselungsschlüssel und die Zusage erhalten, die vom angegriffenen Computersystem gestohlenen Daten nicht zu verwenden oder zu veröffentlichen. Die Zahlung garantiert jedoch nicht, dass die Situation vor dem Angriff wiederhergestellt wird.

Unternehmensleiter sollten die Statistiken zu diesen Fällen im Auge behalten, bevor sie eine Zahlungsentscheidung treffen, aus denen hervorgeht, dass in Wirklichkeit nur 65 % der Daten wiederhergestellt werden und nur 8 % der Unternehmen es schaffen, alle Daten wiederherzustellen:

  • Verschlüsselte Dateien können oft nicht wiederhergestellt werden. Vom Angreifer bereitgestellte Decoder können fehlerhaft funktionieren oder abstürzen;
  • Die Datenwiederherstellung kann mehrere Wochen dauern, insbesondere wenn sie stark verschlüsselt wurde;
  • Es gibt keine Garantie dafür, dass die gestohlenen Daten in Zukunft nicht weiterverkauft oder ins Dark Web gelangen;
  • Leider ist die Zahlung des Lösegelds keine Garantie dafür, dass Systeme repariert oder Daten wiederhergestellt werden. Man kann nicht alle Versprechungen der Erpresser glauben, sie interessieren sich nicht für die Schwierigkeiten, die das Unternehmen überwinden muss, um zur Normalität zurückzukehren;
  • Statistiken besagen, dass Unternehmen, die das Lösegeld gezahlt haben, mit größerer Wahrscheinlichkeit einen zweiten Angriff erleiden, da die Kriminellen wissen, dass das IT-System Schwachstellen aufweist und das Management bereit ist, zu zahlen.

Während einige Experten glauben, dass Unternehmen niemals Ansprüche wegen Ransomware geltend machen sollten, argumentieren andere, dass jede Situation einzigartig sei. Diese Cyber-Angriffe können den Fortbestand des Unternehmens gefährden, daher muss den Führungskräften die Entscheidung überlassen werden.

Es gibt keine einfache oder einheitliche Lösung

Auch die Zahlung des Lösegelds birgt ein technologisches Risiko. Laut einer Cybereason-Studie waren 80 % der Ransomware-Opfer, die das geforderte Lösegeld zahlten, anschließend einem weiteren Ransomware-Angriff ausgesetzt.

Die meisten Unternehmen, die ein Lösegeld zahlen, tun dies, weil die Schadensersatzforderungen nach einem Ransomware-Angriff den von Erpressern geforderten Betrag übersteigen könnten. Beispielsweise könnte der Verlust von Kundendaten zum einen zu rechtlichen Schritten der Kunden wegen Verletzung der Privatsphäre und zum anderen zu einem Rückgang der Abrechnungen führen.

Oder Sie zahlen lieber das Lösegeld, weil der Betrieb gefährdet ist, wie es zum Beispiel in Krankenhäusern der Fall ist, wo die Einstellung von Aktivitäten an Menschenleben gemessen wird.

Dies ist auch Ransomware-Organisationen bekannt, die eine Vorliebe für Angriffe auf öffentliche Dienste wie das Gesundheitswesen und den Transport haben, deren Scheitern eine Nation ins Chaos stürzen kann.

Es ist jedoch bekannt, dass Ransomware-Gruppen wieder bekannte Unternehmen ins Visier nehmen, die bereits beim ersten Mal gezahlt haben, weil sie glauben, dass dies ein einfacherer finanzieller Gewinn sei. Fakt ist, dass zahlende Opfer immer wieder ins Visier der Opfer geraten.

Daher müssen Unternehmen ihre Fähigkeit, den Betrieb wieder aufzunehmen, objektiv bewerten und ihr IT-System und ihre Verteidigungsrichtlinien verfeinern, um nicht so anfällig zu sein wie beim ersten Mal und mit der nahezu sicheren Wahrscheinlichkeit, dass es zu einem zweiten Ransomware-Angriff kommt.

Nehmen Sie Kontakt mit einem Ransomware-Broker auf

Eine Möglichkeit, die Lösegeldzahlung am besten zu verwalten, besteht darin, Unterstützung von einem Ransomware-Broker zu erhalten. Diese neuen Fachkräfte sind häufig Teil von Incident Response (IR)-Dienstleistungsunternehmen oder stellen ihre Dienste Versicherungsunternehmen zur Verfügung, die Cybersicherheitsrisiken versichern.

Diese Entscheidung und die damit verbundene Wahl des Vermittlers müssen vor dem Ransomware-Angriff getroffen werden. Organisationen sollten sich über die Verfügbarkeit von Handelsdienstleistungen und etwaige damit verbundene Gebühren erkundigen, bevor sie den Cyber-Versicherungsvertrag unterzeichnen oder einen IR-Beratungsvertrag abschließen.

Im Falle eines Ransomware-Angriffs mit Lösegeldforderung könnte die Unternehmensleitung sofort die Dienste des Mediators in Anspruch nehmen, um nicht blind an die Situation heranzugehen.

Oftmals haben die Mediatoren bereits Erfahrungen mit denselben Kriminellen gemacht und jeder von ihnen betreut mehrere Fälle gleichzeitig. Aus eigener Erfahrung wissen sie, wie man Verhandlungen auf die Beine stellt, was Kriminellen gewährt werden kann, worüber sie „aufrichtig“ sind und was man überhaupt nicht glauben sollte. Darüber hinaus wissen die Vermittler dank ihrer Erfahrung, ob es sich um Kriminelle handelt, die bei anderen Gelegenheiten das Lösegeld eingesammelt haben, ohne die Daten zurückzugeben, und raten daher von der Zahlung ab. Oder ich bin mir darüber im Klaren, dass man bei entsprechender Verhandlungstaktik einen erheblichen „Rabatt“ auf die Lösegeldsumme erzielen kann.

Eine weitere vorbeugende Entscheidung, die Sie treffen sollten, bevor Sie einen Ransonware-Angriff erleiden, besteht darin, etwas Kapital in Bitcoin in einer Kryptowährungs-Wallet aufzubewahren, um bei Bedarf das Lösegeld bezahlen zu können. Diese Zahlungsart kommt bei Lösegeldzahlungen am häufigsten vor.

Oftmals kann ein Makler im Namen des Kunden Zahlungsvereinbarungen treffen. Beträgt die Lösegeldforderung jedoch einen achtstelligen oder höheren Betrag, muss das Opfer wissen, wo und wie es zeitnah an eine solche Menge Bitcoin gelangen kann. Ransomware-Kriminelle sind nicht bereit, lange Stunden zu warten.

Um Verwirrung in letzter Minute zu vermeiden, sollte dieses Verfahren vor dem Ransomware-Angriff festgelegt und im IR-Plan dokumentiert werden. Manchmal kann Ihnen der Broker dabei helfen, die Verfügbarkeit von Bitcoin zu finden.

In einigen Fällen verlangen Ransomware-Angreifer die Zahlung in Monero, einer Kryptowährung, die schwieriger zurückzuverfolgen ist. Dies macht die Sache noch komplizierter, da es ziemlich schwierig ist, kurzfristig große Mengen an Monero zu beschaffen.

Was ist nach der Zahlung zu tun?

Nach der Wiederherstellung nach einem Ransomware-Angriff sollte das Unternehmen geeignete Vorkehrungen treffen, um sich auf einen zweiten Angriff vorzubereiten, indem es Reaktions- und Wiederherstellungsszenarien für verschiedene Arten von Angriffen erstellt und ändert.

Bei der Wiederherstellung nach einem Cyberangriff müssen Sie unverzüglich handeln. Die besten Erfolgsaussichten besteht in einer gut geplanten und strukturierten Reaktion. Doch aktuellen Untersuchungen zufolge verfügen nur 54 % der Unternehmen mit mehr als 500 Mitarbeitern über einen umfassenden Sanierungsplan. Laut Cybnet-Statistiken verfügen 77 % der Unternehmen über keine Reaktionsstrategie auf Cybersicherheitsangriffe. Das ist ein besorgniserregender Trend.

Für alle Unternehmen, die etwas zu verlieren haben, ist es möglicherweise an der Zeit, nicht zu zögern und über den Wert der Erstellung eines Wiederherstellungsplans nach einem Cyberangriff nachzudenken.

Fehler: Inhalt ist geschützt !!