Grundsatzfrage 12.01.2022, 06:03 Uhr

Bei Ransomware-Angriffen zahlen oder nicht zahlen?

Es kann wirklich jeden treffen. Security-Experten sagen, wie Unternehmen bei Ransomware-Angriffen reagieren sollten.
(Quelle: Shutterstock / Carlos Amarillo)
Es dauert in der Regel nur Sekunden: Eine Datei wird geöffnet, manchmal läuft ein Script ab, die Ransomware führt sich aus und startet sofort die Verbreitung im Unternehmensnetzwerk. Selbst wenn es für dieses Worst-Case-Szenario ein Notfall-Protokoll geben sollte – die Zahlung eines Lösegelds wäre darin nicht vorgesehen.
Viele Unternehmen gehen irrtümlich davon aus, sie seien gut gegen solche Angriffe gerüstet. Sie überschätzen ihre Security-Systeme oder ihr Personal – das gilt für KMUs wie für grössere Firmen. Im Mai 2017 konnte sogar das ganze Land einen Angriff miterleben, als auf fast jedem neueren Display der Deutschen Bahn die Zahlungsaufforderung der Ransomware WannaCry eingeblendet war.
Die meisten Angriffe haben natürlich weniger Publikum. Aber dank der DSGVO und der Pflicht, eine Attacke, bei der wahrscheinlich Daten abgeflossen sind, anzuzeigen, sind Meldungen fast an der Tagesordnung.

Jeder kann Opfer werden

Ob gut oder schlecht vorbereitet: Jedes Unternehmen ist potenzielles Ziel von Ransomware-Kriminellen. Nach einem erfolgreichen Angriff stellen sich Unternehmen immer wieder die gleichen Fragen: Was können wir jetzt machen? Sollen wir zahlen? Spätestens wenn neben den Security-Leuten auch Manager und Finanzexperten mit am Tisch sitzen, wird die Frage nach der Lösegeldzahlung zur ökonomischen Entscheidung. So geschehen etwa beim US-Pipeline-Betreiber Colonial im Mai dieses Jahres. Damals waren so viele Steuerungssysteme der Pipeline verschlüsselt, dass man den Betrieb einstellen musste. Offizielle Aussage: Man könne den Systemschaden nicht einschätzen. Daher lasse sich nicht sicher sagen, wann die Pipeline wieder ans Netz gehen könne. Mit dieser Begründung zahlte Colonial Pipeline 4,4 Millionen Dollar in Form von Bitcoins. Doch die von den Erpressern gelieferten Entschlüsselungs-Tools behoben den Schaden nur zum Teil. Daher konnte die Pipeline nur im Notbetrieb wieder hochfahren. Weitere Kosten für die Reparatur der Steuerungssysteme standen an.
Wie im Fall von Colonial Pipeline entscheiden sich hinter den Kulissen immer wieder von Ransomware betroffene Unternehmen für die Zahlung des Lösegelds, da sie dies für das kleinere Übel halten. Oft kalkulieren besonders kühne Rechner im Unternehmen mit spitzem Bleistift den Schaden, der entsteht, wenn bestimmte Daten verloren sind, man diese neu erfassen muss oder Teile des laufenden Geschäfts nicht abwickeln kann. Dem wird dann die Summe des Lösegelds gegenübergestellt. Dass solche Berechnungen meist Unsinn sind, mussten einige Unternehmen bereits schmerzlich erfahren. Denn in ihrer Rechnung hatten sie vergessen, dass sie ein kompromittiertes System flickten, um bald festzustellen, dass die Angreifer immer noch vollen Zugriff auf das System hatten. Ein Umbau und das Neuaufsetzen des gesamten Unternehmensnetzes waren unausweichlich.
Dass es auch anders geht, zeigte der irische Gesundheitsdienst HSE. Ebenfalls im Mai dieses Jahres verschlüsselten Hacker wichtige Daten, sodass Krankenhäuser zahlreiche Behandlungstermine absagen mussten. Die Verantwortlichen von HSE fuhren die Systeme herunter, machten sich daran, die Systeme und die Daten wiederherzustellen – und verkündeten öffentlich, keinerlei Lösegeld zu zahlen, sondern das Geld lieber für die Wiederherstellung und den Umbau der Systeme zu nutzen. Experten zufolge ist durch diese Entscheidung eine weitere Ransomware-Attacke auf HSE wesentlich unwahrscheinlicher geworden. Denn Angreifer suchen sich primär solche Ziele aus, bei denen sie vermuten, dass sie Lösegeld bekommen.

Null-Lösegeld-Forderung

Inzwischen ist das Problem Ransomware auch in der Politik angekommen. Man hat verstanden, dass jeder bezahlte Dollar, Euro oder Bitcoin neue Attacken finanziert. Daher fordert die Politik, damit müsse Schluss sein. Den ersten Schritt in Richtung einer Null-Lösegeld-Strategie machte vor Kurzem US-Präsident Biden. So wurde festgelegt, dass eine gemeldete Ransomware-Attacke einem Terrorangriff gleichgesetzt wird. Diese Einstufung lässt einen erweiterten Zugriff auf Ressourcen zum Schutz der nationalen Sicherheit zu. Auch in Grossbritannien werden die Stimmen lauter, die zu einer Null-Lösegeld-Strategie raten. Sprecher des Cybersecurity-Zentrums des Geheimdienstes GCHQ fordern sogar ein gesetzliches Verbot von Lösegeldzahlungen an Hacker, weil mit dem Lösegeld das organisierte Verbrechen finanziert werde.
In Deutschland gibt es zwar politische Gespräche zu dem Thema, aber noch keine konkreten Schritte. Nötig wäre das, wie ein Artikel auf «Zeit Online» vom Juni 2021 belegt: Mindestens 100 deutsche Ämter, Regierungsstellen, Kliniken, Stadtverwaltungen und Gerichte wurden in den vergangenen sechs Jahren von Ransomware-Banden attackiert.
Computerworld hat einen grossen Kreis von Experten und Herstellern der Security-Branche befragt, wie Unternehmen im Fall einer Ransomware-Attacke reagieren sollten. Im Folgenden ihre Statements.



Das könnte Sie auch interessieren