Nach einem Bericht des National Cyber Security Centre (Januar 2021) in Großbritannien hat ein Unternehmen innerhalb von zwei Wochen einer Hackergruppe zweimal ein Lösegeld gezahlt. Das Unternehmen wurde Opfer einer Ransomware-Attacke. Um die Daten wieder entschlüsseln zu können, zahlte die Organisation eine Summe von umgerechnet 7,4 Millionen Euro.

Ohne die Ursache für den Hackerangriff zu untersuchen, die Sicherheitslücke zu finden und zu schließen, wurde der Geschäftsbetrieb nach der ersten Lösegeldzahlung fortgesetzt. Nach kurzer Zeit griffen die gleichen Täter erneut das Netzwerk der Firma an und setzen erneut einen Verschlüsselungstrojaner ein. Dem Unternehmen blieb nichts anderes übrig, als erneut ein Lösegeld zu bezahlen.

Lehren aus dem Vorfall

Für betroffene Organisationen ist es verständlicherweise von höchster Priorität, die Daten wieder verwenden zu können und die Firmenaktivitäten fortzusetzen. Dabei sollte man sich aber nicht nur auf die sichtbaren Symptome (Verschlüsselung der Daten durch die Täter), sondern auch auf die Ursache konzentrieren. Wie konnte es zu dem Angriff kommen und ist dem Angreifer der Zugang nun verwehrt? Es ist auch grundsätzlich möglich, dass Täter eine Ransomware-Attacke durchführen, um von einem anderen Angriff abzulenken.

Empfehlungen

• Seien Sie den Tätern gegenüber absolut misstrauisch, auch wenn diese sich sehr kooperativ zeigen. Wir erleben immer wieder, dass bei Betroffenen die Hoffnung auf Fairness seitens des Täters das Handeln beeinflusst und vom dem Wunsch getrieben ist, schnell wieder in den „Normalzustand“ zurückzukehren.
• Die Verhandlungen mit Erpressern dienen auch dazu, Zeit für die Untersuchung des Vorfalls durch die IT-Forensiker zu gewinnen – und das braucht Zeit.
• Ferner geht es darum, in der Verhandlungsführung mit den Tätern zu zeigen, dass das Unternehmen ein unattraktives Ziel für zukünftige Erpressungsversuche ist. Hierdurch gelingt es auch häufig, die Lösegeldforderung zu reduzieren.
• Stellen Sie durch umfangreiche forensische Untersuchungen sicher, dass der Täter keinen Zugriff zum Netzwerk durch eine Hintertür (Backdoor) hat. Dies gilt auch für verwendete Backups. Vergewissern Sie sich, dass der Angreifer im wiederhergestellten System keine Administratorenrechte hat.

SmartRiskSolutions ist unter anderem in der Krisenreaktion von Entführungs- und Erpressungsfällen – einschließlich Cybererpressungen – tätig, aber auch in der Krisenprävention und dem Aufbau von Strukturen des Krisenmanagements. Mehr Informationen zum Cyber-Krisenmanagement finden Sie hier.