Wenn Cyber-Erpresser drohen, Daten zu veröffentlichen
Sowohl der Ausfall der IT im Rahmen einer Cyber Attacke als auch die Veröffentlichung von Daten durch die Angreifergruppe beinhalten erheblich Risiken für ein Unternehmen.
Haben Sie schon einmal überlegt, was ein Tag Ihrem Unternehmen kostet, wenn die IT nicht nutzbar ist? Wie viele Tage kann Ihr Unternehmen ohne IT auskommen? Vermutlich sind dies nur wenige Tage. Was passiert, wenn jemand droht, meine Firmen- oder Kundendaten zu veröffentlichen? Wissen Sie, wie man eine Krise, die durch eine Cybererpressung verursacht wurde, schnell und professionell bewältigt?
Trend zu Doppelerpressungen
Die drei wesentlichen Formen von Cybererpressungen erfolgen mittels Ransomware (Verschlüsselungstrojaner), Erpressung in Zusammenhang mit einem Datendiebstahl und Drohung mit einer DDoS-Attacke (Distributed Denial of Service).
Zunehmend nutzen die Täter eine Kombination aus Verschlüsselung der Daten und dem Diebstahl von Daten – eine Doppel-Erpressung. Weigert sich das Opfer, ein Lösegeld zu zahlen, um seine Daten wieder zu entschlüsseln, droht der Erpresser, Daten des Unternehmens zu veröffentlichen. Als kleine „Kostprobe“ veröffentlich die Tätergruppe dann Teile der gestohlenen Daten. Es kommt auch vor, dass die Täter Kunden der betroffenen Firmen anrufen oder anschreiben, mit dem Hinweis, die Firma nehme es nicht ernst die Daten der Kunden zu schützen.
Durch die starke Verbreitung von Malware in Form von Ransomware as a Service, die Doppelerpressungen ermöglicht, können auch Laien solche Attacken ausführen. Nicht immer geht es dem Angreifer um die scheinbare Erpressung. Für einen Wettbewerber oder einen staatlichen Akteur im Ausland mag auch die Betriebsunterbrechung und der Reputationsschaden, den er anrichtet, interessanter sein.
Vorsicht bei Zahlungen, wenn die Erpresser mit Datenveröffentlichungen drohen
Für betroffene Unternehmen stellt die Veröffentlichung von Daten in der Regel das größere Reputationsrisiko dar als die Verschlüsselung von Daten (hier ist die Betriebsunterbrechung das Problem). Dies kann dazu führen, dass man trotz verwendbarer Daten-Backups, ein Lösegeld zahlt, um die Veröffentlichung zu verhindern bzw. zu stoppen.
Aber hier ist aus mehreren Gründen Vorsicht geboten:
- Wenn bestimmte Daten betroffen sind, müssen innerhalb einer kurzen Frist die Datenschutzbehörden und ggf. die Betroffenen informiert werden. Je nach Art des Unternehmens (z.B. kritische Infrastruktur) müssen weitere Institutionen informiert werden. Ein Verstoß hiergegen gefährdet nicht nur die Reputation, sondern die Geldstrafen können weit über die geforderte Lösegeldsummer gehen. Eine Lösegeldzahlung ohne Behörden über den Datendiebstahl zu informieren, ist sehr risikoreich.
- Die Täter entwenden nicht immer Daten, auch wenn sie dies behaupten.
- Trotz Zusicherung durch die Täter gibt es keine Garantie, dass die Daten tatsächlich vernichtet werden. Die Opfer sollten davon ausgehen, dass sie an andere Bedrohungsakteure weitergegeben, verkauft oder für einen zweiten bzw. künftigen Erpressungsversuch aufbewahrt werden.
- Die entwendeten Daten wurden möglicherweise von mehreren Parteien aufbewahrt und nicht gesichert. Selbst wenn der Erpresser die Daten nach einer Zahlung löscht, können andere Parteien, die Zugang zu den Daten hatten, Kopien erstellt haben, um das Opfer in Zukunft zu erpressen.
- Die Daten können absichtlich oder irrtümlich veröffentlicht worden sein, bevor ein Opfer überhaupt auf einen Erpressungsversuch reagieren kann.
- Der Täter verspricht, eine Liste mit entwendeten Daten zu übermitteln. Vollständige Aufzeichnungen darüber, was entwendet wurde, werden vom Cybererpresser möglicherweise nicht geliefert, selbst wenn er ausdrücklich verspricht, solche Listen nach der Zahlung bereitzustellen.
Tätergruppen wie Conti oder Lockbit haben in der Vergangenheit immer wieder Opfer erneut erpresst.
Professionelle Krisenstabsarbeit ist entscheidend
Der Krisenstab und seine Leistung in der Krise sind entscheidend dafür, wie das Unternehmen durch die Krisen kommt und wie gering der Schaden ist. Cyberkrisen sind aber einige der wenigen Krisen, die tatsächlich den Bestand des Unternehmens gefährden können.
Krisen sind Hochstresssituationen, denn es steht viel auf dem Spiel – für das Unternehmen, aber auch für einzelne Führungskräfte und die Geschäftsleitung. Dies kann zu einer gewissen Lähmung oder zu Fehlentscheidungen führen – mit gravierenden Folgen. Für die erfolgreiche Krisenstabsarbeit sind u.a. entscheidend:
- Der Ernstfall sollte nicht die erste „Übung“ für den Krisenstab sein
- Klar und vorab definierte Funktionen, Rollen und Verantwortungsbereiche der einzelnen Krisenstabsmitglieder
- Verstehen, dass ein Cyberangriff kein rein technisches Problem ist, welches durch die IT-Abteilung gelöst werden sollte, sondern strategisch durch den Krisenstab
- Rasche Übersicht zu unterschiedlichen Akteuren und wie mit diesen umzugehen ist
- Transparente Kommunikation nach innen und außen mit dem Spagat zwischen rascher Kommunikation (um die Deutungshoheit zu behalten) und zeitaufwendigen Verifikation von Informationen, bevor diese mitgeteilt werden
- Effiziente Durchführung von Krisenstabssitzungen
- Beachtung rechtlicher Fallstricke, die insbesondere in Cyberfällen sehr komplex sind
- Zügige Entscheidungen und das richtige Priorisieren von Maßnahmen
- Nachverfolgen, wer was wann erledigt
- Schneller Zugriff auf externe Beratungsexpertise, auch am Wochenende
Unternehmen sollten bei Cyberangriffen professionelle externe Expertise hinzuziehen. Dies gilt nicht nur für Themen wie Rechtsberatung, Krisenkommunikation und Forensik, sondern insbesondere für das Krisenmanagement und die Krisenstabsarbeit. Der Krisenberater hilft, eine professionelle Krisenstabsarbeit zu etablieren, Silodenken zu überwinden und agiert als themenübergreifender Projektmanager an der Seite betroffener Unternehmen.
SmartRiskSolutions unterstützt Unternehmen in unterschiedlichen Krisensituationen, um durch ein professionelles Krisenmanagement schnell die Handlungsfähigkeit und Initiative zurückzugewinnen. Hierzu gehört auch die sofortige Beratung des Krisenstabes zu einer effizienten Arbeitsweise, aber auch im Antizipieren von Lageentwicklungen und Abwehrmöglichkeiten, um eine Schadensvertiefung zu vermeiden. Ferner unterstützt SmartRiskSolutions seit Jahren Organisationen bei Verhandlungen mit erpresserischen Tätern.