Wenn Cyber Erpresser mit der Veröffentlichung von Daten drohen

Wenn Cyber-Erpresser drohen, Daten zu veröffentlichen

Sowohl der Ausfall der IT im Rahmen einer Cyber Attacke als auch die Veröffentlichung von Daten durch die Angreifergruppe beinhalten erheblich Risiken für ein Unternehmen.

von Pascal Michel

 

Haben Sie schon einmal überlegt, was ein Tag Ihrem Unternehmen kostet, wenn die IT nicht nutzbar ist? Wie viele Tage kann Ihr Unternehmen ohne IT auskommen? Vermutlich sind dies nur wenige Tage. Was passiert, wenn jemand droht, meine Firmen- oder Kundendaten zu veröffentlichen? Wissen Sie, wie man eine Krise, die durch eine Cybererpressung verursacht wurde, schnell und professionell bewältigt?

Trend zu Doppelerpressungen

Die drei wesentlichen Formen von Cybererpressungen erfolgen mittels Ransomware (Verschlüsselungstrojaner), Erpressung in Zusammenhang mit einem Datendiebstahl und Drohung mit einer DDoS-Attacke (Distributed Denial of Service).


Zunehmend nutzen die Täter eine Kombination aus Verschlüsselung der Daten und dem Diebstahl von Daten – eine Doppel-Erpressung. Weigert sich das Opfer, ein Lösegeld zu zahlen, um seine Daten wieder zu entschlüsseln, droht der Erpresser, Daten des Unternehmens zu veröffentlichen. Als kleine „Kostprobe“ veröffentlich die Tätergruppe dann Teile der gestohlenen Daten. Es kommt auch vor, dass die Täter Kunden der betroffenen Firmen anrufen oder anschreiben, mit dem Hinweis, die Firma nehme es nicht ernst die Daten der Kunden zu schützen.

Durch die starke Verbreitung von Malware in Form von Ransomware as a Service, die Doppelerpressungen ermöglicht, können auch Laien solche Attacken ausführen. Nicht immer geht es dem Angreifer um die scheinbare Erpressung. Für einen Wettbewerber oder einen staatlichen Akteur im Ausland mag auch die Betriebsunterbrechung und der Reputationsschaden, den er anrichtet, interessanter sein.

Vorsicht bei Zahlungen, wenn die Erpresser mit Datenveröffentlichungen drohen

Für betroffene Unternehmen stellt die Veröffentlichung von Daten in der Regel das größere Reputationsrisiko dar als die Verschlüsselung von Daten (hier ist die Betriebsunterbrechung das Problem). Dies kann dazu führen, dass man trotz verwendbarer Daten-Backups, ein Lösegeld zahlt, um die Veröffentlichung zu verhindern bzw. zu stoppen.

 

Aber hier ist aus mehreren Gründen Vorsicht geboten:

 

  • Wenn bestimmte Daten betroffen sind, müssen innerhalb einer kurzen Frist die Datenschutzbehörden und ggf. die Betroffenen informiert werden. Je nach Art des Unternehmens (z.B. kritische Infrastruktur) müssen weitere Institutionen informiert werden. Ein Verstoß hiergegen gefährdet nicht nur die Reputation, sondern die Geldstrafen können weit über die geforderte Lösegeldsummer gehen. Eine Lösegeldzahlung ohne Behörden über den Datendiebstahl zu informieren, ist sehr risikoreich.
  • Die Täter entwenden nicht immer Daten, auch wenn sie dies behaupten.
  • Trotz Zusicherung durch die Täter gibt es keine Garantie, dass die Daten tatsächlich vernichtet werden. Die Opfer sollten davon ausgehen, dass sie an andere Bedrohungsakteure weitergegeben, verkauft oder für einen zweiten bzw. künftigen Erpressungsversuch aufbewahrt werden.
  • Die entwendeten Daten wurden möglicherweise von mehreren Parteien aufbewahrt und nicht gesichert. Selbst wenn der Erpresser die Daten nach einer Zahlung löscht, können andere Parteien, die Zugang zu den Daten hatten, Kopien erstellt haben, um das Opfer in Zukunft zu erpressen.
  • Die Daten können absichtlich oder irrtümlich veröffentlicht worden sein, bevor ein Opfer überhaupt auf einen Erpressungsversuch reagieren kann.
  • Der Täter verspricht, eine Liste mit entwendeten Daten zu übermitteln. Vollständige Aufzeichnungen darüber, was entwendet wurde, werden vom Cybererpresser möglicherweise nicht geliefert, selbst wenn er ausdrücklich verspricht, solche Listen nach der Zahlung bereitzustellen.

Tätergruppen wie Conti oder Lockbit haben in der Vergangenheit immer wieder Opfer erneut erpresst.

Professionelle Krisenstabsarbeit ist entscheidend

Der Krisenstab und seine Leistung in der Krise sind entscheidend dafür, wie das Unternehmen durch die Krisen kommt und wie gering der Schaden ist. Cyberkrisen sind aber einige der wenigen Krisen, die tatsächlich den Bestand des Unternehmens gefährden können.

Krisen sind Hochstresssituationen, denn es steht viel auf dem Spiel – für das Unternehmen, aber auch für einzelne Führungskräfte und die Geschäftsleitung. Dies kann zu einer gewissen Lähmung oder zu Fehlentscheidungen führen – mit gravierenden Folgen. Für die erfolgreiche Krisenstabsarbeit sind u.a. entscheidend:

 

  • Der Ernstfall sollte nicht die erste „Übung“ für den Krisenstab sein
  • Klar und vorab definierte Funktionen, Rollen und Verantwortungsbereiche der einzelnen Krisenstabsmitglieder
  • Verstehen, dass ein Cyberangriff kein rein technisches Problem ist, welches durch die IT-Abteilung gelöst werden sollte, sondern strategisch durch den Krisenstab
  • Rasche Übersicht zu unterschiedlichen Akteuren und wie mit diesen umzugehen ist
  • Transparente Kommunikation nach innen und außen mit dem Spagat zwischen rascher Kommunikation (um die Deutungshoheit zu behalten) und zeitaufwendigen Verifikation von Informationen, bevor diese mitgeteilt werden
  • Effiziente Durchführung von Krisenstabssitzungen
  • Beachtung rechtlicher Fallstricke, die insbesondere in Cyberfällen sehr komplex sind
  • Zügige Entscheidungen und das richtige Priorisieren von Maßnahmen
  • Nachverfolgen, wer was wann erledigt
  • Schneller Zugriff auf externe Beratungsexpertise, auch am Wochenende

 

Unternehmen sollten bei Cyberangriffen professionelle externe Expertise hinzuziehen. Dies gilt nicht nur für Themen wie Rechtsberatung, Krisenkommunikation und Forensik, sondern insbesondere für das Krisenmanagement und die Krisenstabsarbeit. Der Krisenberater hilft, eine professionelle Krisenstabsarbeit zu etablieren, Silodenken zu überwinden und agiert als themenübergreifender Projektmanager an der Seite betroffener Unternehmen.

 

SmartRiskSolutions unterstützt Unternehmen in unterschiedlichen Krisensituationen, um durch ein professionelles Krisenmanagement schnell die Handlungsfähigkeit und Initiative zurückzugewinnen. Hierzu gehört auch die sofortige Beratung des Krisenstabes zu einer effizienten Arbeitsweise, aber auch im Antizipieren von Lageentwicklungen und Abwehrmöglichkeiten, um eine Schadensvertiefung zu vermeiden. Ferner unterstützt SmartRiskSolutions seit Jahren Organisationen bei Verhandlungen mit erpresserischen Tätern.

Zurück

Kontakt

Rufen Sie uns an, schreiben Sie uns eine Nachricht oder vereinbaren Sie einen persönlichen Beratungstermin – wir sind für Sie da und freuen uns darauf, gemeinsam mit Ihnen Ihre Wünsche umzusetzen.

SmartRiskSolutions GmbH
Nördliche Münchner Straße 14a
82031 Grünwald
T: +49 (89) 12503247 0

Haben Sie Fragen?
© 2015-2024 SmartRiskSolution GmbH. Alle Rechte vorbehalten.
  • Veranstaltungskalender
  • Karten
  • Downloads und Fachberichte von SmartRiskSolutions
Einstellungen gespeichert

Datenschutzeinstellungen

Bitte treffen Sie eine Auswahl um fortzufahren

user_privacy_settings

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die Privacy Level Einstellungen aus dem Cookie Consent Tool "Privacy Manager".

user_privacy_settings_expires

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die Speicherdauer der Privacy Level Einstellungen aus dem Cookie Consent Tool "Privacy Manager".

ce_popup_isClosed

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert, dass das Popup (Inhaltselement - Popup) durch einen Klick des Benutzers geschlossen wurde.

onepage_animate

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert, dass der Scrollscript für die Onepage Navigation gestartet wurde.

onepage_position

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die Offset-Position für die Onepage Navigation.

onepage_active

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert, dass die aktuelle Seite eine "Onepage" Seite ist.

view_isGrid

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die gewählte Listen/Grid Ansicht in der Demo CarDealer / CustomCatalog List.

portfolio_MODULE_ID

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert den gewählten Filter des Portfoliofilters.

Eclipse.outdated-browser: "confirmed"

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert den Zustand der Hinweisleiste "Outdated Browser".

_ga

Domainname: smartrisksolutions.de
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Enthält eine zufallsgenerierte User-ID. Anhand dieser ID kann Google Analytics wiederkehrende User auf dieser Website wiedererkennen und die Daten von früheren Besuchen zusammenführen.

_gat

Domainname: smartrisksolutions.de
Ablauf: 1 Minute
Speicherort: Localstorage
Beschreibung: Bestimmte Daten werden nur maximal einmal pro Minute an Google Analytics gesendet. Das Cookie hat eine Lebensdauer von einer Minute. Solange es gesetzt ist, werden bestimmte Datenübertragungen unterbunden.

_gid

Domainname: smartrisksolutions.de
Ablauf: 24 Stunden
Speicherort: Localstorage
Beschreibung: Enthält eine zufallsgenerierte User-ID. Anhand dieser ID kann Google Analytics wiederkehrende User auf dieser Website wiedererkennen und die Daten von früheren Besuchen zusammenführen.

Kontakt

SmartRiskSolutions GmbH
Nördliche Münchner Straße 14a
82031 Grünwald
Deutschland

T: +49 (89) 12503247 0
E: info (at) smartrisksolutions.de

Sie haben eine Frage?

Nutzen Sie das Kontaktformular, um uns eine Nachricht zu schicken. Wir melden uns schnellstmöglich zurück.

You are using an outdated browser. The website may not be displayed correctly. Close