Elf Millionen Dollar Lösegeld hat der weltgrößte Fleischkonzern JBS nach einem Hackerangriff an die Erpresser gezahlt, damit die Produktion wieder ans Laufen kommt. Colonial, Betreiber einer der größten Benzin-Pipelines in den USA, überwies 4,4 Millionen Dollar an Cyberkriminelle. Und auch der Online-Vergleichsdienst Comparis teilte nach einer Attacke mit, man habe „eine Einigung mit den Erpressern gefunden“; die Höhe der gezahlten Summe blieb allerdings geheim.
Drei aktuelle Fälle, die zeigen: Der Einsatz von Ransomware ist für Cyberkriminelle ziemlich lukrativ. Bei Angriffen mit solch einer Schadsoftware verschlüsseln Hacker Computersysteme und erpressen für die Freigabe der Daten Geld. Allzu oft mit Erfolg: Knapp 350 Millionen Dollar wurden 2020 weltweit von Ransomware-Opfern gezahlt, hat der Daten-Analyst Chainalysis ermittelt.
Lösegeld zahlen? Da gehen die Meinungen auseinander
Eine Entwicklung, die Ole Sieverding, Underwriting Manager Cyber beim Versicherer Hiscox Deutschland, kritisch sieht: „Es gilt zunächst alle technischen Möglichen zu evaluieren, um nicht mit Erpressern verhandeln zu müssen. Denn ganz viele Argumente sprechen gegen die Zahlung von Lösegeld.“ Schließlich könne niemand garantieren, dass der zur Verfügung gestellte Entschlüsselungs-Key tatsächlich funktioniere. Und theoretisch könnten die Hacker über das wiederhergestellte System auch sofort erneut zuschlagen.
Und dann sei da noch die Sache mit der Terrorfinanzierung: „Unternehmen dürfen mit ihren Handlungen keine Terroristen unterstützen. Nun ist schwierig herauszufinden, wer eigentlich hinter einem Angriff steht. Und deshalb lautet unsere klare Empfehlung auch, möglichst kein Lösegeld zu zahlen“, so Sieverding.
Andreas Dondera, Leiter der Zentralen Ansprechstelle Cybercrime beim LKA Hamburg, sieht das differenzierter: „Klar, wenn es irgendeine Option gibt an die Daten zu kommen, ohne zu bezahlen, würde ich auch sofort davon abraten. Aber die Mehrzahl der Unternehmen sind technisch leider nicht so gut aufgestellt.“ Und spätestens wenn die Situation existenzbedrohend werde, sei Lösegeld eben die einzige Option.
„Bislang haben in den Fällen, die ich begleitet habe, Zahlungen immer zur Lieferung des Schlüssels geführt. Und teils unterstützen die Täter dann ihre Opfer sogar mit einem 24/7-Support dabei, den Key richtig einzusetzen, um die Daten zu entschlüsseln“, berichtet Dondera. Er spricht dabei von einem „Vertrauens-Geschäft“: „Liefern die Täter den Schlüssel trotz Lösegeldzahlung nicht und das wird publik, ist deren Geschäftsmodell sehr schnell kaputt. Von daher haben sie durchaus ein Interesse daran, dass alles – in Anführungsstrichen – ‚seriös‘ abläuft.“
Ransomware-as-a-Service ist im Trend
Dass nicht unbedingt Geld fließen muss, zeigte der Fall des IT-Dienstleisters Kaseya. Dieser teilte nach einer Ransomware-Attacke mit Auswirkungen auf rund 1.500 Unternehmen weltweit mit, dass man die geforderten 70 Millionen Dollar nicht gezahlt habe. Hinter dem Angriff auf Kaseya stand REvil. Diese Hackergruppe ist bekannt für ein ganz spezielles Geschäftsmodell: Ransomware-as-a-Service (RaaS). Und das heißt: Kriminelle, denen technisches Know-how fehlt, können die Schadsoftware leasen und Systeme damit infizieren; Erträge aus dem Lösegeld werden dann mit REvil geteilt.
Für die Entwickler ist das ein lohnendes und zugleich deutlich risikoärmeres Business. Schließlich führen sie die Erpressung nicht selbst durch. Kein Wunder also, dass RaaS – schnell und einfach buchbar im Darknet – zunehmend zum Problem wird: 2020 waren RaaS-Modelle für zwei Drittel der registrierten Ransomware-Angriffe verantwortlich, so die Sicherheitsforscher von Group-IB.
Was schützt also gegen Ransomware? Die Gefahr ernst zu nehmen – etwas, was laut Sieverding noch immer in zu wenigen Unternehmen der Fall ist. „Je besser man sich darauf vorbereitet, desto kleiner ist am Ende der Schaden“, so der Hiscox-Experte, der auch betont: „Geht es um Cyberversicherungen, selektieren wir mit unseren Risikoprüfungen auch und versichern nur, wer das Thema ernst nimmt und entsprechende Schutzmaßnahmen umgesetzt hat.“