Hacker

Ransomware: wie man richtig mit Erpressern verhandelt

Opfer von Ransomware-Attacken müssen gezwungenermassen mit den Erpressern verhandeln. Damit die virtuelle Geiselnahme möglichst glimpflich abläuft, empfehlen sich bestimmte Verhaltensweisen, wie eine aktuelle Analyse zeigt.

Ransomware-Angriffe sind mittlerweile so häufig, dass ihnen praktisch jedes Unternehmen zum Opfer fallen kann. Forscher des Sicherheitsunternehmens NCC Group haben nun im Rahmen einer Studie hunderte von Verhandlungen zwischen Betroffenen und ihren Geiselnehmern analysiert. Eine wichtige Erkenntnis ist, dass die Verhandlungstaktik deutlichen Einfluss auf die Verhandlungsposition des Opfers und den Ablauf der Geiselnahme hat.

Bei einem Ransomware-Angriff gilt grundsätzlich: je mehr Zeit man hat, desto besser lässt sich eine Strategie festlegen. Deshalb spielt bereits der Umgang mit Erpresser-Mails eine wichtige Rolle. Mitarbeitende sollten niemals auf darin enthaltene Links klicken – denn gemäss den NCC-Forschern wird häufig erst dadurch die eigentliche Forderung der Erpresser übermittelt und ein Countdown ausgelöst. Wird dieser Moment hinausgezögert, lässt sich wertvolle Zeit gewinnen. 

Cyberversicherungen: schlecht für die Verhandlungsposition

Basis einer Verhandlungsstrategie ist eine Situationsanalyse: die technischen und finanziellen Möglichkeiten müssen geprüft werden (sind wiederherstellbare Backups vorhanden? Wie wieviel Geld lässt sich wie schnell beschaffen?), zugleich sollte man möglichst viele Informationen über die Erpresser zusammentragen – allenfalls mit Unterstützung von Experten bzw. Behörden. Dies erlaubt Rückschlüsse auf allfällige ähnlich gelagerte Fälle.

Opfer sollten sich zudem jederzeit bewusst sein, dass sie es auf der Gegenseite ebenfalls mit Menschen zu tun haben. Ein höflicher Umgangston kann sich laut den Studien-Autoren in vielen Fällen vorteilhaft auf die Verhandlungen und letztlich auch auf die bezahlte Lösegeldsumme auswirken.

Entschliesst man sich zu einer Lösegeld-Zahlung, hilft es, die Erpresser um eine Fristerstreckung zu bitten, um die verlangte Summe zu drücken. Auch Teilzahlungen sollen laut den analysierten Erfahrungsberichten die Lösegeldsummen reduzieren. Wesentlich ist jedoch in erster Linie eines: allenfalls bestehende Cyberversicherungen sollten verschwiegen werden. Denn wissen die Täter um eine Versicherungsdeckung, macht dies den vorhandenen Verhandlungsspielraum bezüglich der Summe zunichte.


Geiselnahmen sind häufig vermeidbar

Wer richtig zu verhandeln weiss, ist zweifellos im Vorteil – auch im Umgang mit Erpressern. Besser ist es jedoch, wenn es gar nicht erst zu Lösegeldforderungen kommt. Um Ransomware-Angriffe abzuwehren, sind jedoch entsprechende Sicherheitsmassnahmen nötig.

Gute Dienste leistet eine Antiviren-Software, wie Bitdefender: sie verhindert weitgehend, dass sich Cyberkriminelle mittels betrügerischen E-Mails Zugang zu Unternehmensnetzwerken verschaffen und dort Malware zum Einsatz bringen können – dies zu einem attraktiven Preis-/Leistungs-Verhältnis.