Lösegeld bei Ransomware: Zahlen oder nicht zahlen, das ist die Frage.

Blog Cybersicherheit
Pic source: mohamed_hassan via Pixabay

Lösegeldforderungen nach einem erfolgreichen Ransomware-Angriff sind ein heikles Thema. Die geforderte Summe kann sehr hoch sein. Ebenso wie der Druck, sie zu zahlen. Aber es gibt keine Garantie, dass Sie Ihre Daten zurückerhalten. Vielleicht machen Sie sich durch die Zahlung sogar strafbar. Zusätzlich lässt jede Zahlung das Geschäftsmodell Ransomware noch profitabler werden und verschlimmert so die Gesamtsituation. Aber ohne Daten und nutzbare IT steht in Ihrem Unternehmen bereits seit Tagen alles still und die Kosten …!

Die individuelle Entscheidung für oder gegen eine Lösegeldzahlung können wir niemandem abnehmen. In akuten Fällen beraten wir unsere Mitglieder dazu persönlich und individuell. Das geht in einem Blogartikel natürlich nicht.

Aber wir möchten, dass Sie zumindest Ihre grundlegenden Optionen kennen. Daher geben wir hier eine kursorische Übersicht über aktuelle Empfehlungen, Bedingungen, Studien und Zahlen rund um das Thema Lösegeldzahlungen. Und im Akutfall sind wir immer persönlich für Sie da.

 

 

 

 

Gut zu wissen: Im Lösegeld ist Verhandeln eingepreist

Im Rahmen des kürzlich erfolgten Ransomware-Angriffs auf Mediamarktsaturn forderten Cyberkriminelle insgesamt 240 Millionen US-Dollar Lösegeld. Die Forderung klingt astronomisch – und ist es auch. Denn die Summen werden von den Cyberkriminellen häufig extra hoch angesetzt, um Verhandlungsspielraum zu haben.

Was raten die Behörden?

Das BSI, das BKA und die Polizei raten von Lösegeldzahlungen ab. Unter anderem, weil nicht sicher ist, ob die Daten nach der Zahlung entschlüsselt werden und weil weitere Lösegelder eingefordert werden könnten.

Studie von Sophos: Lösegeld bringt im Durchschnitt nur 2/3 der Daten zurück 

Das britische Sicherheitssoftware-Unternehmen Sophos gibt jährlich eine Studie zum Thema Ransomware heraus. 2021 wurden 5.400 IT-Entscheidende in 30 Ländern befragt. In Bezug auf

Lösegeldzahlungen gab es aufschlussreiche Antworten: 

  • Unternehmen, die ein Lösegeld zahlten, erhielten im Durchschnitt nur 65 % ihrer verschlüsselten Daten zurück.
  • Nur bei 8 % wurden alle Daten wieder entschlüsselt.
  • Bei fast einem Drittel – bei 29 % – wurde maximal die Hälfte der Daten entschlüsselt.
  • Bei einer Kosten-Nutzen-Abwägung zu einer Lösegeldzahlung sollten Unternehmen daher davon ausgehen, dass sie etwa 2/3 ihrer Daten zurückerhalten.
  • Ein fast banales, aber dennoch wichtiges Ergebnis der Studie: Die Branchen, die ihre Daten am häufigsten aus Backups wiederherstellen konnten, zahlten am seltensten Lösegelder.

Die Sicht der Cyberversicherungen: Lösegelder zahlen verschärft langfristig das Problem

Unter bestimmten Umständen konnten Unternehmen bislang Lösegelder, die sie im Rahmen eines Ransomware-Angriffs gezahlt hatten, von ihrer Cyberversicherung zurückfordern. Nun weichen die ersten Versicherungs-Unternehmen entschieden von dieser Praxis ab.
Hintergrund ist, dass Ransomware-Angriffe immer häufiger und komplexer werden – und die Schäden dadurch immer höher. Damit die Cyberversicherungen dennoch wirtschaftlich bleiben, müssen sie Maßnahmen ergreifen. Zum Beispiel: ihre Prämien erhöhen, ihre Versicherungsbedingungen strenger gestalten und bzw. oder die Schadensabdeckung begrenzen.
Ein zusätzlicher Faktor für Versicherungen ist, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware für Cyberkriminelle fördert. Das führt langfristig zu noch mehr Angriffen und Lösegeldforderungen und damit zu immer höheren Risiken für die Versicherungen.

Diese Risiken einer Lösegeldzahlung sollten Sie kennen:

Möglicherweise werden die verschlüsselten Daten nicht oder nur zum Teil wieder entschlüsselt. Denn für manche Ransomware haben die Cyberkriminellen gar kein Entschlüsselungsprogramm. Und einige der tatsächlich existierenden Entschlüsselungsprogramme enthalten Codefehler, sodass sie nicht funktionieren.
Cyberkriminelle sind gut vernetzt. Sie teilen auch Informationen dazu, welche Unternehmen bereit waren, Lösegelder zu zahlen. Diese Unternehmen sind dann attraktive Ziele für erneute Angriffe.
Lösegeldzahlungen können rechtlich problematisch sein. Daher empfiehlt sich das Hinzuziehen einer Anwältin oder eines Anwalts.

Wir von Perseus raten: Nur im äußersten Notfall zahlen 

Generell empfehlen wir, kein Lösegeld zu zahlen. Von dieser Empfehlung weichen wir in Einzelfällen ab. Unser Senior Security Analyst Valentin Savulescu erklärt: “Wenn eine Lösegeldzahlung die einzige oder immer noch beste Option ist, dann raten wir dazu. Zum Beispiel, wenn es in einem Unternehmen gar keine Backups gibt oder alle Backups ebenfalls verschlüsselt wurden und die kritischen Daten nicht aus anderen Quellen rekonstruiert werden können. Also zum Beispiel aus Akten, Unterlagen, Online-Archiven oder Kommunikation. Wenn außerdem keine Alternative zu einer Lösegeldzahlung greift und es bereits eine große Hilfe wäre, wenn die Daten wenigstens zum Teil entschlüsselt werden.”
Er ergänzt: “Aber auch eine Lösegeldzahlung ist keine einfache Lösung. So müssen wir z. B. jedes von den Cyberkriminellen bereitgestellte Entschlüsselungsprogramm zunächst überprüfen. Denn es kann sich einfach um ein weiteres Schadprogramm handeln. Eine Garantie, dass das gelieferte  Entschlüsselungsprogramm funktioniert, gibt es ebenfalls nicht. Und nach der Zahlung muss das Unternehmen sich extrem gut absichern, um weitere Vorfälle zu verhindern.” Zusätzlich empfiehlt Savulescu, ein Kopie der verschlüsselten Daten aufzubewahren – für den Fall, dass sie bald doch ohne Lösegeldzahlung entschlüsselt werden können.

Alternativen zu einer Lösegeldzahlung

Testen Sie mit dem CryptoSherriff von Nomoreransom.org, ob Ihre verschlüsselten Daten auch ohne Lösegeldzahlung entschlüsselt werden können. Nomoreransom.org ist eine Initiative u. a. der National High Tech Crime Unit der niederländischen Polizei und des Cybercrime Centers von  Europol.
Nutzen Sie Backups, um die Daten wiederherzustellen. Selbst mit älteren Backups erhalten Sie vermutlich mehr Daten zurück, als wenn Sie das Lösegeld bezahlen.
Wenden Sie sich an Perseus, um alle technischen Möglichkeiten einer Entschlüsselung und Datenwiederherstellung auszuschöpfen.

Wichtig: 
Egal ob Sie ein Lösegeld bezahlen oder nicht, nach einem erfolgreichen Ransomware-Angriff müssen Sie Ihr System unbedingt umfassend gegen erneute Angriffe absichern. Perseus steht Ihnen dabei gerne zur Seite.

Wir helfen Ihnen im Akutfall 

Sie haben gerade eine Lösegeldforderung vor sich? Dann kontaktieren Sie uns umgehend, damit wir besprechen, wie Sie nun am besten reagieren.

Perseus-Mitglieder können jeden Tag rund um die Uhr auf unsere Incident Response zählen
Ebenfalls rund um die Uhr besetzt ist diese Notfall-Nummer für Nicht-Mitglieder: +49 30 233 2730 95

 

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited