Ransomware ist eine gefährliche Cyberbedrohung, die in den letzten Jahren hohe Wellen geschlagen hat. Laut PurpleSec wurden in der ersten Hälfte des Jahres 2021 121 Ransomware-Vorfälle gemeldet – ein Anstieg von 64% im Vergleich zu den Vorjahren. In dem Bericht heißt es weiter, dass die durchschnittliche Ransomware-Zahlung um 82% auf 570.000 US-Dollar pro Jahr gestiegen ist.
Zu wissen, wie man Ransomware erkennt, ist nicht mehr optional, sondern für kleine und große Unternehmen gleichermaßen wichtig.
Die Malware sperrt vertrauliche Daten, Dateien oder Systeme, auf die legitime Benutzer nicht mehr zugreifen können.
Der Schaden ist angerichtet, und der Angreifer fordert nun ein Lösegeld für die Wiederherstellung des Zugangs. An diesem Punkt müssen die Führungskräfte und Interessenvertreter des Unternehmens entscheiden, ob sie der Forderung nachkommen oder nicht.
So funktioniert Ransomware, kurz gesagt. Sollten Unternehmen also Ransomware-Angreifern Lösegeld zahlen? Lesen Sie weiter, um mehr über die Risiken sowie die ethischen und rechtlichen Aspekte dieses Dilemmas zu erfahren.
Die Risiken
Es gibt immer Risiken, ob Sie das Lösegeld zahlen oder nicht. Es ist eine schwierige und differenzierte Entscheidung für Unternehmen, bei der alle Aspekte berücksichtigt werden müssen. Am besten lassen sich diese Risiken natürlich vermeiden, wenn man weiß, wie man Ransomware-Angriffe von vornherein verhindern kann.
Aber das ist nicht immer eine narrensichere Lösung. Es nützt auch nicht viel, wenn Ihr Unternehmen gerade von einem Angriff betroffen ist. Wenn Sie wissen, wie Sie Ransomware aufhalten können, können Sie den Schaden begrenzen. Wenn Sie jedoch keine andere Wahl haben, müssen Sie die Risiken abwägen, ob Sie das Lösegeld zahlen oder nicht.
Wenn Sie zahlen
Zunächst sollten Sie wissen, dass die Zahlung des Lösegelds nicht unbedingt bedeutet, dass Ihr Unternehmen wieder Zugriff auf die verschlüsselten Daten erhält. Selbst wenn der Angreifer die Daten freigibt, besteht die Möglichkeit, dass Sie mit beschädigten Dateien dastehen. Oder der Angreifer könnte andere Malware für künftige Angriffe einschleusen.
Ein typisches Beispiel dafür war der ProLock-Ransomware-Stamm im Mai 2020. Bleeping Computer berichtete, dass das FBI herausgefunden hat, dass ProLock Decryptor wahrscheinlich Dateien beschädigt, die größer als 64 MB sind. Außerdem wurde berichtet, dass die Opfer wahrscheinlich einen Integritätsverlust von etwa 1 Byte pro KB bei Dateien über 100 KB erleiden.
Wie sieht es mit den Ransomware-Zahlungsstatistiken aus?
Nun, in einem kürzlich erschienenen E-Book von Cybereason mit dem Titel „Ransomware: The True Cost to Business“ (Die wahren Kosten für Unternehmen) haben fast 46% der Befragten, die Lösegeld gezahlt haben, Zugang zu ihren Daten erhalten, aber einige (wenn nicht alle) Daten waren beschädigt. Außerdem gaben 51% an, dass sie nach der Zahlung alle verschlüsselten Daten wiederherstellen konnten, während 3% behaupteten, dass der Angreifer den Zugriff nach der Zahlung nicht wiederhergestellt hat.
Wenn Sie nicht zahlen
Eine Ransomware-Zahlung ermutigt die Angreifer, weiterhin Ransomware-Angriffe zu starten, da sie dies als profitables Unterfangen betrachten. Aus diesem Grund rät das FBI, Ransomware-Angreifer nicht zu bezahlen.
Was passiert aber, wenn Sie die Ransomware-Forderung nicht bezahlen? Das weitere Vorgehen liegt dann in Ihrer Hand. Zunächst können die Angreifer damit drohen, Ihre vertraulichen Informationen an die Öffentlichkeit gelangen zu lassen oder sie im Dark Web zu verkaufen. Dies kann Ihren Ruf schädigen und das Vertrauensverhältnis zu Ihren Kunden und Geschäftspartnern zerstören.
Wenn die verschlüsselten Daten für Ihren Betrieb von entscheidender Bedeutung sind, könnten Sie einen Rückschlag erleiden, bis der Zugang wiederhergestellt ist. Dies kann jedoch nur geschehen, wenn Sie über einen aktualisierten Wiederherstellungsplan verfügen. Im Extremfall kann Ihr Betrieb zum Erliegen kommen und Ihr Unternehmen ruiniert werden.
Ethische Aspekte
Es gibt keine todsichere Methode, wie man Ransomware loswerden kann, ohne zu bezahlen. Neben den Risiken müssen Sie mehrere ethische Aspekte berücksichtigen, bevor Sie entscheiden, ob Sie das Lösegeld zahlen oder nicht.
Wenn Sie zahlen
Ein ethisches Problem ergibt sich vor allem, wenn Sie eine Ransomware-Zahlung leisten. Dies ermutigt Cyberkriminelle. Sobald sie wissen, dass Ihr Unternehmen bereit ist, das Cyber-Lösegeld zu zahlen, können weitere Angriffe erfolgen.
Die Entscheidung, zu zahlen, kann dazu dienen, den Betrieb wiederherzustellen, wie im Fall des CEO von Colonial Pipeline, Joseph Blount. Er zahlte ein Lösegeld in Höhe von 4,4 Millionen Dollar für ein Entschlüsselungstool, um den Ölbetrieb wiederherzustellen.
Er erwähnte außerdem, dass die lähmenden Auswirkungen auf das Land seine Entscheidung beeinflusst hätten. Dies kann zwar unter bestimmten Umständen zutreffen, aber eine Ransomware-Zahlung kann die Angreifer auch dazu veranlassen, die Opfer zu erpressen und eine zweite Zahlung zu verlangen.
Laut ZDNet sind 80% der Unternehmen, die der Zahlung des Lösegelds zustimmen, von nachfolgenden Angriffen betroffen, wobei 46% glauben, dass diese vom selben Angreifer ausgehen.
Wenn Sie nicht zahlen
Bevor Sie sich entscheiden, das Lösegeld nicht zu zahlen, sollten Sie die Konsequenzen für sich selbst, Ihr Unternehmen oder – im Fall von Colonial Pipeline – für das ganze Land bedenken.
Ein robuster Backup-Plan ist im Umgang mit Ransomware von entscheidender Bedeutung. Außerdem können Sie einen Zero-Trust-Sicherheitsansatz umsetzen, bei dem Sie davon ausgehen, dass Ihr Netzwerk bereits kompromittiert ist, und dann entsprechend handeln.
Rechtliche Aspekte
Ist es legal, Ransomware-Angreifer zu bezahlen? Ransomware-Zahlungen können gegen staatliche Vorschriften verstoßen, die Privatsphäre der Kunden gefährden, gegen geschäftliche Vereinbarungen verstoßen oder andere rechtliche Folgen haben.
Auch die Nutzung von Ransomware-Zahlungsdiensten kann illegal sein. Schauen wir uns die rechtlichen Auswirkungen von Zahlungen und Nichtzahlungen an.
Wenn Sie zahlen
Das FBI rät davon ab, Lösegeld zu zahlen, da dies keine Garantie für die Löschung oder den Zugriff auf gestohlene Daten bietet. Unternehmen sollten auch die jüngste Empfehlung des Office of Foreign Assets Control (OFAC) des US-Finanzministeriums zur Kenntnis nehmen, bevor sie sich mit Kriminellen einlassen.
Das OFAC behauptet, dass die Zahlung von Lösegeld die Finanzierung von Cyber-Terrorismus oder die Stärkung der finanziellen Möglichkeiten der Angreifer für Angriffe auf andere Organisationen oder Länder bedeutet. Außerdem ist es wichtig zu wissen, dass Sie auch dann strafrechtlich verfolgt werden können, wenn Sie nicht wissen, dass Sie an einer Ransomware-Zahlung beteiligt sind.
Wie das OFAC erklärt, können zivilrechtliche Strafen für Sanktionsverstöße auf der Grundlage der Gefährdungshaftung verhängt werden. Das bedeutet, dass eine Person oder Organisation, die der US-Gerichtsbarkeit unterliegt, auch dann zivilrechtlich zur Verantwortung gezogen werden kann, wenn sie nicht wusste oder keinen Grund hatte zu wissen, dass sie mit einer Person zusammenarbeitet, die nach den Sanktionsgesetzen und -vorschriften des OFAC verboten ist.
Wenn Sie nicht zahlen
Die Weigerung, das Lösegeld zu zahlen, kann zu Produktions- oder Lieferproblemen führen. Dies wiederum kann dazu führen, dass das Unternehmen gegen Handelsvereinbarungen, Kauf- oder Lieferaufträge oder andere vertragliche Verpflichtungen verstößt. In diesem Fall können Kunden oder Partner beschließen, das Unternehmen zu verklagen.
Fazit
Wenn ein Ransomware-Angriff wichtige Daten sperrt, stehen Einzelpersonen und Unternehmen oft vor der Entscheidung, ob sie das Lösegeld zahlen sollen oder nicht. Die Realität ist jedoch, dass Ransomware-Angriffe immer eine Möglichkeit sind, daher ist die Vorbereitung entscheidend.
Sie können zwar Maßnahmen zur Erkennung, Vorbeugung und Bewältigung von Ransomware-Angriffen ergreifen, stehen aber dennoch vor der Entscheidung, ob Sie das Lösegeld zahlen oder nicht. Wägen Sie sorgfältig die Risiken sowie die ethischen und rechtlichen Aspekte beider Szenarien ab, bevor Sie sich entscheiden.
Neben Ransomware gibt es noch andere Angriffe, denen sich Unternehmen bewusst sein müssen. Weitere Informationen finden Sie in unserem Artikel Ransomware vs. Malware vs. Phishing.