Cyber Incident Response: Was Unternehmen im Falle eines Cyberangriffs tun können

Nachdem Cyberkriminelle die IT-Systeme verschlüsselt und sensible Daten exfiltriert haben, beginnt ein Wettlauf gegen die Zeit. Cyber Incident Response ist der Schlüssel für Unternehmen, die Kontrolle zurückzugewinnen.

Überblick

• Cyberkriminelle nutzen gestohlene Daten als Hebel zur Erpressung. Sie steigern den Druck schrittweise – von der Veröffentlichung kleiner Datenmengen bis hin zur vollständigen Offenlegung oder dem Verkauf der Daten im Darknet.
• Dies erhöht den Druck auf das Unternehmen, da neben finanziellen auch rechtliche und reputationsbezogene Konsequenzen drohen.
• Auch wenn Unternehmen das geforderte Lösegeld zahlen, gibt es keine Garantie dafür, dass die Daten tatsächlich entschlüsselt werden oder dass die Cyberkriminellen die exfiltrierten Informationen löschen.
• Cyberkriminelle setzen auf anonyme Kommunikationskanäle im Darknet und gestaffelte Eskalationstaktiken. Dabei bieten sie „Vertrauensbeweise“ wie Testentschlüsselungen an, um die Opfer zur Zahlung zu bewegen.

Nachdem Cyberkriminelle im Zuge eines Ransomware-Angriffs die Daten eines Unternehmens exfiltriert und die IT-Systeme verschlüsselt haben, beginnt für das betroffene Unternehmen ein Wettlauf gegen die Zeit. In den ersten Stunden herrscht oft Chaos, welches nur durch vorab definierte Krisen- und Ablaufpläne sowie strukturiertes Vorgehen gelöst werden kann. Es gilt, die wichtigsten Fragen zu klären: Wie kann der Betrieb aufrechterhalten werden? Wie groß ist der Schaden? Und vor allem: Wie soll mit den Cyberkriminellen umgegangen werden?

Der Umgang mit einem Ransomware-Vorfall erfordert sowohl forensische Analysen als auch strategische Kommunikation. Viele Unternehmen sehen sich erstmals mit der Frage konfrontiert, ob sie mit den Cyberkriminellen verhandeln oder auf alternative Wiederherstellungsmöglichkeiten setzen sollen – und ob dies überhaupt möglich ist.

Sobald ein Cyberangriff entdeckt wird, beginnt die kritische Phase der Aufarbeitung. Ab diesem Zeitpunkt ist es essenziell, schnellstmöglich die richtigen Maßnahmen zu setzen – genau hier kommt die Cyber Incident Response ins Spiel.

Digitale Geiselnahme: Wie läuft ein Cyberangriff ab – und was kann ich tun?

Bei einem Cyberangriff ist schnelles und entschlossenes Handeln entscheidend. Dabei sind eine umgehende Einschätzung und Bewertung der Situation erforderlich, um den Umfang des Vorfalls zu bestimmen und die entsprechenden Maßnahmen einzuleiten. Infizierte Systeme müssen umgehend identifiziert und isoliert werden, um eine weitere Verbreitung der Schadsoftware zu verhindern. Gleichzeitig ist es essenziell, das erste kompromittierte System – auch als „Patient Zero“ bezeichnet – zu identifizieren, um den Ursprung des Angriffs zu verstehen und die zugrundeliegende Schwachstelle zu beheben. Danach folgt eine detaillierte Analyse der betroffenen Daten und IT-Systeme, um festzustellen, ob bereits Informationen abgeflossen sind. Im Anschluss müssen Sicherheitslücken geschlossen, Backups wiederhergestellt und Systeme abgesichert werden, damit Unternehmen schnellstmöglich wieder handlungsfähig werden und den Geschäftsbetrieb aufrechterhalten können. Ebenso essenziell ist eine transparente Kommunikation – sowohl intern als auch mit relevanten Behörden und Stakeholder:innen – und auch auf Lösegeldforderungen muss reagiert werden. Nach der akuten Phase sollten die gewonnenen Erkenntnisse genutzt werden, um eventuell bereits bestehende Handlungspläne und Prozesse für künftige Vorfälle zu optimieren.

Die Verhandlung mit Cyberkriminellen

Nach der Verschlüsselung hinterlassen Cyberkriminelle zumeist eine sogenannte Ransom-Note, die unter anderem als Textdatei oder Popup-Nachricht auf den betroffenen Systemen erscheint. Diese Nachricht enthält in den meisten Fällen diverse Drohungen (z. B. verschlüsselte Daten sind ohne Wiederherstellungsschlüssel unwiederbringlich verloren, Daten werden veröffentlicht), Anweisungen zur Kontaktaufnahme sowie in seltenen Fällen die Höhe des geforderten Lösegelds. Häufig wird ein Darknet-Portal oder ein verschlüsselter Kommunikationsdienst als Kontaktweg vorgegeben.

Exemplarische Ransom-Note

Solche Kommunikationsportale im Darknet sind speziell eingerichtete Webseiten, über die Opfer mit den Cyberkriminellen kommunizieren können. In den meisten Fällen sind diese so aufgebaut, dass nur das jeweilige Unternehmen sowie die Hacker selbst auf einen dedizierten „Chat“ zugreifen können. Die Anmeldeinformationen dafür werden üblicherweise ebenfalls über die hinterlegte Ransom-Note übermittelt.

Die gesamte Kommunikationsinfrastruktur ist darauf ausgelegt, den Cyberkriminellen maximale Anonymität zu gewährleisten und den Druck auf das Unternehmen gezielt zu erhöhen. Viele Ransomware-Gruppen nutzen eine gestaffelte Eskalationstaktik, um die Opfer zur Zahlung zu drängen.

Zunächst bleibt die Kommunikation meist „geschäftsmäßig“. Die Erpresser:innen fordern in der Ransom-Note eine Kontaktaufnahme innerhalb einer bestimmten Frist. Reagiert das Unternehmen nicht, folgt die nächste Eskalationsstufe – ein Beweis der Datenexfiltration. Dies geschieht oft durch die Veröffentlichung einer kleinen Menge gestohlener Informationen auf einer Darknet-Seite der Cyberkriminellen oder in bekannten Untergrundforen. Einher geht solch eine beispielhafte Veröffentlichung zumeist mit einem Timer, der die Veröffentlichung sämtlicher exfiltrierter Daten ankündigt.

Bleibt das Opfer weiterhin passiv, drohen die Cyberkriminellen mit einer schrittweisen Veröffentlichung sensibler Daten – etwa Kundendaten, Finanzinformationen oder interne Geschäftsunterlagen. In manchen Fällen wird der Angriff gezielt an Medien oder Sicherheitsblogs weitergegeben, um den Druck durch öffentliche Berichterstattung zu verstärken.

Lösegeldzahlung: Keine Garantie für Entschlüsselung

Die Höhe der Lösegeldforderung variiert je nach Unternehmensgröße und Umsatz und liegt häufig im Bereich von sechs- bis siebenstelligen Beträgen. Diese Forderungen werden fast ausschließlich in Kryptowährungen wie Bitcoin oder Monero gestellt, die aufgrund ihrer Anonymität besonders attraktiv für die Cyberkriminellen sind.

Einige Unternehmen versuchen den Preis zu drücken, da viele Ransomware-Gruppen verhandlungsbereit sind – insbesondere dann, wenn sie befürchten, dass sie ohne Zahlung gar nichts erhalten. Es ist jedoch wichtig, dass Unternehmen sich bewusst sind, dass die Zahlung des Lösegelds keine Garantie für eine erfolgreiche Datenwiederherstellung ist. Immer wieder gibt es Fälle, in denen nach einer ersten Zahlung zusätzliche Forderungen gestellt werden oder die Entschlüsselung fehlschlägt – manche Ransomware-Gruppen bieten etwa als Vertrauensbeweis eine Testentschlüsselung einzelner Dateien an, doch selbst wenn ein Entschlüsselungsprogramm geliefert wird, gibt es keine Garantie, dass dieses fehlerfrei funktioniert. Zudem kann das Zahlen eines Lösegelds das Unternehmen als „zahlungsbereit“ kennzeichnen, was das Risiko eines erneuten Angriffs erheblich erhöht. Das Unternehmen könnte so also zu einem leichten Ziel für zukünftige Erpressungsversuche werden.

Die Versprechen der Cyberkriminellen

Falls sich ein Unternehmen zur Zahlung entscheidet, locken die Cyberkriminellen mit diversen Versprechungen. Ob diese eingehalten werden, ist zumeist fraglich.

• Keine Veröffentlichung der gestohlenen Daten: Die Cyberkriminellen behaupten, dass sie die exfiltrierten Daten nach der Zahlung löschen werden. In der Realität gibt es jedoch keinen nachhaltigen Beweis, dass dies auch tatsächlich geschieht bzw. dass keine weiteren Kopien existieren.

• Bereitstellung eines Entschlüsselungstools: Manche Ransomware-Gruppen liefern funktionierende Tools, andere hingegen fehlerhafte oder gar keine.

• Technische Details über den Angriff: Einige Gruppen bieten „detaillierte Erklärungen“, wie sie in das IT-Netzwerk des Unternehmens eingedrungen sind – doch auch hier gibt es keine Garantie, dass die Informationen korrekt oder vollständig sind. Aus unserer Erfahrung heraus handelt es sich in den meisten Fällen um sehr allgemein gehaltene Informationen ohne konkreten Bezug auf das betroffene Unternehmen.

• Versicherung gegen erneute Angriffe: Manche Cyberkriminelle versprechen, das betroffene und zahlungsbereite Unternehmen nicht erneut anzugreifen. Allerdings ist dies keine Garantie dafür, dass man nicht schon nach kurzer Zeit erneut attackiert wird.