Cyberangriff abwehren: Was Unternehmen im Ernstfall tun können

Die Verhandlung mit Cyberkriminellen

Nach der Verschlüsselung hinterlassen Cyberkriminelle zumeist eine sogenannte Ransom-Note, die unter anderem als Textdatei oder Popup-Nachricht auf den betroffenen Systemen erscheint. Diese Nachricht enthält in den meisten Fällen diverse Drohungen (z. B. verschlüsselte Daten sind ohne Wiederherstellungsschlüssel unwiederbringlich verloren, Daten werden veröffentlicht), Anweisungen zur Kontaktaufnahme sowie in seltenen Fällen die Höhe des geforderten Lösegelds. Häufig wird ein Darknet-Portal oder ein verschlüsselter Kommunikationsdienst als Kontaktweg vorgegeben.

Exemplarische Ransom-Note

Solche Kommunikationsportale im Darknet sind speziell eingerichtete Webseiten, über die Opfer mit den Cyberkriminellen kommunizieren können. In den meisten Fällen sind diese so aufgebaut, dass nur das jeweilige Unternehmen sowie die Hacker:innen selbst auf einen dedizierten „Chat“ zugreifen können. Die Anmeldeinformationen dafür werden üblicherweise ebenfalls über die hinterlegte Ransom-Note übermittelt.

Die gesamte Kommunikationsinfrastruktur ist darauf ausgelegt, den Cyberkriminellen maximale Anonymität zu gewährleisten und den Druck auf das Unternehmen gezielt zu erhöhen. Viele Ransomware-Gruppen nutzen eine gestaffelte Eskalationstaktik, um die Opfer zur Zahlung zu drängen.

Zunächst bleibt die Kommunikation meist „geschäftsmäßig“. Die Erpresser:innen fordern in der Ransom-Note eine Kontaktaufnahme innerhalb einer bestimmten Frist. Reagiert das Unternehmen nicht, folgt die nächste Eskalationsstufe – ein Beweis der Datenexfiltration. Dies geschieht oft durch die Veröffentlichung einer kleinen Menge gestohlener Informationen auf einer Darknet-Seite der Cyberkriminellen oder in bekannten Untergrundforen. Einher geht solch eine beispielhafte Veröffentlichung zumeist mit einem Timer, der die Veröffentlichung sämtlicher exfiltrierter Daten ankündigt.

Bleibt das Opfer weiterhin passiv, drohen die Cyberkriminellen mit einer schrittweisen Veröffentlichung sensibler Daten – etwa Kundendaten, Finanzinformationen oder interne Geschäftsunterlagen. In manchen Fällen wird der Angriff gezielt an Medien oder Sicherheitsblogs weitergegeben, um den Druck durch öffentliche Berichterstattung zu verstärken.

Die letzte Stufe der Eskalation: Veröffentlichung der Daten

Die letzte Eskalationsstufe besteht entweder in der vollständigen Veröffentlichung oder dem Verkauf der Daten im Darknet. Manche Gruppen setzen in diesem Stadium noch eine „letzte Chance“-Frist, bevor sie den finalen Schritt gehen. Diese kontrollierte Eskalation soll sicherstellen, dass das Unternehmen vor Ablauf der letzten Frist zahlt, um einen noch größeren Schaden abzuwenden.

Für betroffene Unternehmen stellt die Veröffentlichung von Daten auch eine juristische und regulatorische Herausforderung dar. Besonders unter Regularien wie der DSGVO (Datenschutz-Grundverordnung, engl. GDPR) kann ein massiver Datenabfluss hohe Bußgelder und rechtliche Konsequenzen nach sich ziehen. Neben finanziellen Strafen drohen auch Anspruchsforderungen von Kund:innen oder Partner:innen, deren Daten betroffen sind. Daher müssen Unternehmen parallel zur Incident Response prüfen, welche Meldepflichten gegenüber Datenschutzbehörden und Kund:innen bestehen.

Ein entscheidender Aspekt der Verhandlungen ist der Nachweis, dass tatsächlich Daten exfiltriert wurden. Cyberkriminelle veröffentlichen oder übersenden dazu oft Dateiauszüge oder Screenshots besonders sensibler Informationen, um den Druck auf das Unternehmen zu erhöhen. Allerdings ist dies nicht automatisch gegeben, sondern wird in der Praxis häufig vom betroffenen Unternehmen bzw. dessen professioneller Unterstützung angefordert.

Lösegeldzahlung: Keine Garantie für Entschlüsselung

Die Höhe der Lösegeldforderung variiert je nach Unternehmensgröße und Umsatz und liegt häufig im Bereich von sechs- bis siebenstelligen Beträgen. Diese Forderungen werden fast ausschließlich in Kryptowährungen wie Bitcoin oder Monero gestellt, die aufgrund ihrer Anonymität besonders attraktiv für die Cyberkriminellen sind.

Einige Unternehmen versuchen den Preis zu drücken, da viele Ransomware-Gruppen verhandlungsbereit sind – insbesondere dann, wenn sie befürchten, dass sie ohne Zahlung gar nichts erhalten. Es ist jedoch wichtig, dass Unternehmen sich bewusst sind, dass die Zahlung des Lösegelds keine Garantie für eine erfolgreiche Datenwiederherstellung ist. Immer wieder gibt es Fälle, in denen nach einer ersten Zahlung zusätzliche Forderungen gestellt werden oder die Entschlüsselung fehlschlägt – manche Ransomware-Gruppen bieten etwa als Vertrauensbeweis eine Testentschlüsselung einzelner Dateien an, doch selbst wenn ein Entschlüsselungsprogramm geliefert wird, gibt es keine Garantie, dass dieses fehlerfrei funktioniert. Zudem kann das Zahlen eines Lösegelds das Unternehmen als „zahlungsbereit“ kennzeichnen, was das Risiko eines erneuten Angriffs erheblich erhöht. Das Unternehmen könnte so also zu einem leichten Ziel für zukünftige Erpressungsversuche werden.

Die Versprechen der Cyberkriminellen

Falls sich ein Unternehmen zur Zahlung entscheidet, locken die Cyberkriminellen mit diversen Versprechungen. Ob diese eingehalten werden, ist zumeist fraglich.

• Keine Veröffentlichung der gestohlenen Daten: Die Cyberkriminellen behaupten, dass sie die exfiltrierten Daten nach der Zahlung löschen werden. In der Realität gibt es jedoch keinen nachhaltigen Beweis, dass dies auch tatsächlich geschieht bzw. dass keine weiteren Kopien existieren.

• Bereitstellung eines Entschlüsselungstools: Manche Ransomware-Gruppen liefern funktionierende Tools, andere hingegen fehlerhafte oder gar keine.

• Technische Details über den Angriff: Einige Gruppen bieten „detaillierte Erklärungen“, wie sie in das IT-Netzwerk des Unternehmens eingedrungen sind – doch auch hier gibt es keine Garantie, dass die Informationen korrekt oder vollständig sind. Aus unserer Erfahrung heraus handelt es sich in den meisten Fällen um sehr allgemein gehaltene Informationen ohne konkreten Bezug auf das betroffene Unternehmen.

• Versicherung gegen erneute Angriffe: Manche Cyberkriminelle versprechen, das betroffene und zahlungsbereite Unternehmen nicht erneut anzugreifen. Allerdings ist dies keine Garantie dafür, dass man nicht schon nach kurzer Zeit erneut attackiert wird.

Fazit:Vorsorge ist der beste Schutz

Ein erfolgreicher Ransomware-Angriff stellt Unternehmen vor enorme Herausforderungen – von der forensischen Analyse über die Kommunikation bis zur potenziellen Verhandlung mit Cyberkriminellen. Jede Entscheidung in dieser Phase hat weitreichende Konsequenzen für Sicherheit, Recht und Reputation. Strukturiertes Vorgehen, ein klar definierter Incident-Response-Plan und erfahrene Unterstützung sind entscheidend, um den Cyberangriff abzuwehren, Schäden zu begrenzen und den Geschäftsbetrieb schnellstmöglich wiederherzustellen. Wer vorbereitet ist, kann im Ernstfall schnell und gezielt handeln – und bleibt auch in der Krise handlungsfähig.