Geschäftsmann mit Laptop in einer Hotellounge

Ransomware-Attacke: Zahlen oder nicht?

Porträtfoto von Thomas Koch
Thomas Koch

Partner Assurance, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

5 Minuten Lesezeit 02 Apr. 2024

Wenn nach Cyberangriffen nichts mehr geht und die Unternehmen vor Lösegeldforderungen stehen, bringt das auch rechtliche Probleme mit sich.

Überblick

  • Nahezu alle deutschen Unternehmen sind potenzielle Ziele für Ransomware-Angriffe.
  • Oft geht es bei der Frage, das Lösegeld zu zahlen oder nicht, um die Weiterexistenz.
  • Im Ernstfall sollten Sie sich rechtlich beraten lassen und sich mit den Behörden abstimmen, vor allem bei Bezug zu den USA.

So unterstützen wir Sie

Erpressung samt Lösegeldforderung ist ein seit Langem bewährtes Geschäftsmodell. Schon Julius Cäsar musste einst von Piraten freigekauft werden, der englische König Richard Löwenherz aus österreichischer Haft, und für die Freiheit Tausender politischer Gefangener flossen in großem Umfang harte D-Mark in die DDR. Doch das Geschäft ist nicht nur äußerst beständig, es zeigt sich auch im Einklang mit sich verändernden technischen und rechtlichen Rahmenbedingungen sehr anpassungsfähig. Seit einigen Jahren hat es sich ins Internet verlagert und bedroht von dort aus immer mehr Unternehmen und Organisationen. Dort herrscht das Prinzip „Daten gegen Geld“. 

Neben ihren vielen Vorteilen bringt die Digitalisierung für die Unternehmen manch offene Flanke mit sich. Jedes Unternehmen ist ein potenzielles Angriffsziel, während sich die Lösegeldzahlungen bequem per Kryptowährungen wie Bitcoin abwickeln lassen. Diese Kombination macht die sogenannten Ransomware-Attacken attraktiv: in den meisten Fällen genügt es den Angreifern nämlich schon, Mails mit einem mit Schadsoftware präparierten Anhang an das Opfer zu schicken, damit sich die Angreifer Zugang zu den Kronjuwelen des Unternehmens verschaffen, diese ausleiten, verschlüsseln und Backups vernichten können. Dieser eine unvorsichtige Klick auf einen verseuchten Anhang - und das Unternehmen verliert den Zugriff auf unternehmenskritische Daten und IT-Infrastruktur. Das Einzige, was die Bildschirme noch anzeigen, ist in diesen Fällen die Lösegeldforderung: Daten zurück gegen Zahlung eines Lösegeldes. Die Lösegeldforderung wiederum detailliert die gewünschte Kryptowährung sowie die Adresse des Zielwallets und enthält nicht selten präzise technische Hinweise zum Abwicklungsvorgang und das ‚Angebot‘ eines Austauschs per anonymem Chat, in welchem Fragen geklärt werden können.

Gewissermaßen machen die Angreifer es den Opfern recht einfach, die Lösegeldzahlung in die Wege zu leiten.

EY Forensics Datenklaustudie 2023

Cybercrime und Datenklau sind Bedrohungen, die deutsche Unternehmen zwar akzeptieren, aber nicht tatenlos hinnehmen müssen.

Mehr erfahren

Ransomware: ein professionelles Geschäft mit hohem Schadenspotenzial

Hinter den Angriffen steckt in den meisten Fällen die organisierte Kriminalität. Technisch kompetent und streng organisiert stehen die Cyberkriminellen in einem regelrechten Konkurrenzkampf zueinander und bieten sich ihren Auftraggebern an. Man spricht in diesem Zusammenhang in Anlehnung an legitime Geschäftsmodelle von „Ransomware as a Service“. 

Hoher Schaden
US-Dollar Lösegeld wurden 2023 an Cyberkriminelle gezahlt. (Quelle: Chainalysis, The 2024 Crypto Crime Report)

Wie hoch der tatsächliche Schaden ist, lässt sich nur schwer abschätzen, da viele Unternehmen Angriffe und eventuelle Zahlungen gar nicht erst melden. Eine aktuelle Analyse der über Kryptowährungen abgewickelten Zahlungsströme zeigt, dass 2023 weltweit mehr als 1 Mrd. US-Dollar Lösegeld an Cyberkriminelle gezahlt wurden. 

Das ist eine erhebliche Steigerung, nachdem die Zahlungen im Jahr 2022 erstmals rückläufig gewesen waren, und spiegelt einen Trend wider, der als „Big Game Hunting“ (zu Deutsch: Großwildjagd) bekannt ist: Angriffe werden gezielt auf zahlungskräftige, große Unternehmen ausgeführt. Nicht selten erreichen initiale Lösegeldforderungen daher zweistellige Millionenhöhen, in Extremfällen lagen sie auch schon mal darüber.

„Zahlen oder nicht?“ ist eine Frage von Ethik, Recht und Überleben

Die Empfehlung von Behörden und Fachleuten ist eigentlich eindeutig: Lösegeldforderungen sollten unter keinen Umständen bedient werden. Es gilt der Grundsatz, dass dem organisierten Verbrechen keine finanziellen Mittel zur Verfügung gestellt werden sollten. Aber halten sich alle an diesen Grundsatz? Nach Erkenntnissen des Branchenverbandes Bitkom zahlte in Deutschland immerhin 1 von 9 betroffenen Unternehmen das geforderte Lösegeld.

Die rechtliche Verbindlichkeit und Auslegung solcher Grundsätze sind zudem von Land zu Land sehr unterschiedlich. Zum Beispiel hat die US-Börsenaufsicht SEC für börsennotierte Unternehmen geregelt, dass ihr relevante Cyberereignisse, zu denen Ransomware-Attacken zählen, gemeldet werden müssen.

Dies führte bereits zur absurd anmutenden Situation, dass die Cyberkriminellen im Verlauf eines Angriffs drohten, Unternehmen bei der SEC anzuschwärzen, und so den Verhandlungsdruck erhöhen wollten. 

Oft ist es übrigens mit einer einzigen Zahlung nicht mehr getan, Stichwort Multi-Extortion: Unternehmen werden erstmal für die Entschlüsselung ihrer Daten zur Kasse gebeten, und dann nochmal, um deren Weitergabe zu verhindern. Ein dritter Erpressungsansatz zielt schließlich auf Geschäftspartner des Unternehmens ab. Sich von einem Opfer zum nächsten zu hangeln ist ohnehin eine probate Vorgehensweise der Kriminellen.

Lieber mit gutem Gewissen untergehen oder das Unternehmen retten?

Mehr noch als in den USA ist der Grundsatz, nicht zu zahlen, in Deutschland eher ein ethisches Gebot denn eine harte Regel. Rechtlich sind die Lösegeldzahlungen hierzulande nicht eindeutig geklärt, eine Anpassung des Strafrechts lässt auf sich warten. Gerade deshalb sollten sich Unternehmen im Vorfeld juristisch beraten lassen und sich idealerweise mit den Strafverfolgungsbehörden abstimmen. Dies gilt insbesondere dann, wenn das Unternehmen einen Bezug zu den USA hat. Denn das dortige Office of Foreign Assets Control (OFAC) empfiehlt in seinen Richtlinien dringend, bei Ransomware-Angriffen von Lösegeldzahlungen abzusehen, und kann bei Verstößen gegen diese Richtlinien auch empfindliche Sanktionen verhängen.

Aus strafrechtlicher Sicht kann in Deutschland die Zahlung des Lösegeldes die Unterstützung einer kriminellen Vereinigung darstellen. Gerade deshalb sollten sich Unternehmen im Vorfeld juristisch beraten lassen und sich idealerweise mit den Strafverfolgungsbehörden abstimmen.

Wenn sich Opfer von Angriffen hierzulande für eine Zahlung entscheiden, dann kann das aus Sicht der Unternehmen durchaus objektiv nachvollziehbare Gründe haben, denn einige befinden sich nach einem Ransomware-Angriff in einer äußerst prekären Lage. Entweder ist überhaupt kein Backup vorhanden oder es befand sich ebenfalls in der angegriffenen IT-Struktur und wurde auch verschlüsselt. Wenn deshalb die Produktion stillsteht, die Buchhaltung klemmt und selbst Mails nicht mehr funktionieren, scheint die Lösegeldzahlung die Antwort auf die Frage zu sein, ob man ethisch sauber untergehen oder doch lieber das Unternehmen retten will. So lauten häufig die Argumente, mit denen sich Führungskräfte später vor ihren Aufsichtsgremien rechtfertigen. Immerhin ist das Management eines angegriffenen Unternehmens auch ihnen verpflichtet - neben Behörden, Investoren, Geschäftspartnern und Kunden, die allesamt mehr oder minder direkt von einem solchen Cybervorfall betroffen sind.

Gute Vorarbeit kann in gewissem Umfang schützen

Doch bevor es zum Dilemma „Zahlen oder nicht?“ kommt, können Unternehmen Vorarbeit leisten. Da ist zum einen die solide technische Absicherung, die – nunmehr auch unterstützt durch künstliche Intelligenz (KI) – für einen Basisschutz sorgt. Die beste Sicherheitstechnik nutzt aber nichts, wenn unvorsichtige Mitarbeitende auf eine Phishing-Mail hereinfallen. Awareness-Schulungen und regelmäßige Krisensimulationen zählen daher zu den besonders wirksamen nicht-technischen Maßnahmen, um die Sicherheit im Unternehmen zu steigern und den angemessenen Umgang mit einem Cyberzwischenfall zu trainieren.

Cyber Game – eine Schulungsmaßnahme der besonderen Art

Bei einem geleiteten Ausflug in das Darknet lernt man, wie Cyberkriminelle arbeiten und wo sie sich austauschen.  Versetzen Sie sich in deren Rolle und erfahren Sie dabei mehr über die unterschiedlichen Angreifertypen und die Methodologie eines echten Angriffs anhand der Cyber Kill Chain!

Mehr erfahren

Vorsorgemaßnahmen in der Lieferkette sind ebenfalls relevant: Auch Geschäftspartner sollten sich um ihre IT-Sicherheit kümmern, am besten ausgewiesen durch Zertifikate und Audits, die sich Unternehmen vor Aufnahme einer Geschäftsbeziehung vorlegen lassen sollten. Die Erfahrungen der letzten Jahre zeigen, dass ein Zwischenfall bei einem einzigen zentralen Dienstleister erhebliche Folgen für ganze Branchen haben kann.

Und schließlich sollten für den Ernstfall Krisen- und Kommunikationspläne gut vorbereitet in der Schublade liegen – und nicht auf dem verschlüsselten Datenlaufwerk. Zwar gewährleistet keine dieser Maßnahmen einen vollständigen Schutz vor einem Angriff, sie tragen aber dazu bei, die Folgen erheblich abzumildern.

Fazit

Immer häufiger werden Unternehmen Opfer von Ransomware-Attacken, bei denen ihre Daten böswillig verschlüsselt werden. Oft stehen sie dann vor dem Dilemma, dass eine Lösegeldzahlung rechtlich problematisch sein kann, andernfalls aber das Unternehmen in seiner Existenz gefährdet ist. Führungskräfte sollten sich in jedem Fall rechtlich beraten lassen und sich mit den Behörden abstimmen, insbesondere dann, wenn das Unternehmen einen Bezug zu den USA hat. 

Mehr zum Thema

    Über diesen Artikel

    Porträtfoto von Thomas Koch
    Thomas Koch
    Partner Assurance, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland
    Thomas Koch ist Berater und Helfer in der Not, wenn es zu einem Cybervorfall gekommen ist. Lebt mit seiner Lebensgefährtin im Moseltal. Ist Luftfahrtenthusiast und Hobbysportler.
    Verwandte Themen
    Forensic & Integrity Services
    Digitalisierung
    Cybersecurity
    Neue Technologien
    Consulting

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.