Ransomware-Attacken: Hacker bedrohen auch den Mittelstand

Was MediaMarkt und Saturn widerfuhr, kann grundsätzlich jedem Unternehmen passieren. Für spezialisierte Hackergruppen sind Ransomware-Attacken vergleichsweise einfach, schnell und kostengünstig durchführbar. Die Täter nutzen gezielt Sicherheitslücken bei den Betroffenen wie Fehlbedienung, Fehlkonfigurationen oder veraltete Software aus.^[3] Eine gängige Methode stellt – gerade in Zeiten des pandemiebedingten Home Office – der Zugriff auf eine ungesicherte Firmennetzumgebung, bspw. ohne VPN, dar. Nach wie vor spielt außerdem das Ver-senden von Spam-Mails an Mitarbeitende eine Rolle. Als Folge des Öffnens infiziert ein angehängter sog. Verschlüsselungstrojaner innerhalb kürzester Zeit das gesamte Computersystem und verschlüsselt gezielt Daten. Dateien lassen sich dann entweder gar nicht mehr öffnen oder werden nur noch kryptisch kodiert angezeigt. 

 

Die Aufhebung der Verschlüsselung bieten die Täter nur gegen Zahlung von Lösegeld – zumeist in Krypto­währung, wie z.B. Bitcoin – an. Die Beschaffung der geforderten Währung wird regelmäßig zusätzliche Zeit in Anspruch nehmen. Daneben werden während der Dauer der Attacke von der Schadsoftware nicht selten Daten ausgeleitet, um diese z.B. im Darknet weiterzuverkaufen. Dies kann den Erpressungsdruck noch zusätzlich erhöhen.

 

Selbst wenn Unternehmen angemessene Präventionsmaßnahmen in Form von Cyber-Security ergriffen haben, sind erfolgreiche Ransomware-Attacken nicht ausgeschlossen. Denn die Angriffspunkte für Hacker sind vielfältig. Der Worst Case besteht etwa in dem Angriff mit einer völlig neuartigen, bislang unbekannten Schad­software, die den State-of-the-Art der Abwehrmechanismen umgeht. Häufig werden potenzielle Opfer auch bereits im Vorfeld der Attacke langfristig ausgespäht, um Schwachpunkte in der IT-Infrastruktur zu ausfindig zu machen und noch gezielter angreifen zu können.

 

Unternehmen drohen – neben dem Verlust von Daten – erhebliche Vermögensschäden. Diese resultieren aus der mit der Verschlüsselung einhergehenden Betriebsbeeinträchtigung bzw. -unterbrechung, z.B. wenn während der Dauer der Verschlüsselung die Produktion stillsteht oder Dienstleistungen mangels Zugriff auf IT-Infra­strukturen nicht erbracht werden können. Je nach Umfang und Ausmaß der Attacke, kann dieser Zustand mehrere Wochen anhalten. Während dieser Zeit fallen regelmäßig erhebliche Kosten für die sog. Incident Response an, also die interne Schadensbegrenzung, die nicht selten die Beauftragung externer IT-Experten erforderlich macht. Hinzu tritt das Risiko, dass in dieser Zeit gesetzliche oder vertragliche Verpflichtungen nicht erfüllt zu können. Haftungsansprüche und Bußgelder können die Folge sein. In all diesen Fällen zeichnet sich schließlich zudem ein kaum zu beziffernder Reputati-onsschaden ab.

 

Trotz der genannten Folgen wird von Seiten des Bundesamts für Sicherheit und Informations-technik (BSI) empfohlen, im Erpressungsfall nicht zu zahlen.^[4] Jede erfolgreiche Erpressung zeige den Erfolg des Angriffs und motiviere den Angreifer, weiter zu machen. Sie finanziere die Weiterentwicklung von Software und fördere deren Verbreitung. Mit jeder bezahlten Infektion steige damit die Wahrscheinlichkeit für den Betroffenen, noch einmal, vielleicht sogar über raffiniertere Verfahren, infiziert zu werden. Es gebe keine Garantie, dass die Ver­brecher auch ihr Wort hielten und die Entschlüsselung ermöglichten oder ausgeleitete Daten auch wirklich löschten. Stattdessen rät das BSI dazu, nicht zu zahlen und polizeilich Strafanzeige zu erstatten.

 

Diese Argumente und Vorschläge ändern indessen nichts an der Tatsache, dass betroffene Unternehmen im Ernstfall einen möglichst schnellen, pragmatischen und rechtlich gangbaren Weg aus der Zwangslage benötigen. Schließlich steht – je nach Dauer und Intensität – die wirtschaftliche Existenz auf dem Spiel. Daher muss die Frage der Lösegeldzahlung erwogen und sorgfältig geprüft werden. „Insbesondere ist unbedingt zu beachten, dass Lösegeldzahlungen eine Strafbarkeit wegen Unterstützung einer kriminellen Vereinigung bzw. Terrorismusfinan-zierung begründen können. Da Hackergruppierungen häufig aus dem Ausland agieren, besteht zudem das Risiko, dass der bzw. die Zahlende gegen ein Embargo oder Bereitstellungsverbot verstößt“, sagt Dr. Stefan Lehner, Rechtsanwalt bei Rödl & Partner im Team Prävention und Verteidigung. „Auch wenn die Ermittlungspraxis der Strafverfolgungsbehörden bei Lösegeldzahlungen bislang eine eher zurückhaltende war, könnte sich dies künftig durchaus ändern. Denn Ransomware-Attacken haben sich längst zu einem ‚Geschäftsmodell‘ organisierter Kri-minalität entwickelt.“

 

Ransomware-Attacken sind an der Tagesordnung. Darauf zu vertrauen, dass eigene Unter-nehmen sei vor Angriffen sicher oder für Hacker uninteressant, wäre realitätsfern. Um Ransomware-Attacken in Unternehmen wirksam entgegenzutreten, sollte neben effizienten technischen Präventivmaßnahmen daher stets auch das Ver­halten im Ernstfall fokussiert werden. Dabei stellt der Umgang mit Lösegeldzahlungen die zentrale Fragestellung dar. Diese sollte jedoch nicht erst unter dem nervenaufreibenden Eindruck des Sicherheits­vorfalls thematisiert werden. Vielmehr müssen angesichts der erheblichen strafrechtlichen Risiken Ent-scheidungsstrukturen, Risikoanalysen sowie die Kommunikation mit Behörden bereits im Vor-feld sorgfältig eruiert und koordiniert werden.

---

[1] Quelle: Heise Online vom 8.11.2021, abrufbar unter Ransomware-Angriff auf Mediamarkt und Saturn | heise online.

[2] Quelle: Spiegel Online vom 9.11.2021, abrufbar unter MediaMarkt und Saturn: Erpresser verlangen angeblich 50 Millionen Dollar - DER SPIEGEL.